|
ARP目前已經(jīng)不只是協(xié)議的簡寫,還成了掉線的代名詞�。很多網(wǎng)吧和企業(yè)網(wǎng)絡(luò)不穩(wěn)���,無故掉線���,經(jīng)濟(jì)蒙受了很大的損失。根據(jù)情況可以看出這是一種存在于網(wǎng)絡(luò)中的一種普遍問題��。出現(xiàn)此類問題的主要原因就是遭受了ARP攻擊����。
由于ARP攻擊的變種版本之多,傳播速度之快����,很多技術(shù)人員和企業(yè)對其束手無策�����。下面就來給大家從原理到應(yīng)用談一談這方面的話題。希望能夠幫大家解決此類問題����,凈化網(wǎng)絡(luò)環(huán)境。
在局域網(wǎng)中��,通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址�����,實(shí)現(xiàn)局域網(wǎng)機(jī)器的通信�����。ARP協(xié)議對網(wǎng)絡(luò)安全具有重要的意義�。這是建立在相互信任的基礎(chǔ)上。如果通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙���,將在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞�、掉線���、重定向���、嗅探攻擊�。
我們知道每個主機(jī)都用一個ARP高速緩存�����,存放最近IP地址到MAC硬件地址之間的映射記錄�。Windows高速緩存中的每一條記錄的生存時間一般為60秒,起始時間從被創(chuàng)建時開始算起���。默認(rèn)情況下��,ARP從緩存中讀取IP-MAC條目�����,緩存中的IP-MAC條目是根據(jù)ARP響應(yīng)包動態(tài)變化的���。
因此,只要網(wǎng)絡(luò)上有ARP響應(yīng)包發(fā)送到本機(jī)�����,即會更新ARP高速緩存中的IP-MAC條目���。如:X向Y發(fā)送一個自己偽造的ARP應(yīng)答�����,而這個應(yīng)答中的數(shù)據(jù)發(fā)送方IP地址是192.168.1.3(Z的IP地址)�,MAC地址是DD-DD-DD-DD-DD-DD(Z的真實(shí)MAC地址卻是CC-CC-CC-CC-CC-CC����,這里被偽造了)。當(dāng)Y接收到X偽造的ARP應(yīng)答�,就會更新本地的ARP緩存(Y可不知道被偽造了)。那么如果偽造成網(wǎng)關(guān)呢?
Switch上同樣維護(hù)著一個動態(tài)的MAC緩存�,它一般是這樣,首先����,交換機(jī)內(nèi)部有一個對應(yīng)的列表,交換機(jī)的端口對應(yīng)MAC地址表Port n <-> Mac記錄著每一個端口下面存在那些MAC地址�����,這個表開始是空的���,交換機(jī)從來往數(shù)據(jù)幀中學(xué)習(xí)�。
因?yàn)镸AC-PORT緩存表是動態(tài)更新的��,那么讓整個 Switch的端口表都改變,對Switch進(jìn)行MAC地址欺騙的Flood����,不斷發(fā)送大量假M(fèi)AC地址的數(shù)據(jù)包,Switch就更新MAC-PORT緩存�����,如果能通過這樣的辦法把以前正常的MAC和Port對應(yīng)的關(guān)系破壞了�����,那么Switch就會進(jìn)行泛洪發(fā)送給每一個端口��,讓Switch基本變成一個 HUB���,向所有的端口發(fā)送數(shù)據(jù)包��,要進(jìn)行嗅探攻擊的目的一樣能夠達(dá)到�。也將造成Switch MAC-PORT緩存的崩潰�����,如下面交換機(jī)中日志所示:
- Internet 192.168.1.4 0000b.cd85.a193 ARPAVlan256
-
- Internet 192.168.1.5 0000b.cd85.a193 ARPAVlan256
-
- Internet 192.168.1.6 0000b.cd85.a193 ARPAVlan256
-
- Internet 192.168.1.7 0000b.cd85.a193 ARPAVlan256
-
- Internet 192.168.1.8 0000b.cd85.a193 ARPAVlan256
-
- Internet 192.168.1.9 0000b.cd85.a193 ARPAVlan256
ARP攻擊時的主要現(xiàn)象
網(wǎng)上銀行�、保密數(shù)據(jù)的頻繁丟失����。當(dāng)局域網(wǎng)內(nèi)某臺主機(jī)運(yùn)行ARP欺騙的木馬程序時����,會欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器�����,讓所有上網(wǎng)的流量必須經(jīng)過病毒主機(jī)���。其他用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機(jī)上網(wǎng)����,切換的時候用戶會斷一次線���。切換到病毒主機(jī)上網(wǎng)后�,如果用戶已經(jīng)登陸服務(wù)器�����,那么病毒主機(jī)就會經(jīng)常偽造斷線的假像���,那么用戶就得重新登錄服務(wù)器��,這樣病毒主機(jī)就可以竊取所有機(jī)器的資料了����。
網(wǎng)速時快時慢,極其不穩(wěn)定�����,但單機(jī)進(jìn)行光纖數(shù)據(jù)測試時一切正常����。局域網(wǎng)內(nèi)頻繁性區(qū)域或整體掉線,重啟計算機(jī)或網(wǎng)絡(luò)設(shè)備后恢復(fù)正常
ARP欺騙的木馬程序由于發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制�,用戶會感覺上網(wǎng)速度越來越慢。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時���,用戶會恢復(fù)從路由器上網(wǎng)���,切換過程中用戶會再次斷線。
本文出自:億恩科技【www.xuefeilisp.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)�!虛擬主機(jī)域名注冊頂級提供商�����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
