网络蒙骗反击做为一类十分规范化的反击方式,给重要信息安全运营者,增添紧迫的挑战。重要信息安全的主力部队早已从网络延烧到使用者外部的网络,

不光是以太网。现阶段借助ARP蒙骗的恶意代码在以太网中广为流传,引致网络乱数断线即使总体失去知觉,通信被监听,重要信息被盗用等不良后果。

1、ARP协定简述

ARP协定(address resolution protocol)门牌号导出协定

两台PS3和另两台PS3通信,要晓得最终目标的IP门牌号,但在以太网中数据传输的存储电子设备却无法间接辨识IP门牌号,因此用ARP导出协定将IP门牌号解

析成MAC门牌号。ARP协定的基本要素是透过最终目标电子设备的IP门牌号,来查阅最终目标电子设备的mac门牌号。

在以太网的任一两台PS3中,都有两个ARP内存表,里头留存本机未知的此以太网中各PS3和交换机的IP门牌号和MAC门牌号的仔细分析亲密关系。ARP内存

表的开发周期是有限期的(通常不少于20两分钟)。

举个范例:假定以太网三台PS3

arp防火墙的作用(arp防火墙有什么用)-第1张

PS3A想和PS3B通信

PS3A会先查阅自己的ARP内存表里有没有B的联系方式,有的话,就将mac-b门牌号封装到数据包外面,发送出去。没有的话,A会向全网络发送两个

ARP广播包,大声询问:我的IP门牌号是192.168.0.2,硬件门牌号是mac-a,我想晓得IP门牌号是192.168.0.3的硬件门牌号是多少? 此时,以太网内所有

PS3都收到了,B收到后会单独私密回应:我是192.168.0.3,我的硬件门牌号是mac-b,其他PS3不会理A的

此时A晓得了B的重要信息,同时也会动态的更新自身的内存表

2、ARP协定的缺陷

ARP协定是建立在信任以太网内所有节点的基础上的,他的效率很高。但不安全。它是无状态的协定。他不会检查自己是否发过请求包,

也不晓得自己是否发过请求包。他也不管是否合法的应答,只要收到最终目标mac门牌号是自己的ARP reply或者ARP广播包(包括ARP reply和ARP request),

都会接受并内存。

3、ARP反击原理

ARP蒙骗反击建立在以太网PS3间相互信任的基础上的

当A发广播询问:我想晓得IP是192.168.0.3的硬件门牌号是多少?

此时B当然会回话:我是IP192.168.0.3我的硬件门牌号是mac-b,

可是此时IP门牌号是192.168.0.4的C也非法回了:我是IP192.168.0.3,我的硬件门牌号是mac-c。而且是大量的。

因此A就会误信192.168.0.3的硬件门牌号是mac-c,而且动态更新内存表

这样PS3C就劫持了PS3A发送给PS3B的数据,这是ARP蒙骗的过程。

假如C间接冒充网关,此时PS3C会不停的发送ARP蒙骗广播,大声说:我的IP是192.168.0.1,我的硬件门牌号是mac-c,

此时以太网内所有PS3都被蒙骗,更改自己的内存表,此时C将会监听到整个以太网发送给网络的数据报。

4、ARP病毒反击症状

通常表现:-打开网页速度十分慢,即使打不开

-提示IP门牌号冲突

-即使引致校园网失去知觉断网

-通常会绑定恶意代码,窃取使用者账号密码

5、ARP病毒反击形式

  1. 从协定外部分析

-假冒ARP reply包(单波或广播),向单台PS3或多台PS3发送虚假的IP/MAC门牌号

-假冒ARP request包(单播或广播),实际上是单播或广播虚假的IP、MAC映射。

-假冒中间人,启用包转发向两端PS3发送假冒的ARP reply,由于ARP内存的老化机制,有时还需要做周期性连续性蒙骗。

2. 从影响网络连接通畅的角度看

-对路由ARP表的蒙骗

ARP病毒截获网关数据,让交换机获得错误的内网MAC门牌号,引致交换机把数据发送给错误的mac,是内网内的PS3断网

-伪造内网网关

ARP病毒透过冒充网关,是内网计算机发送的数据无法到达真正的交换机网关,引致内网计算机断网

6、ARP蒙骗反击监测技术

  1. 手动监测

网络管理员可以透过命令查看PS3的ARP表或交换机的ARP表

也可以用Sniffer工具进行抓包,查看可疑的门牌号映射

2.动态监测

- 被动监测 (ARP watch,ARP Guard)

仅监测网路中是否存在ARP蒙骗,不主动向外发送ARP报文

-主动监测(ARP内网)

能够动态的监测以太网内针对本PS3和针对网关的ARP蒙骗,但如果配置错误,ARP内网会向以太网内发送大量的ARP报文,造成ARP报文的广播风暴,影响网络通信。

在这里推荐一款查看以太网Mac门牌号和PS3IP匹配显示的软件:Nbtscan 很好用网上也有使用说明,对于查找反击PS3很犀利、

7、ARP蒙骗反击的防御

-ARP双向绑定

在pc端上 IP+mac 绑定

在网络电子设备(交换路由)上 采用ip+mac+端口绑定

网关也进行IP和mac的静态绑定

-采用支持ARP过滤的内网

-建立DHCP服务器

ARP反击通常先反击网关,将DHCP服务器建立在网关上

-划分安全区域

ARP广播包是无法跨子网或网段传播的,网段可以隔离广播包。VLAN是两个逻辑广播域,透过VLAN技术可以在以太网中创建多个子网,就在以太网中隔离了广播。。缩小感染范围。 但,安全域划分太细会使以太网的管理和资源共享不方便。

前几天体育课认识的一基友,遭ARP反击了,问我怎么防,间接给我问懵了,就看了看,对于个人来说,在以太网内遭ARP反击,还能咋办,除了装ARP内网,用代理,我也没辙。

不过最好的办法是用arp –a命令查看一下arp内存表,看谁在反击你,打电话给网管,让网管灭了它。