欢迎来到天天文库
浏览记录
ID:5942016
大小:27.50 KB
页数:6页
时间:2017-12-29
《基于监听抓包技术互联网arp攻防战》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、基于监听抓包技术互联网ARP攻防战 【摘要】本文通过对互联网内常见的ARP攻击进行分析解读,并提出解决方案,从数据包监听的角度进行阐述,针对实际情况进行故障排除,力求达到解决类似故障的效果。【关键词】互联网;ARP;攻击;病毒;解决方案互联网络技术与信息业务发展在今天发生了根本性的改变。各类工作对信息的日益依赖给网络的保密性和安全性提出了更高的要求。各类工作对信息的依赖程度与日俱增,一旦重要的网络信息系统陷入瘫痪,对各类工作可以说是一种毁灭性的打击。近些年来,不少研究人员对于信息加密以及访问控制认证、IP安全等计算机系统安全、计算机网络通信安全方面做了很多研究,并取得了显著的
2、研究成果。但网络的脆弱性和复杂性增加了威胁和攻击的可能性,而且作为许多用户都急需解决的网络监控问题却很少被网络安全和管理技术的研究成果包含在内。一、ARP攻击简要原理6关于ARP的相关知识互联网上不胜枚举,但是大多理论性比较强,缺乏生动的描述和解释,故一些基础较差的网管员至今无法完全理解ARP的具体含义,不理解就无法对此问题进行深入的研究,更别提解决了,因此有必要对其基础理论知识做一个描述。(1)ARP工作原理首先,传输网络数据的原理就是将该IP所对应的MAC找出来,然后将数据传输至这个MAC所对应的网卡之中。因此MAC对于网络传输来说具有决定性质的意义。网络中的电脑接收ARP
3、讯息后,会查验包中IP流向方向是否和己方IP一致。如果不同的话采取忽略策略;倘若一致的话,电脑主机第一步把送出的MAC和IP配置到己方ARP表中,倘若ARP表中早已保存该IP的数据,便将其覆盖,随即给送出者发送系列ARP反馈数据包,明确自己就是其说对应的MAC;发送方收到ARP回应后,把目的IP包括MAC添加进来,然后根据这些信息进行通讯。倘若发送方未收到任何讯息,则本次联通失败。(2)ARP欺骗攻击原理了解了上述ARP的工作原理之后,只要举一个例子就可以解决ARP欺骗和攻击的原理了。首先,我们要创造一个虚拟的网络环境:网关:1.1.1.1MAC:00:11:22:33:44:
4、55攻击主机A:1.1.1.2MAC:00:11:22:33:44:66受害主机B:1.1.1.3MAC:00:11:22:33:44:776攻击主机A不停的发送ARP应答包给网关,告诉网关他是主机B,这样网关就相信攻击主机,并且在网关的ARP缓存表里就有主机B对应的MAC,这时主机A的MAC就转到了假主机B的头上,网关真正发给主机B的流量就转发给主机A;另外主机A同时不停的向主机B发送ARP讯息,主机B相信主机A为网关,这样主机B真正发送给网关的数据流量就会转发到主机A;等于说主机A和网关之间的通讯就经过了主机A,主机A作为了一个中间人在彼此之间进行转发,这就是ARP欺骗攻击
5、的原理,不难看出,最后受害的就是网关和主机B了,而ARP攻防战的精髓也在此,只要找出主机A的具体位置,那就可以对症下药,彻底解决问题,值得一提的是,有时候主机A不止一台,那样的话就比较棘手,必须一点一点的核对,但是其基本原理还是相同的,只要慢慢排查,总能查到发送欺骗数据包的主机。二、ARP攻击战我们了解了相关原理之后就可以对其进行针对性的排查和解决了,以下笔者从简单到复杂,罗列出绝大部分适用于我们日常互联网维护的方法和措施,供大家研究和参考,有一点值得提醒,请务必在平时做好每台计算机MAC和实际计算机摆放位置或者使用人的对应表,这样会给我们排查带来极大的便利。(一)基于操作系统
6、命令行模式的监听查找6对于受到ARP攻击的计算机,笔者首推系统(以XP专业版为例)内自带命令行模式,其使用方便,快速有效,不需要第三方软件的支持。具体实施办法:可先进入DOS模式,在系统的开始运行内输入“CMD”后进行DOS界面,输入“ARP-D”即可删除本机内已存在的ARP缓存列表,随机等待片刻后,输入“ARP-A”,会显示出如表2的内容:我们可以明显的看到,第一行即本机的IP,在其中有两条MAC地址中有两条重复,很显然,MAC为00-e0-4c-c2-7e-50的计算机在进行ARP欺骗攻击,只需要找出这个MAC对应的计算机进行排查即可,看其是否感染病毒或者木马程序。(二)基
7、于抓包的分析查询在实战中此类情况产生的可能性较小,但是一旦产生其处理难度相当之大,即使具备丰富经验的网络工程师也可能无能为力,笔者就遇到过名为“ARP攻击变形者”的病毒产生的攻击,其会自动改变本身的MAC以及仿造大量的其他计算机的MAC,造成每次查询出来的数据包都不一样,造成判断上的难点。现在简单介绍具体方法如下:6如果交换机为网管型交换机可以直接创造一个镜像端口,然后单独连接一台确认无异常情况的计算机安装抓包软件进行抓包分析,如无网管型交换机,可在网关处采取一机双网卡的模式进行“搭桥”,在
此文档下载收益归作者所有