|
|
本帖最后由 fulltimes 于 2011-1-6 11:24 编辑
不难想像,我们整天泡在网上的朋友不可能不知道arp协议吧,呵呵,他是pc间通信必备协议,当然手动配置也行,不过费劲,也是局域网中让人最头疼的一个东西。现在让我们了解下arp。
1.首先说下我用它的第一个好处,就是了解局域网中存活主机,大家知道想知道哪个主机存活,可以使用ping一个网段,返回数据包的就证明他是存活的,但是如果对方开了防火墙,禁止了ping回复等功能,那么这将有碍于我们了解真向。大家难到真的得不到存活主机的地址吗?错,其实在ping 这前,是arp先出头的,他会找到存活主机的mac地址,这样才可以让数据包到达目标mac ,至于目标对你的数据包回不回复,那都是小事了,呵呵,让我们在cmd下,arp -a 一下,这样我们就可以知道哪个主机处于活动状态了,其实好多局域网扫描软件也是用的类似功能。当然也可以做一个软件,对于局域网中不存在的IP,可以作出假的mac回复与假的ping 回复,这样局域网中就多了好多假的存活主机。
2.可以造成对方的主机IP冲突。来看个arp包吧!只要编辑发送一个目标IP与源IP都是一个地址,那么目标主机就会显示IP冲突,当然,为了不让被攻击者找到你,你的源mac就成了一个假的mac.如果想禁止对方IP上网的话,那么 你直接可以和网关说,网关你好,我的ip是X,mac是010101010101,这样网关就会把去往ip X的数据包发送到一个不存在的mac ,最终Ip为x的主机不能上网。
3.如果充当中间人,还可以盗取用户的账户与密码等信息,它只要告诉网关,某个受害者IP的mac地址是他自己的mac,在告诉受害主机网关的IP对应mac是攻击者的mac,这样网关就会傻不拉机的把数据包发给他,然后攻击机收到包后,在发一份给受害主机,当被攻击主机发送数据的时候,会认为网关的IP对应的mac 就是攻击者的mac ,这样数据包又到了攻击者那,实现了完美的欺骗。
4.通过上面的问题我们发现,只要受害主机与网关不被欺骗,就可以成功的通信,通常大家做的是双向绑定,认为这样就很好了,其实是种想法是错误的,我在一次偶然中发现,因为我做了双绑,还是无法解决被arp攻击所带来的不良后果。只要我在交换机上一接入中arp病毒的机子,网络就慢的要死或无法上网,这是在做了双绑的情况下发生,这样的情况会让人误认为是交换或路由可能出了情况。但终于还是想通了为什么会发生这种情况,我们大家都知道二层交换是学习mac地址的然后将自己学习到的MAC地址储存于CAM表中,当一个中arp病毒的机子快速发送包时,就会出问题,记住这个数据包是一个特殊包,内容与协议都不用管,用为在二层,接收不到,只要快速发送源地址mac为网关的数据包就可以成功实现攻击。因为在数据包到交换机的时候,处于交换机本能原因,它会学习mac,并记入cam表中。与此同时,在同一个交换机上的数据包,如果正要出去网络的数据包,到交换时,交换会把包交给发给攻击者那个接口,这样网络会中断,因为网关的mac和攻击者的接口被交换记入了cam表,查表后转发数据包,就会产生一个错误。这个时候如果网关也有数据包过来,mac同样会被改回去,这个时候交换会处于一个相当烦忙的时候,它在不停的改动这个mac ,所以说,当快速发送这种包的时候网络是会完蛋的。如果网关的流量多于攻击机的流量,网络效果好一点会,因为交换的mac地址更倾向于正确的地址。与时同时,安装与主机的arp防火墙不会有反应,网关也不会有反应,他们是检测不到的。我认为解决此攻击,得用智能交换,要以做端口与mac的绑定,还得查看mac与端口的列表,从中找到攻击源。
5.昨天在51又看到一个解决arp攻击的方法,在此我只简单的说下。是什么呢?那就是虚似网关。在tcp/ip属性里设置一个假的网关,然后在路由表在添加一个路由条目,其优先级更高,指向于正真的网关,这种实现我认为要在所有主机上设置,也不算方便。 如:route add 0.0.0.0 mask 0.0.0.0 XXX.XXX.XXX.XXX metric 1;xxx为真实的网关,这样去往所有目标网络的数据包都将流入这个指定的xxx网关。
6.其次通过arp还可以探测到别人的网络流量,只有将流向网关的数据与网关流量主机的数据嗅探到攻击主机进行中间转发.短时间可得到目标主机的网络流量大小.然后对其进行速度控制.一个网络限制工具原理不过是此.如果其它主机安装ARP防火墙,在用p2p工具控制别人,将会把网络变的很糟糕.最近有个新的想法,交换是中间传输设备,如果都不能保证数据成功到达路由,还谈什么?如果现在普通小交换可以做某个接口与mac地址的绑定,也就是固定某个接口在得到某个mac后不在学习新的mac地址,哪怕通过一个物理按钮来控制。这样把通向网关的接口给固定住,可保安全。否折用智能交换机做端口与IP绑定.
7.仔细观察在arp攻击下的tracert
(正常情况下)
(在受到网关嗅探攻击情况下)
(在二层交换机受到攻击情况下)
作者:wildlee
|
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2011-1-6 10:35:22
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2011-1-6 11:20:54
发表于 2011-4-16 17:42:36
