IP欺骗攻击及其防范
目前,具有ARP欺骗功能的软件有QQ第六感、网络执法官、P2P终结者、网吧传奇黑仔等这些软件有的是人为操作破坏网络,有的是以病毒或木马的形式出现,用户可能根本不知道,这就进一步扩大了ARP攻击的杀伤力。
从影响网络连接流畅的方式来看,ARP欺骗的攻击可能有两种,一种是欺骗路由器ARP表;另一种是欺骗内网电脑的ARP表。当然,两种攻击可能同时进行。没有管理怎么样?欺骗后,计算机和路由器之间发送的数据可能会发送到错误的MAC地址。表面上看是“无法访问网络”、“无法访问路由器”、“路由器崩溃”的意思,因为路由器一旦重启,ARP表就会重建。如果ARP攻击不是一直存在,那就说明网络正常,所以网吧业主会更确定路由器“死机”了,不会。为此宽带路由器背了不少黑锅,但其实应该是ARP协议本身。
如果出现此问题,它通常具有以下特征:
1.局域网内所有(或大部分)PC无法ping通网关地址,无法上网;但是网卡和交换机的连接指标都正常。
2.因为Windows系统默认的ARP超时时间长,所以即使我们马上找出是哪台PC在背后捣乱,也不能通过关闭PC就马上解决问题。我们需要清除客户端PC上的ARP表[在CMD模式下执行ARP/D]以再次学习或简单地重启PC。
3.这些ARP欺骗虽然是复制路由器网口的MAC地址,但实际上并不真的需要把自己网卡的ip/ mac设置成和路由器一样,所以路由器上一般不会有地址冲突的报警提示。
确认这个问题的方法也很简单。在保证局域网交换机正常工作,网线正常连接的情况下,随便找一台不能上网的PC,打开CMD命令行界面,执行arp /a,看看网关ip地址对应的mac是不是路由器网口的mac地址。如果没有,基本可以确定ARP作弊。例如:
这是PC端的ARP表条目:
C:\ arp /a
接口:192.168.19.180-0x 2
互联网地址物理地址类型
192.168 . 0 . 3 00-90-27-a7-ad-00动态
192.168.0 . 100-E0-0f-58-CC-1C(路由器以太网口MAC地址信息)动态。
192.168.0.10
看路由器以太网口的MAC地址信息:00-E0-0f-58-CC-1c 192.168.0 . 1。如果不是路由器的MAC,说明有人在故意干扰它。
如果是ARP问题,一般会导致全网断网,影响很大,很容易找到定位。急救的方法并不难,我前面已经说过了。至于防范方法,可以在每台PC上使用CMD命令:ARP-s 192.168.1.600-E0-0f-62-C6-09来绑定静态ARP入口,但是配置、实现和维护起来比较麻烦。静态ARP入口每次启动都会被反弹,很麻烦。可以新建一个批处理文件,比如static_arp.bat,注意后缀名为bat。编辑它,你可以双击它在以后执行这个命令,你也可以把它放在系统的启动目录下在启动时自己执行。打开电脑开始->程序,双击开始打开启动文件夹目录,将刚刚创建的static_arp.bat复制到里面。以后电脑每次开机都会自己执行ARP–s命令。
路由器上也有ARP静态绑定命令,但是ARP欺骗假冒网关的身份来欺骗局域网内的PC,所以在路由器上绑定每台PC的mac地址意义不大。但是,这种方法可以防止局域网PC更改ip地址。
arp病毒的原理及解决方案
arp病毒的原理及解决方案
Arp病毒入侵网络,让大部分网吧和家庭深受其害!!被抓现象:掉线~ ~ ~ ~ ~ `。
这里我在网上拿到了相关资料,网络专家研究了一下~ ~
arp攻击的解决方案
失败原因
局域网中有人使用arp欺骗木马程序(比如盗号的传奇软件,在一些传奇插件中也已经恶意加载了这个程序)。
故障原理
要了解故障原理,我们先来了解arp协议。
在局域网中,ip地址通过arp协议转换成第二层物理地址(即mac地址)。Arp协议对网络安全具有重要意义。通过伪造ip地址和mac地址来实现arp欺骗,可以在网络中产生大量的arp流量来阻塞网络。
Arp协议是“地址解析协议”的缩写。在局域网中,网络中实际传输的是一个“帧”,其中包含了目标主机的mac地址。在以太网中,如果一台主机想要直接与另一台主机通信,它必须知道目标主机的mac地址。但是这个目标mac地址是怎么获得的呢?它是通过地址解析协议获得的。所谓“地址解析”,就是主机在发送帧之前,将目的ip地址转换成目的mac地址的过程。arp协议的基本功能是通过目标设备的ip地址查询目标设备的mac地址,保证通信的畅通。
每台安装了tcp/ip协议的电脑都有一个arp缓存表,表中的ip地址和mac地址是一一对应的,如下表所示。
主机ip地址mac地址
a 192.168.16.1 aa-aa-aa-aa-aa-aa
b 192.168.16.2 bb-bb-bb-bb-bb-bb
c 192.168.16.3
d 192.168.16.4
我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。当发送数据时,主机A将在其arp缓存表中查找目的ip地址。如果找到了,就会知道目标mac地址,直接把目标mac地址写入帧中发送即可;如果在arp缓存表中找不到对应的ip地址,主机A会在网络上发送一个广播,目标mac地址是“ff.ff.ff.ff.ff.ff”,意思是问同一网段的所有主机:“192.168.16.2的mac地址是什么?”网络上的其他主机不响应arp查询,只有主机B收到这个帧才响应主机A:“192.168.16.2的mac地址是bb-bb-bb-bb”。这样,主机A就知道了主机B的mac地址,它可以向主机B发送信息..同时,它还更新了自己的arp缓存表,下次向主机B发送信息时,直接从arp缓存表中查找即可。Arp缓存表采用老化机制,如果在表中一段时间,
ARP病毒入侵网络最近几天,ARP病毒入侵网络,让大部分网吧和家庭都出现了:断网~ ~ ~ ~’在这里,我在网上拿到了相关资料,网络专家研究了一下~ ~ ARP攻击的解决方案。局域网中有人使用了ARP欺骗的木马程序(比如在一些传说中的插件中恶意加载传说中的黑客软件)。故障原理要了解故障原理,我们先来了解一下ARP协议。在局域网中,IP地址通过ARP协议转换成第二层物理地址(即MAC地址)。ARP协议对网络安全具有重要意义。通过伪造IP地址和MAC地址来实现ARP欺骗,可以在网络中产生大量的ARP流量来阻塞网络。ARP协议是“地址解析协议”的缩写。在局域网中,网络中实际传输的是一个“帧”,其中包含了目标主机的MAC地址。在以太网中,如果一台主机想要直接与另一台主机通信,它必须知道目标主机的MAC地址。但是这个目标MAC地址是怎么获得的呢?它是通过地址解析协议获得的。所谓“地址解析”,就是主机在发送帧之前,将目的IP地址转换成目的MAC地址的过程。ARP协议的基本功能是通过目标设备的IP地址查询目标设备的MAC地址,保证通信的畅通。每台安装了TCP/IP协议的电脑都有一个ARP缓存表,表中的IP地址和MAC地址是一一对应的,如下表所示。主机IP地址MAC地址a 192.168.16.1AA-AA-AA-aab 192.168.16.2 BB-BB-BB-BB。06.3 cc-cc-cc-cc-cc-cc-cc d 192.168.16.4 DD-DD-DD-DD-DD。我们使用主机A(192.5438+068.5438+06.5438)。当发送数据时,主机A将在其ARP缓存表中查找目的IP地址。如果找到了,就会知道目标MAC地址,直接把目标MAC地址写入帧中发送即可;如果在ARP缓存表中找不到相应的IP地址,主机A将在网络上发送广播,目标MAC地址为“FF”。FF.FF.FF.FF.FF”,意思是问同一网段的所有主机:“192.168.16.2的MAC地址是什么?”网络上的其他主机不响应ARP查询,只有主机B收到这个帧才响应主机A:“192.168.16.2的MAC地址是bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它可以向主机B发送信息..同时,它还更新了自己的ARP缓存表,下次向主机B发送信息时,直接从ARP缓存表中查找即可。ARP缓存表采用老化机制。如果表中的某一行一段时间没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。从上面可以看出,ARP协议的基础是信任局域网内的所有人,所以很容易在以太网上实现ARP欺骗。欺骗目标A,A Ping主机C,但将其发送到地址DD-DD-DD-DD-DD。如果作弊的时候把C的MAC地址骗成DD-DD-DD-DD-DD-DD,那么A发给C的所有数据包都会发给D,这不就是D可以收到A发的数据包吗?嗅探成功。A根本没有意识到这个变化,但是接下来发生的事情却让人产生了怀疑。因为a和c无法连接。d可能不会将接收到的由A发送的数据包转发给C..做“中间人”并重定向ARP。打开D的IP转发功能,A发来的数据包会转发给C,就像路由器一样。但是,如果D发送ICMP重定向,就会中断整个计划。d直接对整个包进行修改转发,捕获A发给C的数据包,全部修改后转发给C,而C收到的数据包则完全认为是A发来的..但是C发的数据包直接传给A,以防再次ARP欺骗C。现在D已经完全成为了A和C之间的桥梁,你可以对A和C之间的交流了如指掌。故障现象当局域网内的主机运行ARP欺骗的木马程序时,会欺骗局域网内的所有主机和路由器,使所有上网流量都必须经过病毒主机。其他用户以前直接通过路由器上网,现在转而通过病毒主机上网。切换时,用户会断开一次。切换到病毒主机上网后,如果用户已经登录了传说中的服务器,那么病毒主机往往会伪造断线的假象,然后用户就要重新登录传说中的服务器,这样病毒主机就可以盗号了。由于ARP欺骗木马的攻击,会发出大量数据包,导致局域网通信拥塞,自身处理能力受限,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会从路由器恢复上网,切换过程中用户会再次断网。HiPER用户很快发现ARP欺骗木马在路由器的“系统历史”中看到大量以下信息(仅在440之后的路由器软件版本中):MAC CHGED 10.128.103.438+024 MAC old 00:01:6c:36:d .消息f MAC New 00:05:5d:60:c7:18表示当ARP欺骗特洛伊开始运行时,局域网内所有主机的MAC地址都更新为病毒主机的MAC地址(即所有信息的MAC新地址都与病毒主机的MAC新地址相同),同时在路由器的“用户统计”中我们可以看到所有用户的MAC地址信息都是相同的。如果大量的MAC旧地址在路由器的“系统历史”中是一致的,说明局域网中发生了ARP欺骗(当ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。在局域网中寻找病毒主机我们已经知道了使用ARP欺骗特洛伊木马的主机的MAC地址,所以可以使用NBTSCAN(下载地址:)工具快速找到。NBTSCAN可以获得PC的真实IP地址和MAC地址。如果有一匹“传说中的特洛伊马”在做一些奇怪的事情,你可以用特洛伊马找到PC的IP/和MAC地址。命令:“nbtscan-r 192.168.16.0/24”(搜索整个192.168.16.0/24网段,即192.65438+。或者“NBT scan 192.168.16.25-137”搜索192.16.25-137网段,即65438+。输出结果的第一列是IP地址,最后一列是MAC地址。使用NBTSCAN的例子:假设找到一个MAC地址为“000d870d585f”的病毒主机。1)将压缩包中的nbtscan.exe和cygwin1.dll解压到C: 2)在Windows开始-运行-打开,输入cmd(Windows 98输入“命令”),在出现的DOS窗口中输入:C:BTS can-r 192.168.16.1/24,回车。C:文档和设置Alan C:BTS can-r 192.168.16.1/24警告:-r选项在Windows下不受支持。没有它也能跑。对来自192.168.16.1/24 IP地址NetBIOS名称服务器用户MAC地址-192.168.6 5438+06.0 send to的地址进行NBT名称扫描失败:无法分配请求的地址192.168.16.50解决方案1。不要把你的网络安全信任关系建立在ip或者MAC上(rarp也有作弊的问题)。理想的关系应该是基于IP+MAC。2.设置一个静态的MAC - IP对应表,不要让主机刷新你设置的转换表。3.除非必要,否则停止使用ARP,并将ARP作为永久条目保存在相应的表中。4.使用ARP服务器。通过这个服务器找到自己的ARP转换表来响应其他机器的ARP广播。确保这个ARP服务器没有被黑。5.使用“代理”来代理IP传输。6.用硬件屏蔽主机。设置您的路由,并确保IP地址可以到达合法路径。(路由ARP条目的静态配置),注意使用交换集线器和网桥无法防止ARP欺骗。7.管理员定期从响应的IP数据包中获取rarp请求,然后检查arp响应的真实性。8.管理员定期轮询以检查主机上的ARP缓存。9.使用防火墙持续监控网络。请注意,使用SNMP时,ARP欺骗可能会导致陷阱数据包丢失。HiPER users的解决方案建议用户采用双向绑定的方式解决问题,防止ARP欺骗。1.在PC上绑定路由器的IP和MAC地址:1)首先获取路由器内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa局域网端口MAC地址)。2)写一个批处理文件rarp.bat,内容如下:@ echooffarp-da PRP-s 192.168.16.25400-22-aa。只需将文件中的网关IP地址和MAC地址改为自己的网关IP地址和MAC地址即可。把这个批处理软件拖到“windows -开始-程序-开始”