欢迎来到天天文库
浏览记录
ID:25970863
大小:51.00 KB
页数:5页
时间:2018-11-23
《基于监听抓包技术的互联网arp攻防战》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、基于监听抓包技术的互联网ARP攻防战基于监听抓包技术的互联网ARP攻防战 互联网络技术与信息业务发展在今天发生了根本性的改变。各类工作对信息的日益依赖给网络的保密性和安全性提出了更高的要求。各类工作对信息的依赖程度与日俱增,一旦重要的网络信息系统陷入瘫痪,对各类工作可以说是一种毁灭性的打击。近些年来,不少研究人员对于信息加密以及访问控制认证、IP安全等计算机系统安全、计算机网络通信安全方面做了很多研究,并取得了显著的研究成果。但网络的脆弱性和复杂性增加了威胁和攻击的可能性,而且作为许多用户都急需解决的网络监控问题却很少被本文由.LAC找出
2、来,然后将数据传输至这个MAC所对应的网卡之中。因此MAC对于网络传输来说具有决定性质的意义。 网络中的电脑接收ARP讯息后,会查验包中IP流向方向是否和己方IP一致。如果不同的话采取忽略策略;倘若一致的话,电脑主机第一步把送出的MAC和IP配置到己方ARP表中,倘若ARP表中早已保存该IP的数据,便将其覆盖,随即给送出者发送系列ARP反馈数据包,明确自己就是其说对应的MAC;发送方收到ARP回应后,把目的IP包括MAC添加进来,然后根据这些信息进行通讯。倘若发送方未收到任何讯息,则本次联通失败。 (2)ARP欺骗攻击原理 了解了上述
3、ARP的工作原理之后,只要举一个例子就可以解决ARP欺骗和攻击的原理了。首先,我们要创造一个虚拟的网络环境: 网关:1.1.1.1MAC:00:11:22:33:44:55 攻击主机A:1.1.1.2MAC:00:11:22:33:44:66 受害主机B:1.1.1.3MAC:00:11:22:33:44:77 攻击主机A不停的发送ARP应答包给网关,告诉网关他是主机B,这样网关就相信攻击主机,并且在网关的ARP缓存表里就有主机B对应的MAC,这时主机A的MAC就转到了假主机B的头上,网关真正发给主机B的流量就转发给主机A;另外主机
4、A同时不停的向主机B发送ARP讯息,主机B相信主机A为网关,这样主机B真正发送给网关的数据流量就会转发到主机A;等于说主机A和网关之间的通讯就经过了主机A,主机A作为了一个中间人在彼此之间进行转发,这就是ARP欺骗攻击的原理,不难看出,最后受害的就是网关和主机B了,而ARP攻防战的精髓也在此,只要找出主机A的具体位置,那就可以对症下药,彻底解决问题,值得一提的是,有时候主机A不止一台,那样的话就比较棘手,必须一点一点的核对,但是其基本原理还是相同的,只要慢慢排查,总能查到发送欺骗数据包的主机。 二、ARP攻击战 我们了解了相关原理之后就
5、可以对其进行针对性的排查和解决了,以下笔者从简单到复杂,罗列出绝大部分适用于我们日常互联网维护的方法和措施,供大家研究和参考,有一点值得提醒,请务必在平时做好每台计算机MAC和实际计算机摆放位置或者使用人的对应表,这样会给我们排查带来极大的便利。 (一)基于操作系统命令行模式的监听查找 对于受到ARP攻击的计算机,笔者首推系统(以XP专业版为例)内自带命令行模式,其使用方便,快速有效,不需要第三方软件的支持。具体实施办法:可先进入DOS模式,在系统的开始运行内输入CMD后进行DOS界面,输入ARP-D即可删除本机内已存在的ARP缓存列表
6、,随机等待片刻后,输入ARP-A,会显示出如表2的内容: 我们可以明显的看到,第一行即本机的IP,在其中有两条MAC地址中有两条重复,很显然,MAC为00-e0-4c-c2-7e-50的计算机在进行ARP欺骗攻击,只需要找出这个MAC对应的计算机进行排查即可,看其是否感染病毒或者木马程序。 (二)基于抓包的分析查询 在实战中此类情况产生的可能性较小,但是一旦产生其处理难度相当之大,即使具备丰富经验的网络工程师也可能无能为力,笔者就遇到过名为ARP攻击变形者的病毒产生的攻击,其会自动改变本身的MAC以及仿造大量的其他计算机的MAC,造成
7、每次查询出来的数据包都不一样,造成判断上的难点。现在简单介绍具体方法如下: 如果交换机为网管型交换机可以直接创造一个镜像端口,然后单独连接一台确认无异常情况的计算机安装抓包软件进行抓包分析,如无网管型交换机,可在网关处采取一机双网卡的模式进行搭桥,在其中使用对一块网卡进行抓包的方法来分析判断。抓包分析的软件有很多,主要的原理就是找出发送大量数据包的相同IP,可能出现的情况就是攻击者并不像传统的ARP攻击那样欺骗网关,让网关引领其他的计算机产生指向错误,而是直接欺骗整个除网关外的网段内的所有计算机,让它们都以为本身是网关,从而吸引其通过本身
8、进行数据传递,造成断网,在做到精确的数据分析后,找出有问题的机器进行单独处理。 三、ARP防御战 相对于ARP攻击的查找和排除而言,防御ARP攻击则简单的多,毕竟ARP的原理
此文档下载收益归作者所有