金年会 金字招牌诚信至上,金年会 金字招牌诚信至上,金年会 金字招牌诚信至上,金年会 金字招牌诚信至上

91手機維修論壇

標題: 最新網(wǎng)絡(luò )ARP病毒出現了.值的大家注意了/. [打印本頁(yè)]

作者: jaycnzhaoti    時(shí)間: 2007-11-28 11:09
標題: 最新網(wǎng)絡(luò )ARP病毒出現了.值的大家注意了/.
一、什么是ARP?
地址解析協(xié)議(Address Resolution Protocol,ARP)是在僅知道主機的IP地址時(shí)確定其物理地址的一種協(xié)議。因IPv4和以太網(wǎng)的廣泛應用,其主要用作將IP地址翻譯為以太網(wǎng)的MAC地址,但其也能在A(yíng)TM和FDDI IP網(wǎng)絡(luò )中使用。從IP地址到物理地址的映射有兩種方式:表格方式和非表格方式。ARP具體說(shuō)來(lái)就是將網(wǎng)絡(luò )層(IP層,也就是相當于OSI的第三層)地址解析為數據連接層(MAC層,也就是相當于OSI的第二層)的MAC地址。

假設:
計算機A的IP為192.168.1.1,MAC地址為00-11-22-33-44-01;
計算機B的IP為192.168.1.2,MAC地址為00-11-22-33-44-02;
ARP工作原理如下:
在TCP/IP協(xié)議中,A給B發(fā)送IP包,在包頭中需要填寫(xiě)B的IP為目標地址,但這個(gè)IP包在以太網(wǎng)上傳輸的時(shí)候,還需要進(jìn)行一次以太包的封裝,在這個(gè)以太包中,目標地址就是B的MAC地址.
計算機A是如何得知B的MAC地址的呢?解決問(wèn)題的關(guān)鍵就在于A(yíng)RP協(xié)議。
在A(yíng)不知道B的MAC地址的情況下,A就廣播一個(gè)ARP請求包,請求包中填有B的IP(192.168.1.2),以太網(wǎng)中的所有計算機都會(huì )接收這個(gè)請求,而正常的情況下只有B會(huì )給出ARP應答包,包中就填充上了B的MAC地址,并回復給A。
A得到ARP應答后,將B的MAC地址放入本機緩存,便于下次使用。
本機MAC緩存是有生存期的,生存期結束后,將再次重復上面的過(guò)程。

二、誰(shuí)能根本防護ARP欺騙攻擊?
ARP欺騙/攻擊反復襲擊,是近來(lái)網(wǎng)絡(luò )行業(yè)普遍了解的現象,隨著(zhù)ARP攻擊的不斷升級,不同的解決方案在市場(chǎng)上流傳。但是最近發(fā)現,有一些方案,從短期看來(lái)似乎有效,實(shí)際上對于真正的ARP攻擊發(fā)揮不了作用,也降低局域網(wǎng)工作效率。我公司的技術(shù)服務(wù)人員接到很多用戶(hù)反應說(shuō)有些ARP防制方法很容易操作和實(shí)施,但經(jīng)過(guò)實(shí)際深入了解后,發(fā)現長(cháng)期效果都不大。
對于A(yíng)RP攻擊防制,最好的方法是先踏踏實(shí)實(shí)把基本防制工作做好,才是根本解決的方法。由于市場(chǎng)上的解決方式眾多,我們無(wú)法一一加以說(shuō)明優(yōu)劣,因此我們僅從ARP攻擊防制的基本思想來(lái)進(jìn)行解釋。我們認為您如果能了解這個(gè)基本思想,就能自行判斷何種防制方式有效,也能了解為何雙向綁定是一個(gè)較全面又持久的解決方式。

I、不堅定的ARP協(xié)議
一般計算機中的原始的ARP協(xié)議,很像一個(gè)思想不堅定,容易被其它人影響的人,ARP欺騙/攻擊就是利用這個(gè)特性,誤導計算機作出錯誤的行為。ARP攻擊的原理,互聯(lián)網(wǎng)上很容易找到,這里不再覆述。原始的ARP協(xié)議運作,會(huì )附在局域網(wǎng)接收的廣播包或是ARP詢(xún)問(wèn)包,無(wú)條件覆蓋本機緩存中的ARP/MAC對照表。這個(gè)特性好比一個(gè)意志不堅定的人,聽(tīng)了每一個(gè)人和他說(shuō)話(huà)都信以為真,并立刻以最新聽(tīng)到的信息作決定。
就像一個(gè)沒(méi)有計劃的快遞員,想要送信給"張三",只在馬路上問(wèn)"張三住那兒?",并投遞給最近和他說(shuō)"我就是!"或"張三住那間!",來(lái)決定如何投遞一樣。在一個(gè)人人誠實(shí)的地方,快遞員的工作還是能切實(shí)地進(jìn)行;但若是旁人看快遞物品值錢(qián),想要欺騙取得的話(huà),快遞員這種工作方式就會(huì )帶來(lái)混亂了。
我們再回來(lái)看ARP攻擊和這個(gè)意志不堅定快遞員的關(guān)系。常見(jiàn)ARP攻擊對象有兩種,一是網(wǎng)絡(luò )網(wǎng)關(guān),也就是路由器,二是局域網(wǎng)上的計算機,也就是一般用戶(hù)。攻擊網(wǎng)絡(luò )網(wǎng)關(guān)就好比發(fā)送錯誤的地址信息給快遞員,讓快遞員整個(gè)工作大亂,所有信件無(wú)法正常送達;而攻擊一般計算機就是直接和一般人謊稱(chēng)自己就是快遞員,讓一般用戶(hù)把需要傳送物品傳送給發(fā)動(dòng)攻擊的計算機。
由于一般的計算機及路由器的ARP協(xié)議的意志都不堅定,因此只要有惡意計算機在局域網(wǎng)持續發(fā)出錯誤的ARP訊息,就會(huì )讓計算機及路由器信以為真,作出錯誤的傳送網(wǎng)絡(luò )包動(dòng)作。一般的ARP就是以這樣的方式,造成網(wǎng)絡(luò )運作不正常,達到盜取用戶(hù)密碼或破壞網(wǎng)絡(luò )運作的目的。針對ARP攻擊的防制,常見(jiàn)的方法,可以分為以下三種作法:


1、利用ARP echo傳送正確的ARP訊息:通過(guò)頻繁地提醒正確的ARP對照表,來(lái)達到防制的效果。

2、利用綁定方式,固定ARP對照表不受外來(lái)影響:通過(guò)固定正確的ARP對照表,來(lái)達到防制的效果。

3、舍棄ARP協(xié)議,采用其它尋址協(xié)議:不采用ARP作為傳送的機制,而另行使用其它協(xié)議例如PPPoE方式傳送。


以上三種方法中,前兩種方法較為常見(jiàn),第三種方法由于變動(dòng)較大,適用于技術(shù)能力較佳的應用。下面針對前兩種方法加以說(shuō)明。



PK 賽之"ARP echo"
ARP echo是最早開(kāi)發(fā)出來(lái)的ARP攻擊解決方案,但隨著(zhù)ARP攻擊的發(fā)展,漸漸失去它的效果,F在,這個(gè)方法不但面對攻擊沒(méi)有防制效果,還會(huì )降低局域網(wǎng)運作的效能,但是很多用戶(hù)仍然以這個(gè)方法來(lái)進(jìn)行防制。以前面介紹的思想不堅定的快遞員的例子來(lái)說(shuō),ARP echo的作法,等于是時(shí)時(shí)用電話(huà)提醒快遞員正確的發(fā)送對象及地址,減低他被鄰近的各種信息干擾的情況。
但是這種作法,明顯有幾個(gè)問(wèn)題:第一,即使時(shí)時(shí)提醒,但由于快遞員意志不堅定,仍會(huì )有部份的信件因為要發(fā)出時(shí)剛好收到錯誤的信息,以錯誤的方式送出去;這種情況如果是錯誤的信息頻率特高,例如有一個(gè)人時(shí)時(shí)在快遞員身邊連續提供信息,即使打電話(huà)提醒也立刻被覆蓋,效果就不好;第二,由于必須時(shí)時(shí)提醒,而且為了保證提醒的效果好,還要加大提醒的間隔時(shí)間,以防止被覆蓋,就好比快遞員一直忙于接聽(tīng)總部打來(lái)的電話(huà),根本就沒(méi)有時(shí)間可以發(fā)送信件,耽誤了正事;第三,還要專(zhuān)門(mén)指派一位人時(shí)時(shí)打電話(huà)給快遞員提醒,等于要多派一個(gè)人手負責,而且持續地提醒,這個(gè)人的工作也很繁重。
以ARP echo方式對應ARP攻擊,也會(huì )發(fā)生相似的情況。第一,面對高頻率的新式ARP攻擊,ARP echo發(fā)揮不了效果,掉線(xiàn)斷網(wǎng)的情況仍舊會(huì )發(fā)生。ARP echo的方式防制的對早期以盜寶為目的的攻擊軟件有效果,但碰到最近以攻擊為手段的攻擊軟件則公認是沒(méi)有效果的。第二,ARP echo手段必須在局域網(wǎng)上持續發(fā)出廣播網(wǎng)絡(luò )包,占用局域網(wǎng)帶寬,使得局域網(wǎng)工作的能力降低,整個(gè)局域網(wǎng)的計算機及交換機時(shí)時(shí)都在處理ARP echo廣播包,還沒(méi)受到攻擊局域網(wǎng)就開(kāi)始卡了。第三,必須在局域網(wǎng)有一臺負責負責發(fā)ARP echo廣播包的設備,不管是路由器、服務(wù)器或是計算機,由于發(fā)包是以一秒數以百計的方式來(lái)發(fā)送,對該設備都是很大的負擔
作者: dzq2009    時(shí)間: 2007-11-28 11:54

作者: rpdboy    時(shí)間: 2007-11-28 19:24
第一個(gè)沒(méi)什么用.....病毒發(fā)得比你狠了
作者: jaycnzhaoti    時(shí)間: 2007-11-29 14:24
所以我也在找能殺ARP病毒的軟件和方法

大家討論一下
作者: sheng_dh    時(shí)間: 2007-12-1 10:12
提示: 作者被禁止或刪除 內容自動(dòng)屏蔽
作者: tongli0616    時(shí)間: 2007-12-1 10:30
呵呵,怎么被屏蔽了
作者: 風(fēng)無(wú)痕    時(shí)間: 2007-12-1 10:52
哎,每天都是病毒,煩啊
作者: 雪橇    時(shí)間: 2007-12-1 21:46
謝謝提醒。注意防范。




歡迎光臨 91手機維修論壇 (http://www.jstransmit.com/) Powered by Discuz! X3.4
西宁市| 贡觉县| 常山县| 定远县| 中阳县| 同心县| 营口市| 闸北区| 蓬莱市| 镇巴县| 瑞金市| 从化市| 陇西县| 永川市| 沅江市| 云梦县| 太仓市| 基隆市| 和平县| 东乌珠穆沁旗| 常山县| 綦江县| 永昌县| 上饶县| 乌苏市| 新余市| 漳州市| 进贤县| 青田县| 运城市| 隆子县| 竹溪县| 苏尼特右旗| 富锦市| 万山特区| 南溪县| 晋中市| 铅山县| 桓台县| 兰溪市| 东光县|