没有合适的资源?快使用搜索试试~ 我知道了~
ARP攻击与故障排除知识.docx
0 下载量 5 浏览量
2022-10-24
16:16:43
上传
评论
收藏 131KB DOCX 举报
温馨提示
试读
67页
ARP攻击与故障排除知识
资源推荐
资源详情
资源评论
ARP 攻击与故障排除知识
ARP 透视——出现 ARP 欺骗攻击时的现象
1、网上银行、游戏及 QQ 账号的频繁丢失
一些人为了获取非法利益,利用 ARP 欺骗程序在网内进行非法活动,此类程序
的主要目的在于破解账号登陆时的加密解密算法,通过截取局域网中的数
据包,然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒,就
可以获得整个局域网中上网用户账号的详细信息并盗取。
2、网速时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常
当局域内的某台计算机被 ARP 的欺骗程序非法侵入后,它就会持续地向网内所
有的计算机及网络设备发送大量的非法 ARP 欺骗数据包,阻塞网络通道,
造成网络设备的承载过重,导致网络的通讯质量不稳定。
3、局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常
当带有 ARP 欺骗程序的计算机在网内进行通讯时,就会导致频繁掉线,出现此
类问题后重启计算机或禁用网卡会暂时解决问题,但掉线情况还会发生。
发贴者 dengguo 时间: 下午 6:39 0 评论
标签: ARP 欺骗, ARP 欺骗攻击
ARP 透视——传统的几种解决 ARP 问题的方式
方案一:
过滤局域网的 IP,关闭高危险的端口,关闭共享。升级系统补丁,升级杀毒软
件。
安装防火墙,设置防 ARP 的选项。
微软 ISA 防火墙功能强大,可是很占系统资源。
配置服务器是 Linux 的强项,当然能阻止部分 ARP 危害网络。但是从根本上并
没有解决掉 ARP 的问题,长时间超负荷运转对硬件的损害也显而易见。
方案二:
发现乱发 ARP 包的主机后,即通过路由器、硬件防火墙等设备在网关上阻止与
其它主机通信。迅速找到主机,断开其网络连接。检查机器是因为病毒木马
发送 ARP 包破坏网络环境,还是人为的使用 ARP 的网络管理软件。既然是使用
的网络管理软件,先得询问使用者是否有管理网络的特权。既然没有特权又为
何管理、控制网络呢?
方案三:
通过高档路由器进行双向绑定,即从路由器方面对从属客户机 IP-MAC 地址进
行绑定,同时从客户机方面对路由器进行 IP-MAC 地址绑定,双向绑定让 IP 不
容
易被欺骗。这种方案的实施比较烦琐,在客户机器或路由器更改硬件时,需要对
全网进行重新的 MAC 地址扫描并重新绑定,工作量巨大。所取得的效果,仅
仅可以防御住一些低端的 ARP 欺骗,对于攻击型 ARP 软件则无任何作用。
方案四:
使用 ARP 防护软件,针对 ARP 欺骗攻击的软件在网络中很多,但具体的效果却
一直不理想。多数软件单单针对 ARP 欺骗攻击的某一方面特性进行制作抵御软
件
的原理,并没有从根本上去考虑 ARP 欺骗攻击的产生与传播方式。所以,这些
软件在 ARP 防范领域影响甚微。
针对上述几种常见的传统防范 ARP 的方法,都有各自的优点,但是也都曝漏了
其局限性,并不都可以完全解决 ARP 欺骗攻击。网络中多台主机同时高频率的
发送 ARP 广播,会很轻易的造成网络瘫痪、路由器死机,使其它主机响应迟缓,
甚至造成系统停止响应(假死)。如果是 ARP 木马,还会进行传播,同时感
染其它网络中的其它主机,产生众多主机同时中毒的现象。
发贴者 dengguo 时间: 下午 6:39 0 评论
标签: ARP 欺骗, 防范 ARP 攻击
ARP 透视——ARP 欺骗,骗的是什么?
主持人:大家好,今天的主题是《ARP 欺骗,骗的是什么?》很高兴邀请到我们
的嘉宾资深网络技术专家张先生,为我们解答问题。
张:谢谢主持人。
主持人:他的 title 虽然是营销总监,但是也有深厚的功底,相信他今天给我们带
来精采的解答。
前一段时间,有一件事情被炒得非常火热,就是 MSN 被监听。实际上媒体也对
MSN 的监听软件做了报告,实际上它并不是非常容易被使用。但是网上后来又
出了叫停类的文章,是说 MSN Messenger 是配合 ARP 欺骗软件,就起到了它
原本应该有的作用。我们想问一下张先生,ARP 欺骗到底是什么样的技术?
张:ARP 欺骗我们必须从它的名词来讲。ARP 欺骗它是一个地址解读的协议。地
址解读协议是什么意思呢?在我们互联网上面,最常用的协议是 TCPIP,就是传
输的协议。IP 就是所谓定址的协议。好比我们用哪一栋大楼,在什么地方,在
网络上就是使用 IP 地址来定的。但是在实体上,我们大家都知道,在每一台
电脑上都有实体的地址。IP 地址是网络的一个地址。ARP 就是让这两个地址跟 IP
地址产生关联的一个协议。也就是说,我怎么知道哪一台 IP 在什么位置呢?
就是透过 ARP 去先地方他的 IP 地方在哪里,再把这个侦发过去。像 MSN 是怎
么欺骗的呢?在局域网里面,我这个侦或者这个包本来要发到某一个 IP,这个 IP
对的机器是 A 机器。它骗你这个 IP 对应的是第一台机器。你就以为这个包要发
到另外一台机器去。这就是所谓 ARP 欺骗的基本想法和思维。
主持人:ARP 欺骗对于我们局域网的一些应用看来是很危险的。
张:我从各地,从东莞,温州、宁波,在中国,普遍发现 ARP 欺骗影响,在早期
是网吧。它就是让这个网吧掉线。其实我们早期发现的时候,刚刚主持人讲
的一些应用就是所谓的 MSN 监听。在所谓的 MSN,并没有做特殊的加密。有
些人就想了一些机制去监听。其实 ARP 最早的应用就是在网络上盗取密码的。
就是
有一些在网吧里的用户,用 ARP 欺骗。另外一个用户在输入用户名和密码的时
候,就欺骗他的这台机器说,我的机器是路由器,他会把用户名的密码送到我
这台机器里面。他就可以把这个用户名和密码解读出来。等用户没有上网的时候,
他就可以把这个宝盗走。后来慢慢我们发现,很多用户用这个功能,在
这个上面做了很多的隐身,变得一发不可收拾。本来我大概可以用三秒、五秒,
后来就产生了很多隐身和变形,造成网断线。因为应用的软件失控了,他
就可以在某一台机器上不断做这个欺骗的动作。
主持人:ARP 欺骗软件运行同时,为什么会造成频繁的断线呢?
张:在我们以局域网运作来讲,我们有两种方式的传输。一种对外传,就是我的
用户有一个需求,他透过路由器对外界传送。这个时候,这是一种。另外一
种是回传。当有用户在网络上假装他自己是路由器的时候,用户往外传的包或者
侦就会送到假的用户去。这个软件就会有一来、一回持续的运作。当你今
天碰到 ARP 欺骗的时候,你就会发现你送去给他,他那边没有回应。用户就觉
得是掉线或者断线。严重的时候,就会把其他的应用,也没有办法应用了。所
以就感觉到大幅度掉线或者断线的功能。
主持人:实际上就是造成断线的假象。
张:实际上也真的断线了。就像我今天跟你在讲话,但是你听不到我讲话的声音。
我的服务器也不知道我在跟他讲什么话。另外一个人听到话,只是把它窃
取下来,记录下来,并没有给我回应。就是这样的现象。
主持人:刚才也说老了 ARP 欺骗最早可以用于盗取用户的一些密码、一些敏感信
息。现在我们知道,所有未加密的传送的软件,都应用配合一些应用工具监
听的。能不能再给我们介绍一下,配合 ARP 欺骗使用,还有什么所谓的黑客行
为呢?
张:盗宝是最主要的,另外就是监听。当 ARP 欺骗,可能配合其他的一些软件功
能这样子的。我们发现,在局域网里面,想盗取一些 ARP,或者无线网络里面
,基本上都是用局域网的特性叫广播。广播,像我们刚才提到的 ARP 欺骗为什
么可以成型?在每一个计算机里面,都存了一个 IP 地址的对应表。但是每台机
器的内存有限,当这个表不够的时候,会传一个广播信息。比如今天我要送给一
个 IP 地址,我就问这个 IP 在哪里?问出来,所有人都会接受。假如在标准正
常的运作里面,大家知道我不是这个,我不用回应。但是路由器知道,这个东西
不是这个网域里面,不用送。如果是假装这个 IP 地址的话,你就会产生一
种误解。其实这种比较重大的威胁,我们看到无线这边,有人利用这个特性,做
一些相关的动作。
主持人:也就是说,在无线或者有限的局域网里面,你所做的一些行为,都可以
用黑客软件配合 ARP 监控软件进行欺骗,截取。
张:有一些比较低阶段的应用就是所谓的监听。如果在对于这些软件做进一步的
分析,比如我这个软件送的时候是什么需求,回来的时候是什么需求。他可
以用另外一个目标把你所有的动作都拦截回去。如果今天对方知道,像一个交易,
他知道第一笔是什么,第二笔是什么,他把所有的资料都送过去。他也
可以把你的讯息拦截走,再转送到服务器,再转送回来。这样的隐身就变成了蛮
复杂的状况在应用。这也是各地对 ARP 效果影响越来越大的原因。
主持人:这个是一般用户来说,也是蛮头疼的问题。
张:用户因为不小心,用了一些软件,或者在 PC 里面点了一些 MSN 的连接等等,
把这个程序启动了,他会发现自己渐渐受到了影响。像今天早上我们的技术
支持跟我们说,湖北一些网吧,几乎没有人上网了。因为上不了网。
主持人:像有这种加密的软件传送,信息也是能被黑客截取。只是截取后看不到
内容?
张:是的。
主持人:前一阵子出有一个 msn chat sniffer 这样的软件,发现每一台机器都受
到了扫描攻击。后来我们分析,是中了病毒还是木马这类东西呢?
张:其实在早期里面,ARP 的很多功能,像陀螺仪木马这样的功能期在一起。在
早期的 ARP,只是黑客用来盗取密码,用了三、五秒钟。当你输入用户名和密
码的时候,另外一个用户发现没有回应,他会再输一次。但是因为这些 ARP 的
功能跟其他的木马或者其他的城市,或者网络上的连接、病毒结合在一起,所
以造成很大规模的影响,断线或者掉线。像你刚刚提到的状况,这个用户可能不
知道自己在做这样的事情,这是典型的病毒,这是病毒跟 ARP 结合的典型现
象。
主持人:他能通过 ARP 欺骗的病毒做什么呢?
张:ARP 欺骗的病毒做到现在,对于制作的人或者散布的人没有什么太大的作用,
纯粹是破坏的工具。因为 ARP 可以收集网络上广播的包,如果进一步的应用
,肯定会有很多的黑客在思考这个问题。因为网络上的特性属于来回,属于协议
这样的状况,如果你好好利用,好的方向能保持网络顺畅,不好的方向可
以拦截任何他需要的资讯。
主持人:从今年开始,在病毒这边应该是说黑客已经从最早的表现欲,已经转变
成有目的性的盈利的目标,也就是说,ARP 欺骗很可能被成为黑客盈利的手
段。
张:你怎么样发生 ARP 欺骗的状况,我们必须从原理开始讲。最简单的就是叫做
ARP 跟 IP 地址的对照表。我们有一些文章描述到,你可以对这个网络进行扫描
。像这个 ARP 的对照表,可以对这个网络进行扫描。当你发现某一个对应 IP 地
址的话,正常是一对一的关系,如果发现一对多的方式那就是异常的情况。回
到我们刚刚讲的,预防 ARP。我们必须建立地址跟 IP 的固定关系。因为它会欺
骗你。我们现在所谓绑定的功能,我们刚才讲了有两个方向做绑定,一个是路
由器的部分,你必须把内部的所有的机器,IP 地址做一个绑定。我们想了一些
功能,可以让它作后面做激活的动作把它绑定。
很多用户发现我只要在路由器这边做好了就行了,在终端这边就不用做了。但是
这样的话,会发生部分的现象。所以在用户这边有所谓的 ARP—S 的功能,
你把你的路由器的位置,也做绑定。这样送给路由器的包就不会被别人拦截去。
我们刚才谈到了两个方向,一个是所谓的路由器端做绑定,就是所有机器
的 IP 地址。另外是用户端也要绑定,绑的是路由器的 IP,跟路由器的地址。实
际上我们最近发现另外一个现象,就是对于中毒的这台机器还有另外的处理
剩余66页未读,继续阅读
资源评论
猫一样的女子245
- 粉丝: 94
- 资源: 2万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功