三度网教程:是一个免费提供流行视频软件教程、在线学习分享的学习平台!

用抓包的方法处理ARP病毒欺骗攻击

时间:2022-10-14作者:未知来源:三度网教程人气:


随着网络的普及,我们的生活越来越方便,但是网络安全也成了很多人面临的一个问题。特别是那些有着商业数据的企业电脑,更要注意上网安全常识,不然病毒会对我们造成严重的威胁。

最近网络中有主机频繁断线, 刚刚开始还比较正常, 但是一段时间后就出现断线情况, 有时很快恢复, 但是有时要长达好几分钟啊, 这样对工作影响太大了。 最初怀疑是否是物理上的错误, 总之从最容易下手的东西开始检查, 检查完毕后没有发现异常!突然想到目前网上比较流行的ARP攻击, ARP攻击出现的故障情况与此非常之相似!对于ARP攻击, 一般常规办法是很难找出和判断的, 需要抓包分析。

  1.原理知识

  在解决问题之前, 我们先了解下ARP的相关原理知识。

  ARP原理:

  首先, 每台主机都会在自己的ARP缓冲区(ARPCache)中建立一个ARP列表, 以表示IP地址和MAC地址的对应关系。 当源主机需要将一个数据包要发送到目的主机时, 会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址, 如果有﹐就直接将数据包发送到这个MAC地址;如果没有, 就向本地网段发起一个ARP请求的广播包, 查询此目的主机对应的MAC地址。 此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。

  网络中所有的主机收到这个ARP请求后, 会检查数据包中的目的IP是否和自己的IP地址一致。 如果不相同就忽略此数据包;如果相同, 该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中, 如果ARP表中已经存在该IP的信息, 则将其覆盖, 然后给源主机发送一个ARP响应数据包, 告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后, 将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中, 并利用此信息开始数据的传输。 如果源主机一直没有收到ARP响应数据包, 表示ARP查询失败。

  ARP欺骗原理:

  我们先模拟一个环境:

  网关:192.168.1.1 MAC地址:00:11:22:33:44:55

  欺骗主机A:192.168.1.100 MAC地址:00:11:22:33:44:66

  被欺骗主机B:192.168.1.50 MAC地址:00:11:22:33:44:77

  欺骗主机A不停的发送ARP应答包给网关, 告诉网关他是192.168.1.50主机B, 这样网关就相信欺骗主机, 并且在网关的ARP缓存表里就有192.168.1.50对应的MAC就是欺骗主机A的MAC地址00:11:22:33:44:66, 网关真正发给主机B的流量就转发给主机A;另外主机A同时不停的向主机B发送ARP请求, 主机B相信主机A为网关, 在主机B的缓存表里有一条记录为192.168.1.1对应00:11:22:33:44:66, 这样主机B真正发送给网关的数据流量就会转发到主机A;等于说主机A和网关之间的通讯就经过了主机A, 主机A作为了一个中间人在彼此之间进行转发, 这就是ARP欺骗。

  2.解决方法

  看来只有抓包了, 首先, 我将交换机做好端口镜像设置, 然后把安装有科来网络分析系统的电脑接入镜像端口, 抓取网络的所有数据进行分析。 通过几个视图我得出了分析结果:诊断视图提示有太多“ARP无请求应答”。

  在诊断中, 我发现几乎都是00:20:ED:AA:0D:04发起的大量ARP应答。 而且在参考信息中提示说可能存在ARP欺骗。 看来我的方向是走对了, 但是为了进一步确定, 得结合其他内容信息。 查看协议视图了解ARP协议的详细情况,

  ARPResponse和ARPRequest相差比例太大了, 很不正常啊。 接下来, 再看看数据包的详细情况。

  我从数据包信息已经看出问题了, 00:20:ED:AA:0D:04在欺骗网络中192.168.17.0这个网段的主机, 应该是在告诉大家它是网关吧, 想充当中间人的身份吧, 被欺骗主机的通讯流量都跑到他那边“被审核”了。

  现在基本确定为ARP欺骗攻击, 现在我需要核查MAC地址的主机00:20:ED:AA:0D:04是哪台主机, 幸好我在平时记录了内部所有主机的MAC地址和主机对应表, 终于给找出真凶主机了。 可能上面中了ARP病毒, 立即断网杀毒。 网络正常3.总结(故障原理)

  我们来回顾一下上面ARP攻击过程。 MAC地址为00:20:ED:AA:0D:04的主机, 扫描攻击192.168.17.0这个网段的所有主机, 并告之它就是网关, 被欺骗主机的数据都发送到MAC地址为00:20:ED:AA:0D:04的主机上去了, 但是从我抓取的数据包中, MAC为00:20:ED:AA:0D:04的主机并没有欺骗真正的网关, 所以我们的网络会出现断网现象。

  4.补充内容

  对于ARP攻击的故障, 我们还是可以防范的, 以下三种是常见的方法:

  方法一:平时做好每台主机的MAC地址记录, 出现状况的时候, 可以利用MAC地址扫描工具扫描出当前网络中主机的MAC地址对应情况, 参照之前做好的记录, 也可以找出问题主机。

  方法二:ARP–S可在MS-DOS窗口下运行以下命令:ARP–S手工绑定网关IP和网关MAC。 静态绑定, 就可以尽可能的减少攻击了。 需要说明的是, 手工绑定在计算机重起后就会失效, 需要再绑定, 但是我们可以做一个批处理文件, 可以减少一些烦琐的手工绑定!

  方法三:使用软件(Antiarp)使用AntiARPSniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。

了, 呜呼!整个世界又安静了!

 


上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。

关键词:  用抓包的办法处理ARP病毒欺骗攻击





Copyright © 2012-2018 三度网教程(http://www.3du8.cn) .All Rights Reserved 网站地图 友情链接

免责声明:本站资源均来自互联网收集 如有侵犯到您利益的地方请及时联系管理删除,敬请见谅!

QQ:1006262270   邮箱:kfyvi376850063@126.com   手机版