ARP欺骗
ARP欺騙
什么是ARPARP(Address Resolution Protocol)是地址解析協(xié)議,是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。從IP地址到物理地址的映射有兩種方式:表格方式和非表格方式。ARP具體說來就是將網(wǎng)絡層(也就是相當于OSI的第三層)地址解析為數(shù)據(jù)鏈路層(也就是相當于OSI的第二層)的物理地址(注:此處物理地址并不一定指MAC地址)。
ARP原理:某機器A要向主機B發(fā)送報文,會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址后,就會進行數(shù)據(jù)傳輸。如果未找到,則廣播A一個ARP請求報文(攜帶主機A的IP地址Ia——物理地址Pa),請求IP地址為Ib的主機B回答物理地址Pb。網(wǎng)上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP地址,于是向A主機發(fā)回一個ARP響應報文。其中就包含有B的MAC地址,A接收到B的應答后,就會更新本地的ARP緩存。接著使用這個MAC地址發(fā)送數(shù)據(jù)(由網(wǎng)卡附加MAC地址)。因此,本地高速緩存的這個ARP表是本地網(wǎng)絡流通的基礎,而且這個緩存是動態(tài)的。
ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應答。當計算機接收到ARP應答數(shù)據(jù)包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和MAC地址存儲在ARP緩存中。因此,當局域網(wǎng)中的某臺機器B向A發(fā)送一個自己偽造的ARP應答,而如果這個應答是B冒充C偽造來的,即IP地址為C的IP,而MAC地址是偽造的,則當A接收到B偽造的ARP應答后,就會更新本地的ARP緩存,這樣在A看來C的IP地址沒有變,而它的MAC地址已經(jīng)不是原來那個了。由于局域網(wǎng)的網(wǎng)絡流通不是根據(jù)IP地址進行,而是按照MAC地址進行傳輸。所以,那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址,這樣就會造成網(wǎng)絡不通,導致A不能Ping通C!這就是一個簡單的ARP欺騙。
ARP協(xié)議的工作原理
在每臺裝有tcp/ip協(xié)議的電腦里都有一個ARP緩存表,表里的ip地址與mac地址是一一對應的,如圖。
arp緩存表
以主機A(192.168.1.5)向主機B(192.168.1.1)發(fā)送數(shù)據(jù)為例。當發(fā)送數(shù)據(jù)時,主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了,也就知道了目標的mac地址,直接吧目標的mac地址寫入幀里面發(fā)送就可以了;如果在ARP緩存表里面沒有目標的IP地址,主機A就會在網(wǎng)絡上發(fā)送一個廣播,目標mac地址是“ff-ff-ff-ff-ff-ff”,這表示向同一網(wǎng)段的所有主機發(fā)出這樣的詢問:“192.168.1.1的mac地址是什么呀?”網(wǎng)絡上的其他主機并不回應這一詢問,只有主機B接受到這個幀時才向A作出回應:“192.168.1.1的mac地址是00-aa-0-62-c6-09。(如上表)”這樣,主機A就知道了主機B的mac地址,就可以向主機B發(fā)送信息了。同時,它還更新了自己的ARP緩存表,下次再向B發(fā)送數(shù)據(jù)時,直接在ARP緩存表找就可以了。ARP緩存表采用老化的機制,在一段時間里表中的某一行沒有使用,就會被刪除,這樣可以大大減少ARP緩存表的長度,加快查詢的速度。
如何查看ARP緩存表
ARP緩存表示可以查看的,也可以添加和修改。在命令提示符下,輸入“arp -a”就可以查看arp緩存表的內(nèi)容了。
用“arp -d”可以刪除arp緩存表里的所有內(nèi)容。
用“arp -s“可以手動在arp表中制定ip地址與mac地址的對應關(guān)系。
ARP欺騙的種類
ARP欺騙是黑客常用的攻擊手段之一,ARP欺騙分為二種,一種是對路由器ARP表的欺騙;另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。
第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址,并按照一定的頻率不斷進行,使真實的地址信息無法通過更新保存在路由器中,結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址,造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān),讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù),而不是通過正常的路由器途徑上網(wǎng)。在PC看來,就是上不了網(wǎng)了,“網(wǎng)絡掉線了”。
一般來說,ARP欺騙攻擊的后果非常嚴重,大多數(shù)情況下會造成大面積掉線。有些網(wǎng)管員對此不甚了解,出現(xiàn)故障時,認為PC沒有問題,交換機沒掉線的“本事”,電信也不承認寬帶故障。而且如果第一種ARP欺騙發(fā)生時,只要重啟路由器,網(wǎng)絡就能全面恢復,那問題一定是在路由器了。為此,寬帶路由器背了不少“黑鍋”。
arp欺騙-網(wǎng)絡執(zhí)法官的原理
在網(wǎng)絡執(zhí)法官中,要想限制某臺機器上網(wǎng),只要點擊"網(wǎng)卡"菜單中的"權(quán)限",選擇指定的網(wǎng)卡號或在用戶列表中點擊該網(wǎng)卡所在行,從右鍵菜單中選擇"權(quán)限",在彈出的對話框中即可限制該用戶的權(quán)限。對于未登記網(wǎng)卡,可以這樣限定其上線:只要設定好所有已知用戶(登記)后,將網(wǎng)卡的默認權(quán)限改為禁止上線即可阻止所有未知的網(wǎng)卡上線。使用這兩個功能就可限制用戶上網(wǎng)。其原理是通過ARP欺騙發(fā)給被攻擊的電腦一個假的網(wǎng)關(guān)IP地址對應的MAC,使其找不到網(wǎng)關(guān)真正的MAC地址,這樣就可以禁止其上網(wǎng)。
修改MAC地址突破網(wǎng)絡執(zhí)法官的封鎖
根據(jù)上面的分析,我們不難得出結(jié)論:只要修改MAC地址,就可以騙過網(wǎng)絡執(zhí)法官的掃描,從而達到突破封鎖的目的。下面是修改網(wǎng)卡MAC地址的方法:
在"開始"菜單的"運行"中輸入regedit,打開注冊表編輯器,展開注冊表到:HKEY_LOCAL_ MACHINE/System/CurrentControl Set/Control/Class/子鍵,在子鍵下的0000,0001,0002等分支中查找DriverDesc(如果你有一塊以上的網(wǎng)卡,就有0001,0002......在這里保存了有關(guān)你的網(wǎng)卡的信息,其中的DriverDesc內(nèi)容就是網(wǎng)卡的信息描述,比如我的網(wǎng)卡是Intel 21041 based Ethernet Controller),在這里假設你的網(wǎng)卡在0000子鍵。
在0000子鍵下添加一個字符串,命名為"NetworkAddress",鍵值為修改后的MAC地址,要求為連續(xù)的12個16進制數(shù)。然后在"0000"子鍵下的NDI/params中新建一項名為NetworkAddress的子鍵,在該子鍵下添加名為"default"的字符串,鍵值為修改后的MAC地址。
在NetworkAddress的子鍵下繼續(xù)建立名為"ParamDesc"的字符串,其作用為指定Network Address的描述,其值可為"MAC Address"。這樣以后打開網(wǎng)絡鄰居的"屬性",雙擊相應的網(wǎng)卡就會發(fā)現(xiàn)有一個"高級"設置,其下存在MAC Address的選項,它就是你在注冊表中加入的新項"NetworkAddress",以后只要在此修改MAC地址就可以了。
關(guān)閉注冊表,重新啟動,你的網(wǎng)卡地址已改。打開網(wǎng)絡鄰居的屬性,雙擊相應網(wǎng)卡項會發(fā)現(xiàn)有一個MAC Address的高級設置項,用于直接修改MAC地址。
MAC地址也叫物理地址、硬件地址或鏈路地址,由網(wǎng)絡設備制造商生產(chǎn)時寫在硬件內(nèi)部。這個地址與網(wǎng)絡無關(guān),即無論將帶有這個地址的硬件(如網(wǎng)卡、集線器、路由器等)接入到網(wǎng)絡的何處,它都有相同的MAC地址,MAC地址一般不可改變,不能由用戶自己設定。MAC地址通常表示為12個16進制數(shù),每2個16進制數(shù)之間用冒號隔開,如:08:00:20:0A:8C:6D就是一個MAC地址,其中前6位16進制數(shù),08:00:20代表網(wǎng)絡硬件制造商的編號,它由IEEE分配,而后3位16進制數(shù)0A:8C:6D代表該制造商所制造的某個網(wǎng)絡產(chǎn)品(如網(wǎng)卡)的系列號。每個網(wǎng)絡制造商必須確保它所制造的每個以太網(wǎng)設備都具有相同的前三字節(jié)以及不同的后三個字節(jié)。這樣就可保證世界上每個以太網(wǎng)設備都具有唯一的MAC地址。
另外,網(wǎng)絡執(zhí)法官的原理是通過ARP欺騙發(fā)給某臺電腦有關(guān)假的網(wǎng)關(guān)IP地址所對應的MAC地址,使其找不到網(wǎng)關(guān)真正的MAC地址。因此,只要我們修改IP到MAC的映射就可使網(wǎng)絡執(zhí)法官的ARP欺騙失效,就隔開突破它的限制。你可以事先Ping一下網(wǎng)關(guān),然后再用ARP -a命令得到網(wǎng)關(guān)的MAC地址,最后用ARP -s IP 網(wǎng)卡MAC地址命令把網(wǎng)關(guān)的IP地址和它的MAC地址映射起來就可以了。
找到使你無法上網(wǎng)的對方
解除了網(wǎng)絡執(zhí)法官的封鎖后,我們可以利用Arpkiller的"Sniffer殺手"掃描整個局域網(wǎng)IP段,然后查找處在"混雜"模式下的計算機,就可以發(fā)現(xiàn)對方了。具體方法是:運行Arpkiller(圖2),然后點擊"Sniffer監(jiān)測工具",在出現(xiàn)的"Sniffer殺手"窗口中輸入檢測的起始和終止IP(圖3),單擊"開始檢測"就可以了。
檢測完成后,如果相應的IP是綠帽子圖標,說明這個IP處于正常模式,如果是紅帽子則說明該網(wǎng)卡處于混雜模式。它就是我們的目標,就是這個家伙在用網(wǎng)絡執(zhí)法官在搗亂。
局域網(wǎng)ARP欺騙的應對
一、故障現(xiàn)象及原因分析
情況一、當局域網(wǎng)內(nèi)某臺主機感染了ARP病毒時,會向本局域網(wǎng)內(nèi)(指某一網(wǎng)段,比如:10.10.75.0這一段)所有主機發(fā)送ARP欺騙攻擊謊稱自己是這個網(wǎng)端的網(wǎng)關(guān)設備,讓原本流向網(wǎng)關(guān)的流量改道流向病毒主機,造成受害者正常上網(wǎng)。
情況二、局域網(wǎng)內(nèi)有某些用戶使用了ARP欺騙程序(如:網(wǎng)絡執(zhí)法官,QQ盜號軟件等)發(fā)送ARP欺騙數(shù)據(jù)包,致使被攻擊的電腦出現(xiàn)突然不能上網(wǎng),過一段時間又能上網(wǎng),反復掉線的現(xiàn)象。
關(guān)于APR欺騙的具體原理請看我收集的資料ARP欺騙的原理
二、故障診斷
如果用戶發(fā)現(xiàn)以上疑似情況,可以通過如下操作進行診斷:
點擊“開始”按鈕->選擇“運行”->輸入“arp–d”->點擊“確定”按鈕,然后重新嘗試上網(wǎng),如果能恢復正常,則說明此次掉線可能是受ARP欺騙所致。
注:arp-d命令用于清除并重建本機arp表。arp–d命令并不能抵御ARP欺騙,執(zhí)行后仍有可能再次遭受ARP攻擊。
三、故障處理
1、中毒者:建議使用趨勢科技SysClean工具或其他殺毒軟件清除病毒。
2、被害者:(1)綁定網(wǎng)關(guān)mac地址。具體方法如下:
1)首先,獲得路由器的內(nèi)網(wǎng)的MAC地址(例如網(wǎng)關(guān)地址10.10.75.254的MAC地址為0022aa0022aa)。2)編寫一個批處理文件AntiArp.bat內(nèi)容如下: @echooffarp-darp-s10.10.75.25400-22-aa-00-22-aa
將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)IP地址和MAC地址即可,計算機重新啟動后需要重新進行綁定,因此我們可以將該批處理文件AntiArp.bat文件拖到“windows--開始--程序--啟動”中。這樣開機時這個批處理就被執(zhí)行了。
(2)使用ARP防火墻(例如AntiArp)軟件抵御ARP攻擊。
AntiArp軟件會在提示框內(nèi)出現(xiàn)病毒主機的MAC地址
四,找出ARP病毒源
第一招:使用Sniffer抓包
在網(wǎng)絡內(nèi)任意一臺主機上運行抓包軟件,捕獲所有到達本機的數(shù)據(jù)包。如果發(fā)現(xiàn)有某個IP不斷發(fā)送
ARP Request請求包,那么這臺電腦一般就是病毒源。原理:無論何種ARP病毒變種,行為方式有兩種,一是欺騙網(wǎng)關(guān),二是欺騙網(wǎng)內(nèi)的所有主機。最終的結(jié)果是,在網(wǎng)關(guān)的ARP緩存表中,網(wǎng)內(nèi)所有活動主機的MAC地址均為中毒主機的MAC地址;網(wǎng)內(nèi)所有主機的ARP緩存表中,網(wǎng)關(guān)的MAC地址也成為中毒主機的MAC地址。前者保證了從網(wǎng)關(guān)到網(wǎng)內(nèi)主機的數(shù)據(jù)包被發(fā)到中毒主機,后者相反,使得主機發(fā)往網(wǎng)關(guān)的數(shù)據(jù)包均發(fā)送到中毒主機。
第二招:使用arp-a命令任意選兩臺不能上網(wǎng)的主機,在DOS命令窗口下運行arp-a命令。例如在結(jié)果中,兩臺電腦除了網(wǎng)關(guān)的IP,MAC地址對應項,都包含了192.168.0.186的這個IP,則可以斷定192.168.0.186這臺主機就是病毒源。原理:一般情況下,網(wǎng)內(nèi)的主機只和網(wǎng)關(guān)通信。正常情況下,一臺主機的ARP緩存中應該只有網(wǎng)關(guān)的MAC地址。如果有其他主機的MAC地址,說明本地主機和這臺主機最后有過數(shù)據(jù)通信發(fā)生。如果某臺主機(例如上面的192.168.0.186)既不是網(wǎng)關(guān)也不是服務器,但和網(wǎng)內(nèi)的其他主機都有通信活動,且此時又是ARP病毒發(fā)作時期,那么,病毒源也就是它了。
第三招:使用tracert命令在任意一臺受影響的主機上,在DOS命令窗口下運行如下命令:tracert61.135.179.148。假定設置的缺省網(wǎng)關(guān)為10.8.6.1,在跟蹤一個外網(wǎng)地址時,第一跳卻是10.8.6.186,那么,10.8.6.186就是病毒源。原理:中毒主機在受影響主機和網(wǎng)關(guān)之間,扮演了“中間人”的角色。所有本應該到達網(wǎng)關(guān)的數(shù)據(jù)包,由于錯誤的MAC地址,均被發(fā)到了中毒主機。此時,中毒主機越俎代庖,起了缺省網(wǎng)關(guān)的作用。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~·
(ARP欺騙的更容易理解的解析)
最近在論壇上經(jīng)常看到關(guān)于ARP病毒的問題,于是在Google上搜索ARP關(guān)鍵字,結(jié)果出來很多關(guān)于這類問題的討論。我的求知欲很強,想再學習ARP下相關(guān)知識,所以對目前網(wǎng)絡中常見的ARP問題進行了一個總結(jié)。
1. ARP概念
咱們談ARP之前,還是先要知道ARP的概念和工作原理,理解了原理知識,才能更好去面對和分析處理問題。
1.1 ARP概念知識
ARP,全稱Address Resolution Protocol,中文名為地址解析協(xié)議,它工作在數(shù)據(jù)鏈路層,在本層和硬件接口聯(lián)系,同時對上層提供服務。
IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送,以太網(wǎng)設備并不識別32位IP地址,它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包。因此,必須把IP目的地址轉(zhuǎn)換成以太網(wǎng)目的地址。在以太網(wǎng)中,一個主機要和另一個主機進行直接通信,必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢?它就是通過地址解析協(xié)議獲得的。ARP協(xié)議用于將網(wǎng)絡中的IP地址解析為的硬件地址(MAC地址),以保證通信的順利進行。
1.2 ARP工作原理
首先,每臺主機都會在自己的ARP緩沖區(qū)中建立一個 ARP列表,以表示IP地址和MAC地址的對應關(guān)系。當源主機需要將一個數(shù)據(jù)包要發(fā)送到目的主機時,會首先檢查自己 ARP列表中是否存在該 IP地址對應的MAC地址,如果有﹐就直接將數(shù)據(jù)包發(fā)送到這個MAC地址;如果沒有,就向本地網(wǎng)段發(fā)起一個ARP請求的廣播包,查詢此目的主機對應的MAC地址。此ARP請求數(shù)據(jù)包里包括源主機的IP地址、硬件地址、以及目的主機的IP地址。網(wǎng)絡中所有的主機收到這個ARP請求后,會檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數(shù)據(jù)包;如果相同,該主機首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已經(jīng)存在該IP的信息,則將其覆蓋,然后給源主機發(fā)送一個 ARP響應數(shù)據(jù)包,告訴對方自己是它需要查找的MAC地址;源主機收到這個ARP響應數(shù)據(jù)包后,將得到的目的主機的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息開始數(shù)據(jù)的傳輸。如果源主機一直沒有收到ARP響應數(shù)據(jù)包,表示ARP查詢失敗。
例如:
A的地址為:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址為:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
根據(jù)上面的所講的原理,我們簡單說明這個過程:A要和B通訊,A就需要知道B的以太網(wǎng)地址,于是A發(fā)送一個ARP請求廣播(誰是192.168.10.2 ,請告訴192.168.10.1),當B收到該廣播,就檢查自己,結(jié)果發(fā)現(xiàn)和自己的一致,然后就向A發(fā)送一個ARP單播應答(192.168.10.2 在BB-BB-BB-BB-BB-BB)。
1.3 ARP通訊模式
通訊模式(Pattern Analysis):在網(wǎng)絡分析中,通訊模式的分析是很重要的,不同的協(xié)議和不同的應用都會有不同的通訊模式。更有些時候,相同的協(xié)議在不同的企業(yè)應用中也會出現(xiàn)不同的通訊模式。ARP在正常情況下的通訊模式應該是:請求 -> 應答 -> 請求 -> 應答,也就是應該一問一答。
2. 常見ARP攻擊類型
個人認為常見的ARP攻擊為兩種類型:ARP掃描和ARP欺騙。
2.1 ARP掃描(ARP請求風暴)
通訊模式(可能):
請求 -> 請求 -> 請求 -> 請求 -> 請求 -> 請求 -> 應答 -> 請求 -> 請求 -> 請求...
描述:
網(wǎng)絡中出現(xiàn)大量ARP請求廣播包,幾乎都是對網(wǎng)段內(nèi)的所有主機進行掃描。大量的ARP請求廣播可能會占用網(wǎng)絡帶寬資源;ARP掃描一般為ARP攻擊的前奏。
出現(xiàn)原因(可能):
*病毒程序,偵聽程序,掃描程序。
*如果網(wǎng)絡分析軟件部署正確,可能是我們只鏡像了交換機上的部分端口,所以大量ARP請求是來自與非鏡像口連接的其它主機發(fā)出的。
*如果部署不正確,這些ARP請求廣播包是來自和交換機相連的其它主機。
2.2 ARP欺騙
ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應答。當計算機接收到ARP應答數(shù)據(jù)包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和MAC地址存儲在ARP緩存中。所以在網(wǎng)絡中,有人發(fā)送一個自己偽造的ARP應答,網(wǎng)絡可能就會出現(xiàn)問題。這可能就是協(xié)議設計者當初沒考慮到的!
2.2.1 欺騙原理
假設一個網(wǎng)絡環(huán)境中,網(wǎng)內(nèi)有三臺主機,分別為主機A、B、C。主機詳細信息如下描述:
A的地址為:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址為:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
C的地址為:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC
正常情況下A和C之間進行通訊,但是此時B向A發(fā)送一個自己偽造的ARP應答,而這個應答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本來應該是CC-CC-CC-CC-CC-CC,這里被偽造了)。當A接收到B偽造的ARP應答,就會更新本地的ARP緩存(A被欺騙了),這時B就偽裝成C了。同時,B同樣向C發(fā)送一個ARP應答,應答包中發(fā)送方IP地址四192.168.10.1(A的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本來應該是AA-AA-AA-AA-AA-AA),當C收到B偽造的ARP應答,也會更新本地ARP緩存(C也被欺騙了),這時B就偽裝成了A。這樣主機A和C都被主機B欺騙,A和C之間通訊的數(shù)據(jù)都經(jīng)過了B。主機B完全可以知道他們之間說的什么:)。這就是典型的ARP欺騙過程。
注意:一般情況下,ARP欺騙的某一方應該是網(wǎng)關(guān)。
2.2.2 兩種情況
ARP欺騙存在兩種情況:一種是欺騙主機作為“中間人”,被欺騙主機的數(shù)據(jù)都經(jīng)過它中轉(zhuǎn)一次,這樣欺騙主機可以竊取到被它欺騙的主機之間的通訊數(shù)據(jù);另一種讓被欺騙主機直接斷網(wǎng)。
第一種:竊取數(shù)據(jù)(嗅探)
通訊模式:
應答 -> 應答 -> 應答 -> 應答 -> 應答 -> 請求 -> 應答 -> 應答 ->請求->應答...
描述:
這種情況就屬于我們上面所說的典型的ARP欺騙,欺騙主機向被欺騙主機發(fā)送大量偽造的ARP應答包進行欺騙,當通訊雙方被欺騙成功后,自己作為了一個“中間人“的身份。此時被欺騙的主機雙方還能正常通訊,只不過在通訊過程中被欺騙者“竊聽”了。
出現(xiàn)原因(可能):
*木馬病毒
*嗅探
*人為欺騙
第二種:導致斷網(wǎng)
通訊模式:
應答 -> 應答 -> 應答 -> 應答 -> 應答 -> 應答 -> 請求…
描述:
這類情況就是在ARP欺騙過程中,欺騙者只欺騙了其中一方,如B欺騙了A,但是同時B沒有對C進行欺騙,這樣A實質(zhì)上是在和B通訊,所以A就不能和C通訊了,另外一種情況還可能就是欺騙者偽造一個不存在地址進行欺騙。
對于偽造地址進行的欺騙,在排查上比較有難度,這里最好是借用TAP設備(這個東東好像有點貴勒),分別捕獲單向數(shù)據(jù)流進行分析!
出現(xiàn)原因(可能):
* 木馬病毒
*人為破壞
*一些網(wǎng)管軟件的控制功能
3. 常用的防護方法
搜索網(wǎng)上,目前對于ARP攻擊防護問題出現(xiàn)最多是綁定IP和MAC和使用ARP防護軟件,也出現(xiàn)了具有ARP防護功能的路由器。呵呵,我們來了解下這三種方法。
3.1 靜態(tài)綁定
最常用的方法就是做IP和MAC靜態(tài)綁定,在網(wǎng)內(nèi)把主機和網(wǎng)關(guān)都做IP和MAC綁定。
欺騙是通過ARP的動態(tài)實時的規(guī)則欺騙內(nèi)網(wǎng)機器,所以我們把ARP全部設置為靜態(tài)可以解決對內(nèi)網(wǎng)PC的欺騙,同時在網(wǎng)關(guān)也要進行IP和MAC的靜態(tài)綁定,這樣雙向綁定才比較保險。
方法:
對每臺主機進行IP和MAC地址靜態(tài)綁定。
通過命令,arp -s可以實現(xiàn) “arp –s IP MAC地址 ”。
例如:“arp –s 192.168.10.1 AA-AA-AA-AA-AA-AA”。
如果設置成功會在PC上面通過執(zhí)行 arp -a 可以看到相關(guān)的提示:
Internet Address Physical Address Type
192.168.10.1 AA-AA-AA-AA-AA-AA static(靜態(tài))
一般不綁定,在動態(tài)的情況下:
Internet Address Physical Address Type
192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(動態(tài))
說明:對于網(wǎng)絡中有很多主機,500臺,1000臺...,如果我們這樣每一臺都去做靜態(tài)綁定,工作量是非常大的。。。。,這種靜態(tài)綁定,在電腦每次重起后,都必須重新在綁定,雖然也可以做一個批處理文件,但是還是比較麻煩的!
3.2 使用ARP防護軟件
目前關(guān)于ARP類的防護軟件出的比較多了,大家使用比較常用的ARP工具主要是欣向ARP工具,Antiarp等。它們除了本身來檢測出ARP攻擊外,防護的工作原理是一定頻率向網(wǎng)絡廣播正確的ARP信息。我們還是來簡單說下這兩個小工具。
3.2.1 欣向ARP工具
我使用了該工具,它有5個功能:
?
A. IP/MAC清單
選擇網(wǎng)卡。如果是單網(wǎng)卡不需要設置。如果是多網(wǎng)卡需要設置連接內(nèi)網(wǎng)的那塊網(wǎng)卡。
IP/MAC掃描。這里會掃描目前網(wǎng)絡中所有的機器的IP與MAC地址。請在內(nèi)網(wǎng)運行正常時掃描,因為這個表格將作為對之后ARP的參照。
之后的功能都需要這個表格的支持,如果出現(xiàn)提示無法獲取IP或MAC時,就說明這里的表格里面沒有相應的數(shù)據(jù)。
?
B. ARP欺騙檢測
這個功能會一直檢測內(nèi)網(wǎng)是否有PC冒充表格內(nèi)的IP。你可以把主要的IP設到檢測表格里面,例如,路由器,電影服務器,等需要內(nèi)網(wǎng)機器訪問的機器IP。
(補充)“ARP欺騙記錄”表如何理解:
“Time”:發(fā)現(xiàn)問題時的時間;
“sender”:發(fā)送欺騙信息的IP或MAC;
“Repeat”:欺詐信息發(fā)送的次數(shù);
“ARP info”:是指發(fā)送欺騙信息的具體內(nèi)容.如下面例子:
time sender Repeat ARP info 22:22:22 192.168.1.22 1433 192.168.1.1 is at 00:0e:03:22:02:e8
這條信息的意思是:在22:22:22的時間,檢測到由192.168.1.22發(fā)出的欺騙信息,已經(jīng)發(fā)送了1433次,他發(fā)送的欺騙信息的內(nèi)容是:192.168.1.1的MAC地址是00:0e:03:22:02:e8。
打開檢測功能,如果出現(xiàn)針對表內(nèi)IP的欺騙,會出現(xiàn)提示。可以按照提示查到內(nèi)網(wǎng)的ARP欺騙的根源。提示一句,任何機器都可以冒充其他機器發(fā)送IP與MAC,所以即使提示出某個IP或MAC在發(fā)送欺騙信息,也未必是100%的準確。所有請不要以暴力解決某些問題。
?
C. 主動維護
這個功能可以直接解決ARP欺騙的掉線問題,但是并不是理想方法。他的原理就在網(wǎng)絡內(nèi)不停的廣播制定的IP的正確的MAC地址。
“制定維護對象”的表格里面就是設置需要保護的IP。發(fā)包頻率就是每秒發(fā)送多少個正確的包給網(wǎng)絡內(nèi)所有機器。強烈建議盡量少的廣播IP,盡量少的廣播頻率。一般設置1次就可以,如果沒有綁定IP的情況下,出現(xiàn)ARP欺騙,可以設置到50-100次,如果還有掉線可以設置更高,即可以實現(xiàn)快速解決ARP欺騙的問題。但是想真正解決ARP問題,還是請參照上面綁定方法。
?
D. 欣向路由器日志
收集欣向路由器的系統(tǒng)日志,等功能。
?
E. 抓包
類似于網(wǎng)絡分析軟件的抓包,保存格式是.cap。
3.2.1 Antiarp
這個軟件界面比較簡單,以下為我收集該軟件的使用方法。
A. 填入網(wǎng)關(guān)IP地址,點擊[獲取網(wǎng)關(guān)地址]將會顯示出網(wǎng)關(guān)的MAC地址。點擊[自動防護]即可保護當前網(wǎng)卡與該網(wǎng)關(guān)的通信不會被第三方監(jiān)聽。注意:如出現(xiàn)ARP欺騙提示,這說明攻擊者發(fā)送了ARP欺騙數(shù)據(jù)包來獲取網(wǎng)卡的數(shù)據(jù)包,如果您想追蹤攻擊來源請記住攻擊者的MAC地址,利用MAC地址掃描器可以找出IP 對應的MAC地址。
B. IP地址沖突
如頻繁的出現(xiàn)IP地址沖突,這說明攻擊者頻繁發(fā)送ARP欺騙數(shù)據(jù)包,才會出現(xiàn)IP沖突的警告,利用Anti ARP Sniffer可以防止此類攻擊。
C. 您需要知道沖突的MAC地址,Windows會記錄這些錯誤。查看具體方法如下:
右擊[我的電腦]--[管理]--點擊[事件查看器]--點擊[系統(tǒng)]--查看來源為[TcpIP]---雙擊事件可以看到顯示地址發(fā)生沖突,并記錄了該MAC地址,請復制該MAC地址并填入Anti ARP Sniffer的本地MAC地址輸入框中(請注意將:轉(zhuǎn)換為-),輸入完成之后點擊[防護地址沖突],為了使MAC地址生效請禁用本地網(wǎng)卡然后再啟用網(wǎng)卡,在CMD命令行中輸入Ipconfig /all,查看當前MAC地址是否與本地MAC地址輸入框中的MAC地址相符,如果更改失敗請與我聯(lián)系。如果成功將不再會顯示地址沖突。
注意:如果您想恢復默認MAC地址,請點擊[恢復默認],為了使MAC地址生效請禁用本地網(wǎng)卡然后再啟用網(wǎng)卡。
3.3 具有ARP防護功能的路由器
這類路由器以前聽說的很少,對于這類路由器中提到的ARP防護功能,其實它的原理就是定期的發(fā)送自己正確的ARP信息。但是路由器的這種功能對于真正意義上的攻擊,是不能解決的。
ARP的最常見的特征就是掉線,一般情況下不需要處理一定時間內(nèi)可以回復正常上網(wǎng),因為ARP欺騙是有老化時間的,過了老化時間就會自動的回復正常。現(xiàn)在大多數(shù)路由器都會在很短時間內(nèi)不停廣播自己的正確ARP信息,使受騙的主機回復正常。但是如果出現(xiàn)攻擊性ARP欺騙(其實就是時間很短的量很大的欺騙ARP,1秒有個幾百上千的),它是不斷的發(fā)起ARP欺騙包來阻止內(nèi)網(wǎng)機器上網(wǎng),即使路由器不斷廣播正確的包也會被他大量的錯誤信息給淹沒。
可能你會有疑問:我們也可以發(fā)送比欺騙者更多更快正確的ARP信息啊?如果攻擊者每秒發(fā)送1000個ARP欺騙包,那我們就每秒發(fā)送1500個正確的ARP信息!
面對上面的疑問,我們仔細想想,如果網(wǎng)絡拓撲很大,網(wǎng)絡中接了很多網(wǎng)絡設備和主機,大量的設備都去處理這些廣播信息,那網(wǎng)絡使用起來好不爽,再說了會影響到我們工作和學習。ARP廣播會造成網(wǎng)絡資源的浪費和占用。如果該網(wǎng)絡出了問題,我們抓包分析,數(shù)據(jù)包中也會出現(xiàn)很多這類ARP廣播包,對分析也會造成一定的影響。
ARP欺騙用途
ARP欺騙亦有正當用途。其一是在一個需要登入的網(wǎng)絡中,讓未登入的計算機將其瀏覽網(wǎng)頁強制轉(zhuǎn)向到登入頁面,以便登入后才可使用網(wǎng)絡。另外有些設有備援機制的網(wǎng)絡設備或服務器,亦需要利用ARP欺騙以在設備出現(xiàn)故障時將訊務導到備用的設備上。
總結(jié)
- 上一篇: 黑盒(功能)测试基本方法
- 下一篇: php str cmp,php中整数的s