版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
最近在論壇上經(jīng)常看到關(guān)于ARP病毒的問題,于是在Google上搜索ARP關(guān)鍵字,結(jié)果出來很多關(guān)于這類問題的討論。呵呵,俺的求知欲很強(qiáng),想再學(xué)習(xí)ARP下相關(guān)知識(shí),所以對(duì)目前網(wǎng)絡(luò)中常見的ARP問題進(jìn)行了一個(gè)總結(jié)。1.ARP概念咱們談ARP之前,還是先要知道ARP的概念和工作原理,理解了原理知識(shí),才能更好去面對(duì)和分析處理問題。1.1ARP概念知識(shí)ARP,全稱AddressResolutionProtocol,中文名為地址解析協(xié)議,它工作在數(shù)據(jù)鏈路層,在本層和硬件接口聯(lián)系,同時(shí)對(duì)上層提供服務(wù)。IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送,以太網(wǎng)設(shè)備并不識(shí)別32位IP地址,它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包。因此,必須把IP目的地址轉(zhuǎn)換成以太網(wǎng)目的地址。在以太網(wǎng)中,一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信,必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得的呢?它就是通過地址解析協(xié)議獲得的。ARP協(xié)議用于將網(wǎng)絡(luò)中的IP地址解析為的硬件地址(MAC地址),以保證通信的順利進(jìn)行。1.2ARP工作原理首先,每臺(tái)主機(jī)都會(huì)在自己的ARP緩沖區(qū)中建立一個(gè)ARP列表,以表示IP地址和MAC地址的對(duì)應(yīng)關(guān)系。當(dāng)源主機(jī)需要將一個(gè)數(shù)據(jù)包要發(fā)送到目的主機(jī)時(shí),會(huì)首先檢查自己ARP列表中是否存在該IP地址對(duì)應(yīng)的MAC地址,如果有﹐就直接將數(shù)據(jù)包發(fā)送到這個(gè)MAC地址;如果沒有,就向本地網(wǎng)段發(fā)起一個(gè)ARP請(qǐng)求的廣播包,查詢此目的主機(jī)對(duì)應(yīng)的MAC地址。此ARP請(qǐng)求數(shù)據(jù)包里包括源主機(jī)的IP地址、硬件地址、以及目的主機(jī)的IP地址。網(wǎng)絡(luò)中所有的主機(jī)收到這個(gè)ARP請(qǐng)求后,會(huì)檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數(shù)據(jù)包;如果相同,該主機(jī)首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已經(jīng)存在該IP的信息,則將其覆蓋,然后給源主機(jī)發(fā)送一個(gè)ARP響應(yīng)數(shù)據(jù)包,告訴對(duì)方自己是它需要查找的MAC地址;源主機(jī)收到這個(gè)ARP響應(yīng)數(shù)據(jù)包后,將得到的目的主機(jī)的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息開始數(shù)據(jù)的傳輸。如果源主機(jī)一直沒有收到ARP響應(yīng)數(shù)據(jù)包,表示ARP查詢失敗。例如:A的地址為:IP:MAC:AA-AA-AA-AA-AA-AAB的地址為:IP:MAC:BB-BB-BB-BB-BB-BB根據(jù)上面的所講的原理,我們簡單說明這個(gè)過程:A要和B通訊,A就需要知道B的以太網(wǎng)地址,于是A發(fā)送一個(gè)ARP請(qǐng)求廣播(誰是,請(qǐng)告訴),當(dāng)B收到該廣播,就檢查自己,結(jié)果發(fā)現(xiàn)和自己的一致,然后就向A發(fā)送一個(gè)ARP單播應(yīng)答(在BB-BB-BB-BB-BB-BB)。1.3ARP通訊模式通訊模式(PatternAnalysis):在網(wǎng)絡(luò)分析中,通訊模式的分析是很重要的,不同的協(xié)議和不同的應(yīng)用都會(huì)有不同的通訊模式。更有些時(shí)候,相同的協(xié)議在不同的企業(yè)應(yīng)用中也會(huì)出現(xiàn)不同的通訊模式。ARP在正常情況下的通訊模式應(yīng)該是:請(qǐng)求->應(yīng)答->請(qǐng)求->應(yīng)答,也就是應(yīng)該一問一答。2.常見ARP攻擊類型個(gè)人認(rèn)為常見的ARP攻擊為兩種類型:ARP掃描和ARP欺騙。2.1ARP掃描(ARP請(qǐng)求風(fēng)暴)通訊模式(可能):請(qǐng)求->請(qǐng)求->請(qǐng)求->請(qǐng)求->請(qǐng)求->請(qǐng)求->應(yīng)答->請(qǐng)求->請(qǐng)求->請(qǐng)求...描述:網(wǎng)絡(luò)中出現(xiàn)大量ARP請(qǐng)求廣播包,幾乎都是對(duì)網(wǎng)段內(nèi)的所有主機(jī)進(jìn)行掃描。大量的ARP請(qǐng)求廣播可能會(huì)占用網(wǎng)絡(luò)帶寬資源;ARP掃描一般為ARP攻擊的前奏。出現(xiàn)原因(可能):*病毒程序,偵聽程序,掃描程序。*如果網(wǎng)絡(luò)分析軟件部署正確,可能是我們只鏡像了交換機(jī)上的部分端口,所以大量ARP請(qǐng)求是來自與非鏡像口連接的其它主機(jī)發(fā)出的。*如果部署不正確,這些ARP請(qǐng)求廣播包是來自和交換機(jī)相連的其它主機(jī)。2.2ARP欺騙ARP協(xié)議并不只在發(fā)送了ARP請(qǐng)求才接收ARP應(yīng)答。當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候,就會(huì)對(duì)本地的ARP緩存進(jìn)行更新,將應(yīng)答中的IP和MAC地址存儲(chǔ)在ARP緩存中。所以在網(wǎng)絡(luò)中,有人發(fā)送一個(gè)自己偽造的ARP應(yīng)答,網(wǎng)絡(luò)可能就會(huì)出現(xiàn)問題。這可能就是協(xié)議設(shè)計(jì)者當(dāng)初沒考慮到的!2.2.1欺騙原理假設(shè)一個(gè)網(wǎng)絡(luò)環(huán)境中,網(wǎng)內(nèi)有三臺(tái)主機(jī),分別為主機(jī)A、B、C。主機(jī)詳細(xì)信息如下描述:A的地址為:IP:MAC:AA-AA-AA-AA-AA-AAB的地址為:IP:MAC:BB-BB-BB-BB-BB-BBC的地址為:IP:MAC:CC-CC-CC-CC-CC-CC正常情況下A和C之間進(jìn)行通訊,但是此時(shí)B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答,而這個(gè)應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本來應(yīng)該是CC-CC-CC-CC-CC-CC,這里被偽造了)。當(dāng)A接收到B偽造的ARP應(yīng)答,就會(huì)更新本地的ARP緩存(A被欺騙了),這時(shí)B就偽裝成C了。同時(shí),B同樣向C發(fā)送一個(gè)ARP應(yīng)答,應(yīng)答包中發(fā)送方IP地址四(A的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本來應(yīng)該是AA-AA-AA-AA-AA-AA),當(dāng)C收到B偽造的ARP應(yīng)答,也會(huì)更新本地ARP緩存(C也被欺騙了),這時(shí)B就偽裝成了A。這樣主機(jī)A和C都被主機(jī)B欺騙,A和C之間通訊的數(shù)據(jù)都經(jīng)過了B。主機(jī)B完全可以知道他們之間說的什么:)。這就是典型的ARP欺騙過程。注意:一般情況下,ARP欺騙的某一方應(yīng)該是網(wǎng)關(guān)。2.2.2兩種情況ARP欺騙存在兩種情況:一種是欺騙主機(jī)作為“中間人”,被欺騙主機(jī)的數(shù)據(jù)都經(jīng)過它中轉(zhuǎn)一次,這樣欺騙主機(jī)可以竊取到被它欺騙的主機(jī)之間的通訊數(shù)據(jù);另一種讓被欺騙主機(jī)直接斷網(wǎng)。第一種:竊取數(shù)據(jù)(嗅探)通訊模式:應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->請(qǐng)求->應(yīng)答->應(yīng)答->請(qǐng)求->應(yīng)答...描述:這種情況就屬于我們上面所說的典型的ARP欺騙,欺騙主機(jī)向被欺騙主機(jī)發(fā)送大量偽造的ARP應(yīng)答包進(jìn)行欺騙,當(dāng)通訊雙方被欺騙成功后,自己作為了一個(gè)“中間人“的身份。此時(shí)被欺騙的主機(jī)雙方還能正常通訊,只不過在通訊過程中被欺騙者“竊聽”了。出現(xiàn)原因(可能):*木馬病毒*嗅探*人為欺騙第二種:導(dǎo)致斷網(wǎng)通訊模式:應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->請(qǐng)求…描述:這類情況就是在ARP欺騙過程中,欺騙者只欺騙了其中一方,如B欺騙了A,但是同時(shí)B沒有對(duì)C進(jìn)行欺騙,這樣A實(shí)質(zhì)上是在和B通訊,所以A就不能和C通訊了,另外一種情況還可能就是欺騙者偽造一個(gè)不存在地址進(jìn)行欺騙。對(duì)于偽造地址進(jìn)行的欺騙,在排查上比較有難度,這里最好是借用TAP設(shè)備(呵呵,這個(gè)東東好像有點(diǎn)貴勒),分別捕獲單向數(shù)據(jù)流進(jìn)行分析!出現(xiàn)原因(可能):*木馬病毒*人為破壞*一些網(wǎng)管軟件的控制功能3.常用的防護(hù)方法搜索網(wǎng)上,目前對(duì)于ARP攻擊防護(hù)問題出現(xiàn)最多是綁定IP和MAC和使用ARP防護(hù)軟件,也出現(xiàn)了具有ARP防護(hù)功能的路由器。呵呵,我們來了解下這三種方法。3.1靜態(tài)綁定最常用的方法就是做IP和MAC靜態(tài)綁定,在網(wǎng)內(nèi)把主機(jī)和網(wǎng)關(guān)都做IP和MAC綁定。欺騙是通過ARP的動(dòng)態(tài)實(shí)時(shí)的規(guī)則欺騙內(nèi)網(wǎng)機(jī)器,所以我們把ARP全部設(shè)置為靜態(tài)可以解決對(duì)內(nèi)網(wǎng)PC的欺騙,同時(shí)在網(wǎng)關(guān)也要進(jìn)行IP和MAC的靜態(tài)綁定,這樣雙向綁定才比較保險(xiǎn)。方法:對(duì)每臺(tái)主機(jī)進(jìn)行IP和MAC地址靜態(tài)綁定。通過命令,arp-s可以實(shí)現(xiàn)“arp–sIPMAC地址”。例如:“arp–sAA-AA-AA-AA-AA-AA”。如果設(shè)置成功會(huì)在PC上面通過執(zhí)行arp-a可以看到相關(guān)的提示:InternetAddressPhysicalAddressTypeAA-AA-AA-AA-AA-AAstatic(靜態(tài))一般不綁定,在動(dòng)態(tài)的情況下:InternetAddressPhysicalAddressTypeAA-AA-AA-AA-AA-AAdynamic(動(dòng)態(tài))說明:對(duì)于網(wǎng)絡(luò)中有很多主機(jī),500臺(tái),1000臺(tái)...,如果我們這樣每一臺(tái)都去做靜態(tài)綁定,工作量是非常大的。。。。,這種靜態(tài)綁定,在電腦每次重起后,都必須重新在綁定,雖然也可以做一個(gè)批處理文件,但是還是比較麻煩的!3.2使用ARP防護(hù)軟件目前關(guān)于ARP類的防護(hù)軟件出的比較多了,大家使用比較常用的ARP工具主要是欣向ARP工具,Antiarp等。它們除了本身來檢測(cè)出ARP攻擊外,防護(hù)的工作原理是一定頻率向網(wǎng)絡(luò)廣播正確的ARP信息。我們還是來簡單說下這兩個(gè)小工具。3.2.1欣向ARP工具俺使用了該工具,它有5個(gè)功能:?A.IP/MAC清單選擇網(wǎng)卡。如果是單網(wǎng)卡不需要設(shè)置。如果是多網(wǎng)卡需要設(shè)置連接內(nèi)網(wǎng)的那塊網(wǎng)卡。IP/MAC掃描。這里會(huì)掃描目前網(wǎng)絡(luò)中所有的機(jī)器的IP與MAC地址。請(qǐng)?jiān)趦?nèi)網(wǎng)運(yùn)行正常時(shí)掃描,因?yàn)檫@個(gè)表格將作為對(duì)之后ARP的參照。之后的功能都需要這個(gè)表格的支持,如果出現(xiàn)提示無法獲取IP或MAC時(shí),就說明這里的表格里面沒有相應(yīng)的數(shù)據(jù)。?B.ARP欺騙檢測(cè)這個(gè)功能會(huì)一直檢測(cè)內(nèi)網(wǎng)是否有PC冒充表格內(nèi)的IP。你可以把主要的IP設(shè)到檢測(cè)表格里面,例如,路由器,電影服務(wù)器,等需要內(nèi)網(wǎng)機(jī)器訪問的機(jī)器IP。(補(bǔ)充)“ARP欺騙記錄”表如何理解:“Time”:發(fā)現(xiàn)問題時(shí)的時(shí)間;“sender”:發(fā)送欺騙信息的IP或MAC;“Repeat”:欺詐信息發(fā)送的次數(shù);“ARPinfo”:是指發(fā)送欺騙信息的具體內(nèi)容.如下面例子:timesenderRepeatARPinfo22:22:2221433isat00:0e:03:22:02:e8這條信息的意思是:在22:22:22的時(shí)間,檢測(cè)到由2發(fā)出的欺騙信息,已經(jīng)發(fā)送了1433次,他發(fā)送的欺騙信息的內(nèi)容是:的MAC地址是00:0e:03:22:02:e8。打開檢測(cè)功能,如果出現(xiàn)針對(duì)表內(nèi)IP的欺騙,會(huì)出現(xiàn)提示。可以按照提示查到內(nèi)網(wǎng)的ARP欺騙的根源。提示一句,任何機(jī)器都可以冒充其他機(jī)器發(fā)送IP與MAC,所以即使提示出某個(gè)IP或MAC在發(fā)送欺騙信息,也未必是100%的準(zhǔn)確。所有請(qǐng)不要以暴力解決某些問題。?C.主動(dòng)維護(hù)這個(gè)功能可以直接解決ARP欺騙的掉線問題,但是并不是理想方法。他的原理就在網(wǎng)絡(luò)內(nèi)不停的廣播制定的IP的正確的MAC地址。“制定維護(hù)對(duì)象”的表格里面就是設(shè)置需要保護(hù)的IP。發(fā)包頻率就是每秒發(fā)送多少個(gè)正確的包給網(wǎng)絡(luò)內(nèi)所有機(jī)器。強(qiáng)烈建議盡量少的廣播IP,盡量少的廣播頻率。一般設(shè)置1次就可以,如果沒有綁定IP的情況下,出現(xiàn)ARP欺騙,可以設(shè)置到50-100次,如果還有掉線可以設(shè)置更高,即可以實(shí)現(xiàn)快速解決ARP欺騙的問題。但是想真正解決ARP問題,還是請(qǐng)參照上面綁定方法。?D.欣向路由器日志收集欣向路由器的系統(tǒng)日志,等功能。?E.抓包類似于網(wǎng)絡(luò)分析軟件的抓包,保存格式是.cap。3.2.1Antiarp這個(gè)軟件界面比較簡單,以下為我收集該軟件的使用方法。A.填入網(wǎng)關(guān)IP地址,點(diǎn)擊[獲取網(wǎng)關(guān)地址]將會(huì)顯示出網(wǎng)關(guān)的MAC地址。點(diǎn)擊[自動(dòng)防護(hù)]即可保護(hù)當(dāng)前網(wǎng)卡與該網(wǎng)關(guān)的通信不會(huì)被第三方監(jiān)聽。注意:如出現(xiàn)ARP欺騙提示,這說明攻擊者發(fā)送了ARP欺騙數(shù)據(jù)包來獲取網(wǎng)卡的數(shù)據(jù)包,如果您想追蹤攻擊來源請(qǐng)記住攻擊者的MAC地址,利用MAC地址掃描器可以找出IP對(duì)應(yīng)的MAC地址。B.IP地址沖突如頻繁的出現(xiàn)IP地址沖突,這說明攻擊者頻繁發(fā)送ARP欺騙數(shù)據(jù)包,才會(huì)出現(xiàn)IP沖突的警告,利用AntiARPSniffer可以防止此類攻擊。C.您需要知道沖突的MAC地址,Windows會(huì)記錄這些錯(cuò)誤。查看具體方法如下:右擊[我的電腦]--[管理]--點(diǎn)擊[事件查看器]--點(diǎn)擊[系統(tǒng)]--查看來源為[TcpIP]---雙擊事件可以看到顯示地址發(fā)生沖突,并記錄了該MAC地址,請(qǐng)復(fù)制該MAC地址并填入AntiARPSniffer的本地MAC地址輸入框中(請(qǐng)注意將:轉(zhuǎn)換為-),輸入完成之后點(diǎn)擊[防護(hù)地址沖突],為了使MAC地址生效請(qǐng)禁用本地網(wǎng)卡然后再啟用網(wǎng)卡,在CMD命令行中輸入Ipconfig/all,查看當(dāng)前MAC地址是否與本地MAC地址輸入框中的MAC地址相符,如果更改失敗請(qǐng)與我聯(lián)系。如果成功將不再會(huì)顯示地址沖突。注意:如果您想恢復(fù)默認(rèn)MAC地址,請(qǐng)點(diǎn)擊[恢復(fù)默認(rèn)],為了使MAC地址生效請(qǐng)禁用本地網(wǎng)卡然后再啟用網(wǎng)卡。3.3具有ARP防護(hù)功能的路由器這類路由器以前聽說的很少,對(duì)于這類路由器中提到的ARP防護(hù)功能,其實(shí)它的原理就是定期的發(fā)送自己正確的ARP信息。但是路由器的這種功能對(duì)于真正意義上的攻擊,是不能解決的。ARP的最常見的特征就是掉線,一般情況下不需要處理一定時(shí)間內(nèi)可以回復(fù)正常上網(wǎng),因?yàn)锳RP欺騙是有老化時(shí)間的,過了老化時(shí)間就會(huì)自動(dòng)的回復(fù)正?!,F(xiàn)在大多數(shù)路由器都會(huì)在很短時(shí)間內(nèi)不停廣播自己的正確ARP信息,使受騙的主機(jī)回復(fù)正常。但是如果出現(xiàn)攻擊性ARP欺騙(其實(shí)就是時(shí)間很短的量很大的欺騙ARP,1秒有
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 福建師范大學(xué)《人物線性素描二》2021-2022學(xué)年第一學(xué)期期末試卷
- 福建師范大學(xué)《個(gè)性化新聞攝影基礎(chǔ)和實(shí)踐案例解析》2021-2022學(xué)年第一學(xué)期期末試卷
- 領(lǐng)導(dǎo)干部帶班作業(yè)記錄表
- 2024屆新疆木壘縣中學(xué)高三1月檢測(cè)試題數(shù)學(xué)試題
- 2024屆上海市市西初級(jí)中學(xué)高三下學(xué)期最后一次模擬考試試卷數(shù)學(xué)試題
- 幼兒課件制作軟件
- 2024年蘭州客運(yùn)從業(yè)資格證實(shí)際操作考試答案
- 2024年杭州客運(yùn)資格證試題及答案選擇題
- 2024年云南客運(yùn)從業(yè)資格證都考什么題型
- 2024年沈陽客運(yùn)從業(yè)資格證急救考試試題教程
- 工務(wù)電務(wù)聯(lián)合整治設(shè)備管理辦法
- 北師大版生物八年級(jí)上冊(cè)18.2《微生物與人類的關(guān)系》課件(共27張PPT)
- 綜合布線 工程 11 綜合布線系統(tǒng)的驗(yàn)收方案
- 葫蘆絲校本教材(共38頁)
- 怎樣上好一節(jié)數(shù)學(xué)課(課堂PPT)
- 10KV配電調(diào)試報(bào)告
- 中醫(yī)院新入職護(hù)士培訓(xùn)計(jì)劃
- 中南大學(xué)湘雅二醫(yī)院臨床試驗(yàn)協(xié)議
- 【研究手冊(cè)】初中數(shù)學(xué)課堂合作學(xué)習(xí)的低效成因分析及對(duì)策研究
- 園林景觀施工組織設(shè)計(jì)方案
- 伺服攻絲機(jī)使用說明書
評(píng)論
0/150
提交評(píng)論