随着网络的普及,我们的生活越来越方便,但是网络安全也成了很多人面临的一个问题。特别是那些有着商业数据的企业电脑,更要注意上网安全常识,不然病毒会对我们造成严重的威胁。
本文对ARP欺骗, 提出几点加强安全的措施。 网关是东道国或环境是基于Linux / BSD的的。
第一, 前提的理论
在“一个好人委屈, 而不是让一个坏的原则, ”我现在谈论的一些想法和理论。 首先, 我们将发送给ARP协议欺骗数据包将是一个恶意程序自动发送正常的TCP / IP网络是不会这样的错误包发送。 这种假设, 如果嫌疑人没有启动销毁过程, 它是正常的网络环境, 或环境中, ARP协议的网络是正常的, 如果我们能启动嫌疑人在刑事诉讼程序第一次开始, 发现他的罪行, 处理赃物, 使人们在所有的不可抵赖性, 如前所述, 前面网络正常的时候证据是可信和可依靠的。 好吧, 那么我们谈论如何时, 他发现在第一的犯罪活动。
ARP协议的原则欺骗如下:
假设这样一个网络, 那么, 集线器的3机
主机主机HostC之一
A是位于:的IP : 192.168.10.1的MAC : AA型AA型AA型AA型AA型机管局
B是位于:的IP : 192.168.10.2的MAC :体一BB一BB一BB一BB一BB
C是位于:的IP : 192.168.10.3的MAC :循环循环循环循环循环循环
在正常情况下ç : \ ARP协议一
接口: 192.168.10.1接口0x1000003
互联网地址物理地址类型
192.168.10.3的CC -的CC -的CC -的CC -的CC -连铸动态
现在假设开始刑事欺骗主机ARP协议:
A到B发送伪造的ARP协议自身的反应, 反应中的数据的IP地址, 发件人是192.168.10.3 ( C的IP地址) , MAC地址的DD - DD -双刀盘差异差异差异差异( C的这应该是MAC地址的CC -连铸循环循环循环循环, 这里是一个伪造) 。 A到B伪造的, 当收到ARP协议的反应, 我们将更新本地ARP高速缓存(甲无法判断这是否是伪造的) 。 事实上, 但不知道从B发送回来, 在这里只有阿192.168.10.3 ( C的IP地址)和无效的差异差异差异差异差异差异MAC地址, 也没有相关的犯罪证据向B , 河公顷, 使犯罪分子将莱西。
一部是ARP高速缓存的更新:
ç : \ “ ARP协议一
接口: 192.168.10.1接口0x1000003
互联网地址物理地址类型
192.168.10.3差异差异差异差异差异差异动态
这是不小的问题。 局域网络基础上的IP地址是不容谈判的, 但根据MAC地址的传递时间。 192.168.10.3现在在A的MAC地址发生了变化的MAC地址不存在。 现在开始192.168.10.3平提交的MAC地址卡的DD - DD -双刀盘差异差异差异差异, 其结果是什么呢?互联网接入, 一个不能平碳! !
因此, 局域网中一台机器反复向其他机器, 特别是向网关, 发送这样无效假冒ARP协议响应数据包, NND , 严重堵塞在网络上开始了!网吧管理员的噩梦开始了。 我的目标和任务是第一次, 抓住他。 但早先的声明罪犯一样完美的使用以太网的缺陷, 以掩盖他们的罪行。 但事实上, 上述方法已经离开的线索。 尽管, ARP协议数据包主机没有留下地址, 但是, 对ARP包带有以太网帧, 但主机包含源地址。 此外, 在正常情况下, 以太网的帧, 标题中的MAC地址的源/目的地址和帧应在ARP协议的信息包匹配, 因此对ARP包是正确的。 如果不正确, 肯定是伪造的封装, 可以提醒!但是, 如果比赛中, 这并不一定意味着正确的可能伪造这样一个步骤已经考虑到, 并伪造出符合格式, 但内容的数据包地址解析协议假。 然而, 这并不重要, 只要网关本王有一个部分, 所有的MAC地址的信用卡数据库, 如果苹果不匹配数据库中的数据也是伪造的数据包地址解析协议。 也提醒手中的罪犯。
其次, 预防措施
1 。 DHCP服务器的设置(在建议建立网关的DHCP , 因为人数的CPU , 以及ARP欺骗攻击一般总是第一个网关, 我们希望让他第一次攻击网关, 网关, 因为有监测程序, 网关地址建议选择192.168.10.2 , 在192.168.10.1留空, 如果犯罪程序这么笨, 让他地址栏和空中袭击) , 和所有客户端的IP地址和主机有关的信息, 才能取得在这里网关, 网关这里开幕DHCP服务, 但给每个信用卡, 唯一的具有约束力的固定IP地址。 必须保持网络的机器的IP / MAC的一个映射。 这是客户端的DHCP地址, 但每次开机是相同的IP地址。
2 。 陆委会建立一个数据库, 以网吧的所有网卡的MAC地址记录, 每个MAC和知识产权, 所有的地理位置到数据库, 以便查询记录及时。
3 。 网关机器关闭ARP协议动态刷新过程中, 使用静态路由, 这种情况下, 即使嫌疑人使用ARP欺骗网关, 这个网关是没有用的, 确保主机安全。
网关建立静态IP / MAC的捆绑起来:的/ etc /醚文件, 其中包含正确的IP / Mac的信件格式如下:
192.168.2.32 8时00分04秒电子邮件:本B0 : 24:47
然后的/ etc / rc.d / rc.local最后添加:
ARP协议口才能生效
4 。 网关监听网络安全。 网关TCPDUMP使用上述程序截取每个ARP协议包, 得到一个脚本分析软件分析这些ARP协议的协议。 ARP协议欺骗攻击的包一般有以下特点的两个, 以满足一个包可以被看作是攻击警察:第一以太网包头源地址, 目的地地址和ARP协议包不匹配的地址协议。 或者, ARP协议和发送数据包的目的地地址是不是自己的数据库网络卡的MAC , MAC或网络数据库有自己的MAC / IP协议不相符。 所有这些首先向警方报案, 调查这些数据包(以太网数据包)源地址(可能是伪造的) , 或多或少知道自己的电脑中的攻击。
5 。 偷偷来的机器, 看看是否使用故意或任何释放什么木马了。 如果是后者, 悄悄地, 他要寻找的借口恺, 掏出电缆(而不是关闭, 特别是看该计划的使命Win98下) , 看看目前使用的机械和创纪录的业绩, 看是否是在这次袭击中。