|
ARP攻擊的防范與解決方案
資源天下 2019/8/16 10:32:43
目錄
1. 故障現(xiàn)象 1
2. 故障原理 1
3. 在局域網(wǎng)內(nèi)查找病毒主機(jī)方法 2
3.1 在PC上綁定路由器的IP和MAC地址 3
3.2 在路由器上綁定用戶主機(jī)的IP和MAC地址 3
3.3 關(guān)閉并重啟端口檢測(cè)功能 4
“Trojan.PSW.LMir.qh”傳奇殺手木馬病毒�,俗稱(chēng)“ARP欺騙攻擊”�,其主要通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙�,能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞或者實(shí)現(xiàn)“man in the middle” 進(jìn)行ARP重定向和嗅探攻擊。
1.故障現(xiàn)象
間斷性斷網(wǎng)�����,網(wǎng)速變慢����,本機(jī)IP地址和MAC地址發(fā)生變化。
當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序時(shí)��,會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器����,讓所有上網(wǎng)的流量必須經(jīng)過(guò)病毒主機(jī)。其他用戶原來(lái)直接通過(guò)路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過(guò)病毒主機(jī)上網(wǎng)����,切換的時(shí)候用戶會(huì)斷一次線。
切換到病毒主機(jī)上網(wǎng)后�����,如果用戶已經(jīng)登陸了服務(wù)器�����,那么病毒主機(jī)就會(huì)經(jīng)常偽造斷線的假像,那么用戶就得重新登錄服務(wù)器�,這樣病毒主機(jī)就可以盜號(hào)了。
由于ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制����,用戶會(huì)感覺(jué)上網(wǎng)速度越來(lái)越慢。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí)���,用戶會(huì)恢復(fù)從路由器上網(wǎng)���,切換過(guò)程中用戶會(huì)再斷一次線。
2.故障原理
要了解故障原理�����,我們先來(lái)了解一下ARP協(xié)議����。
在局域網(wǎng)中�,通過(guò)ARP協(xié)議來(lái)完成IP地址轉(zhuǎn)換為第二層物理地址(即MAC地址)的。ARP協(xié)議對(duì)網(wǎng)絡(luò)安全具有重要的意義���。通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙�����,能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞�。
ARP協(xié)議是“Address Resolution Protocol”(地址解析協(xié)議)的縮寫(xiě)。在局域網(wǎng)中�����,網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫�,幀里面是有目?biāo)主機(jī)的MAC地址的。在以太網(wǎng)中�����,一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信�,必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得的呢��?它就是通過(guò)地址解析協(xié)議獲得的���。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過(guò)程��。ARP協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址���,查詢(xún)目標(biāo)設(shè)備的MAC地址��,以保證通信的順利進(jìn)行����。
每臺(tái)安裝有TCP/IP協(xié)議的電腦里都有一個(gè)ARP緩存表���,表里的IP地址與MAC地址是一一對(duì)應(yīng)的���,如下表所示。
表1��、ARP緩存表
主機(jī) IP地址 MAC地址
A 172.16.115.1 aa-aa-aa-aa-aa-aa
B 172.16.115.2 bb-bb-bb-bb-bb-bb
C 172.16.115.3 cc-cc-cc-cc-cc-cc
D 172.16.115.4 dd-dd-dd-dd-dd-dd
我們以主機(jī)A(172.16.115.1)向主機(jī)B(172.16.115.2)發(fā)送數(shù)據(jù)為例����。當(dāng)發(fā)送數(shù)據(jù)時(shí),主機(jī)A會(huì)在自己的ARP緩存表中尋找是否有目標(biāo)IP地址�。如果找到了,也就知道了目標(biāo)MAC地址��,直接把目標(biāo)MAC地址寫(xiě)入幀里面發(fā)送就可以了�;如果在ARP緩存表中沒(méi)有找到相對(duì)應(yīng)的IP地址,主機(jī)A就會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播��,目標(biāo)MAC地址是“FF.FF.FF.FF.FF.FF”���,這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢(xún)問(wèn):“172.16.115.2的MAC地址是什么�?”網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng)ARP詢(xún)問(wèn)����,只有主機(jī)B接收到這個(gè)幀時(shí),才向主機(jī)A做出這樣的回應(yīng):“172.16.115.2的MAC地址是bb-bb-bb-bb-bb-bb”�����。這樣��,主機(jī)A就知道了主機(jī)B的MAC地址��,它就可以向主機(jī)B發(fā)送信息了����。同時(shí)它還更新了自己的ARP緩存表,下次再向主機(jī)B發(fā)送信息時(shí)����,直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機(jī)制��,在一段時(shí)間內(nèi)如果表中的某一行沒(méi)有使用,就會(huì)被刪除�,這樣可以大大減少ARP緩存表的長(zhǎng)度,加快查詢(xún)速度���。
從上面可以看出��,ARP協(xié)議的基礎(chǔ)就是信任局域網(wǎng)內(nèi)所有的人���,那么就很容易實(shí)現(xiàn)在以太網(wǎng)上的ARP欺騙。對(duì)目標(biāo)A進(jìn)行欺騙�����,A去Ping主機(jī)C卻發(fā)送到了DD-DD-DD-DD-DD-DD這個(gè)地址上����。如果進(jìn)行欺騙的時(shí)候,把C的MAC地址騙為DD-DD-DD-DD-DD-DD�����,于是A發(fā)送到C上的數(shù)據(jù)包都變成發(fā)送給D的了��。這不正好是D能夠接收到A發(fā)送的數(shù)據(jù)包了么����,嗅探成功����。
A對(duì)這個(gè)變化一點(diǎn)都沒(méi)有意識(shí)到�����,但是接下來(lái)的事情就讓A產(chǎn)生了懷疑�。因?yàn)锳和C連接不上(未完�����,下一頁(yè))
|