http://www.92cm.com Sun, 15 Jan 2012 06:41:22 +0000 en hourly 1 http://wordpress.org/?v=3.3.1 http://www.92cm.com/2010/04/16/972.html http://www.92cm.com/2010/04/16/972.html#comments Fri, 16 Apr 2010 15:37:17 +0000 甲子龙 http://www.92cm.com/?p=972 Continue reading →]]> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ARP协议 在局域网中，虽然我们习惯用IP地址来标识计算机，但在 网络数据传输过程中，真正起到地址作用的是“MAC地址” 。MAC（MediaAccessControl）地址又称物理地址，它通常由网卡 生产厂家烧入网卡的EPROM（一种闪存芯片），一般情况下 它是全球唯一的。 一个主机要和另一个主机直接通信，必须知道目标主机的 MAC地址。ARP协议“AddressResolutionProtocol（地址解析协议） ”的基本功能就是通过目标设备的IP地址，查询目标设备 的MAC地址，以保证通信的顺利进行。 每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的 IP地址与MAC地址是一一对应的，我们可以通过在DOS命令提 示符下，输入arp-a来获得本机的ARP缓存表。 如果在ARP缓存表中没有找到相对应的IP地址，主机就会在 网络上发送一个广播，目标IP的主机接收到这个帧时，会 向主机做出相应的回应。这样，主机就知道了目标主机的 MAC地址，就可以向目标主机发送信息了。 ARP攻击原理 ARP攻击的最主机手段就是用伪造源ARP地址发送ARP回应包， 对ARP高速缓存机制的攻击。攻击者持续不断地发出伪造的 ARP响应包就能更改目标主机ARP缓存中的IPMAC条目，造成网 络中断或中间人攻击。 当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓 存进行更新，将应答中的IP和MAC地址存储在ARP缓存中，因 此，B向A发送一个自己伪造的ARP应答，而这个应答中的数 据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-D D-DD-DD-DD-DD（C的MAC地址本来是CC-CC-CC-CC-CC-CC，这里被伪造 了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存 （A可不知道被伪造了）。当攻击源大量向局域网中发送 虚假的ARP信息后，就会造成局域网中的机器ARP缓存的崩溃 。 ARP攻击的目的和现象 当局域网内某台主机运行ARP的欺骗木马程序时，会欺骗局 域网内所有主机和路由器，让所有上网的流量必须经过病 毒主机。其他用户原来直接通过路由器上网，现在则转由 通过病毒主机上网。 这样做的目的有很多，比如用户已经登录了网游服务器， 病毒主机就会经常伪造断线的假象，那么用户就得重新登 录网游服务器，病毒主机就可以趁机盗号。所以当遇到正 面几个情况的时候，一定要注意可能是网络中出现了ARP木 马。 1.上网速度突然变得异常的缓慢； 2.经常断线； 3.访问所有网站杀毒软件都会弹出窗口报告页面有病毒。 当怀疑局域网中存在ARP攻击时，可以打开DOS命令提示符， 输入“arp-d”，清空ARP列表。如果能够恢复网络访问，则 基本可以确定局域网中存在ARP攻击，或者有电脑染上了ARP 病毒。接下来可以反复查看ARP列表，也就是反复地使用“ arp-a”命令（期间不要进行网络通信），如果发现除了网 关以外的某个IP地址会自动出现在列表中，而这个IP又没 有和本机进行实质的数据通信，则基本可以确定攻击源， 接下来需要断开该计算机的网络连接并彻底杀毒。 应对ARP欺骗攻击 面对凶猛的ARP攻击，以上提到的方法只能应急，该如何进 行全面防范呢？利用AntiARPSniff，可以保护你的网卡和网关 的通讯不被第三方监听，让ARP攻击对你的爱机无技可施。 AntiARPSniff可以100%防御所有利用ARP技术的恶意程序，发现 异常并自动重写ARP数据，它还具备追踪ARP攻击者的功能， 能够追踪对方的IP地址，这样我们就能找出ARP攻击的“始 作俑者”。 在AntiARPSniff主窗口的“网关地址”栏中输入网关地址，点 击“获取MAC”按钮，获得网关的MAC地址，之后点击“自动 保护”按钮，即可开启ARP攻击保护功能，当局域网中有人 试图对本机进行攻击时，AntiARPSniff即可出现ARP欺骗提示信 息，在“欺骗数据详细记录”列表中显示ARP欺骗攻击事件 信息。从中选中合适的ARP攻击事件，点击“追捕攻击者” 按钮，即可得到攻击者的IP和MAC地址信息了，据此可以轻 松找出局域网中的“破坏分子”。对于饱受ARP攻击之苦的 用户，AntiARPSniff能让你轻松摆脱烦恼。 通过参数设置，可以提高ARP防火墙的安全性能。点“工具 →配置”，可以把“主动防御”设置为“始终防御”，“ 防御选项”的“ARP防御”可以设置为“安全模式”，这样 安全性就会更高。 -----BEGIN PGP SIGNATURE----- Version: PGP Desktop 10.0.1 (Build 4054) Charset: utf-8 wsBVAwUBTKKeH9qgKng0ZFyJAQhoxwf/XT3y++C6ACf/kslEA4g4UnghMWVZElM8 xIRvor6iimsyzt5oAJJPgPBPBxwaNHVmT06VTATXOuR7cjf414JaPxstOczi9dGc HI2knzEUC5dvtJbTfWEKwffiudqZZ7DKE5d/udyK8mccOnf3sJIofhSE2wW3qLN1 AabZu/SRnzDXfAixupjgvTV0QP09+SMRO4faR1bVh6tYqF662aDbqjPLf24y6g1t /FK8UGcbmGNXGaU/YaouByIxPhX/fomEyJxubefkhVRQa8MgqBAdo+NlYJnrSTrR FpzNx7l86VGsR1ocvCjMPH04qRqjS/7YkvHS1uiJcP6pwfz4X3fVxw== =rPGe -----END PGP SIGNATURE----- ]]> http://www.92cm.com/2010/04/16/972.html/feed 0