馬上注冊�,結交更多好友���,享用更多功能���。
您需要 登錄 才可以下載或查看���,沒(méi)有帳號�?注冊
x
轉載了一篇關(guān)于A(yíng)RP的文章����,希望能對大家有所幫助
ARP問(wèn)題�,你解決了嗎�����?
現在A(yíng)RP不只是協(xié)議的簡(jiǎn)寫(xiě),還成了掉線(xiàn)的代名詞�����。很多網(wǎng)吧和企業(yè)網(wǎng)絡(luò )不穩����,無(wú)故掉線(xiàn)���,經(jīng)濟蒙受了很大的損失����。根據情況可以看出這是一種存在于網(wǎng)絡(luò )中的一種普遍問(wèn)題����。出現此類(lèi)問(wèn)題的主要原因就是遭受了ARP攻擊���。由于其變種版本之多�,傳播速度之快���,很多技術(shù)人員和企業(yè)對其束手無(wú)策��。下面就來(lái)給大家從原理到應用談一談這方面的話(huà)題��。希望能夠幫大家解決此類(lèi)問(wèn)題�,凈化網(wǎng)絡(luò )環(huán)境����。
ARP 欺騙攻擊原理分析
在局域網(wǎng)中����,通過(guò)ARP協(xié)議來(lái)完成IP地址轉換為第二層物理地址 �����,實(shí)現局域網(wǎng)機器的通信�����。 ARP協(xié)議對網(wǎng)絡(luò )安全具有重要的意義����。 這是建立在相互信任的基礎上��。如果 通過(guò)偽造IP地址和MAC地址實(shí)現ARP欺騙�, 將 在網(wǎng)絡(luò )中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò )阻塞 ����、掉線(xiàn)�����、重定向���、 嗅探攻擊���。
我們知道 每個(gè)主機都用一個(gè)ARP高速緩存 �����, 存放最近IP地址到MAC硬件地址之間的映射記錄�。Windows高速緩存中的每一條記錄的生存時(shí)間一般為60秒�����,起始時(shí)間從被創(chuàng )建時(shí)開(kāi)始算起��。默認情況下�����,ARP從緩存中讀取IP-MAC條目�,緩存中的IP-MAC條目是根據ARP響應包動(dòng)態(tài)變化的����。因此���,只要網(wǎng)絡(luò )上有ARP響應包發(fā)送到本機����,即會(huì )更新ARP高速緩存中的IP-MAC條目�。 如:X 向 Y 發(fā)送一個(gè)自己偽造的ARP應答����,而這個(gè)應答中的數據發(fā)送方IP地址是192.168.1.3( Z 的IP地址)���,MAC地址是DD-DD-DD-DD-DD-DD( Z 的 真實(shí) MAC地址 卻 是CC-CC-CC-CC-CC-CC��,這里被偽造了)��。當 Y 接收到 X 偽造的ARP應答��,就會(huì )更新本地的ARP緩存( Y 可不知道被偽造了)����。 那么如果偽造成網(wǎng)關(guān)呢?
Switch上同樣維護著(zhù)一個(gè)動(dòng)態(tài)的MAC緩存�����,它一般是這樣���,首先�����,交換機內部有一個(gè)對應的列表��,交換機的端口對應MAC地址表Port n <-> Mac記錄著(zhù)每一個(gè)端口下面存在那些MAC地址���,這個(gè)表開(kāi)始是空的�,交換機從來(lái)往數據幀中學(xué)習��。因為MAC-PORT緩存表是動(dòng)態(tài)更新的��,那么讓整個(gè) Switch的端口表都改變�����,對Switch進(jìn)行MAC地址欺騙的Flood�,不斷發(fā)送大量假MAC地址的數據包���,Switch就更新MAC-PORT緩存�,如果能通過(guò)這樣的辦法把以前正常的MAC和Port對應的關(guān)系破壞了���,那么Switch就會(huì )進(jìn)行泛洪發(fā)送給每一個(gè)端口�����,讓Switch基本變成一個(gè) HUB���,向所有的端口發(fā)送數據包���,要進(jìn)行嗅探攻擊的目的一樣能夠達到����。也將造成Switch MAC-PORT緩存的崩潰����,如下面交換機中日志所示:
Internet 192.168.1.4 0000b.cd85.a193 ARPAVlan256
Internet 192.168.1.5 0000b.cd85.a193 ARPAVlan256
Internet 192.168.1.6 0000b.cd85.a193 ARPAVlan256
Internet 192.168.1.7 0000b.cd85.a193 ARPAVlan256
Internet 192.168.1.8 0000b.cd85.a193 ARPAVlan256
Internet 192.168.1.9 0000b.cd85.a193 ARPAVlan256
ARP攻擊時(shí)的主要現象
網(wǎng)上銀行�、保密數據的頻繁丟失����。 當局域網(wǎng)內某臺主機運行ARP欺騙的木馬程序時(shí)���,會(huì )欺騙局域網(wǎng)內所有主機和路由器�����,讓所有上網(wǎng)的流量必須經(jīng)過(guò)病毒主機��。其他用戶(hù)原來(lái)直接通過(guò)路由器上網(wǎng)現在轉由通過(guò)病毒主機上網(wǎng)�����,切換的時(shí)候用戶(hù)會(huì )斷一次線(xiàn)���。切換到病毒主機上網(wǎng)后�,如果用戶(hù)已經(jīng)登陸服務(wù)器�,那么病毒主機就會(huì )經(jīng)常偽造斷線(xiàn)的假像�����,那么用戶(hù)就得重新登錄服務(wù)器����,這樣病毒主機就可以 竊取所有機器的資料了 ��。
網(wǎng)速時(shí)快時(shí)慢����,極其不穩定���,但單機進(jìn)行光纖數據測試時(shí)一切正常����。局域網(wǎng)內頻繁性區域或整體掉線(xiàn)����,重啟計算機或網(wǎng)絡(luò )設備后恢復正常
由于A(yíng)RP欺騙的木馬程序發(fā)作的時(shí)候會(huì )發(fā)出大量的數據包導致局域網(wǎng)通訊擁塞以及其自身處理能力的限制����,用戶(hù)會(huì )感覺(jué)上網(wǎng)速度越來(lái)越慢�。當ARP欺騙的木馬程序停止運行時(shí)���,用戶(hù)會(huì )恢復從路由器上網(wǎng)�����,切換過(guò)程中用戶(hù)會(huì )再次 斷 線(xiàn)�����。
ARP的解決辦法:
目前來(lái)看普遍的解決辦法都是采用雙綁,具體方法:
先找到正確的 網(wǎng)關(guān) IP 網(wǎng)關(guān)物理地址 然后 在客戶(hù)端做對網(wǎng)關(guān)的arp綁定�����。
步驟一:
查找本網(wǎng)段的網(wǎng)關(guān)地址����,比如192.168.1.1�����,以下以此網(wǎng)關(guān)為例��。在正常上網(wǎng)時(shí)��,“開(kāi)始→運行→cmd→確定”���,輸入:arp -a����,點(diǎn)回車(chē)�,查看網(wǎng)關(guān)對應的Physical Address���。
比如:網(wǎng)關(guān)192.168.1.1 對應0A-0B-0C-0D-0E-0F���。
步驟二:
編寫(xiě)一個(gè)批處理文件rarp.bat���,內容如下:
@echo off
arp -d
arp -s 192.168.1.1 0A-0B-0C-0D-0E-0F
保存為:rarp.bat���。
步驟三:
運行批處理文件將這個(gè)批處理文件拖到“Windows→開(kāi)始→程序→啟動(dòng)”中��。
但雙綁并不能徹底解決ARP問(wèn)題��,IP沖突以及一些ARP變種是不能應對的�。
再有就是采用防ARP的硬件路由�����,但價(jià)格很高,并且不能保證在大量攻擊出現地情況下穩定工作.那么現在就沒(méi)有����,有效并能夠徹底的解決辦法了嗎�����?有的��,那就是采用能夠以底層驅動(dòng)的方式工作的軟件�����,并全網(wǎng)部署來(lái)防范ARP問(wèn)題.
此 類(lèi)軟件是通過(guò)系統底層核心驅動(dòng)����,以服務(wù)及進(jìn)程并存的形式隨系統啟動(dòng)并運行�,不占用計算機系統資源����。這種方式不同于雙綁��。因為它是對通信中的數據包進(jìn)行分析與判斷��,只有合法的包才可以被放行���。非法包就被丟棄掉了�����。也不用擔心計算機會(huì )在重啟后新建ARP緩存列表����,因為是以服務(wù)與進(jìn)程相結合的形式 存在于計算機中�����,當計算機重啟后軟件的防護功能也會(huì )隨操作系統自動(dòng)啟動(dòng)并工作��。
目前滿(mǎn)足這一要求的并能出色工作的軟件推薦大家選用ARP衛士�����,此軟件不僅僅解決了ARP問(wèn)題��,同時(shí)也擁有內網(wǎng)洪水防護功能與P2P限速功能��。
ARP衛士在系統網(wǎng)絡(luò )的底層安裝了一個(gè)核心驅動(dòng),通過(guò)這個(gè)核心驅動(dòng)過(guò)濾所有的ARP數據包,對每個(gè)ARP應答進(jìn)行判斷,只有符合規則的ARP包,才會(huì )被進(jìn)一步處理.這樣,就實(shí)現防御了計算機被欺騙. 同時(shí),ARP衛士對每一個(gè)發(fā)送出去的ARP應答都進(jìn)行檢測,只有符合規則的ARP數據包才會(huì )被發(fā)送出去,這樣就實(shí)現了對發(fā)送攻擊的攔截...
洪水攔截:通過(guò)此項設置�����,可以對規則列表中出現了SYN洪水攻擊�、UDP洪水攻擊���、ICMP洪水攻擊的機器進(jìn)行懲罰�。當局域網(wǎng) 內某臺計算機所發(fā)送的SYN報文�����、UDP報文�����、ICMP報文超出此項設置中所規定的上限時(shí)����,“ARP衛士”客戶(hù)端將會(huì )按 照預設值對其進(jìn)行相應懲罰��。在懲罰時(shí)間內�����,這臺計算機將不會(huì )再向網(wǎng)絡(luò )內發(fā)送相應報文��。但懲罰不會(huì )對已建立 的連接產(chǎn)生影響�。
流量控制:通過(guò)此項設置�,可以對規則列表中的所有計算機進(jìn)行廣域網(wǎng)及局域網(wǎng)的上傳及下載流量進(jìn)行限制(即所謂的網(wǎng)絡(luò ) 限速)���。鼠標右鍵單擊“排除機器列表”窗口即可對其中內容進(jìn)行修改�����、編輯�����。存在于“排除機器列表”中的IP地址將不 會(huì )受到流量控制的約束���。
ARP Guard(ARP衛士)的確可以從根本上徹底解 決ARP欺騙攻擊所帶來(lái)的所有問(wèn)題���。它不僅可以保護計算機不受ARP欺騙攻擊的影響���,而且還會(huì )對感染了ARP攻擊病毒或欺騙木馬的 病毒源機器進(jìn)行控制��,使其不能對局域網(wǎng)內其它計算機進(jìn)行欺騙攻擊�。保持網(wǎng)絡(luò )正常通訊�����,防止帶有ARP欺騙攻擊的機器對網(wǎng)內計 算機的監聽(tīng)��,使瀏覽網(wǎng)頁(yè)�����、數據傳輸時(shí)不受ARP欺騙者限制���。
總體來(lái)看我覺(jué)得這個(gè)軟件是目前市面上最好的了�。同時(shí)在線(xiàn)客服工作也很負責��。但有些時(shí)候對于網(wǎng)管來(lái)說(shuō)還是不太方便�。比如管理端換了IP��。那么下面的客戶(hù)端只能重新指向新的IP���。再有軟件不能對所有的無(wú)盤(pán)系統都支持��。對LINUX操作系統也不能支持��。希望這些能夠盡快被軟件開(kāi)發(fā)商注意并及時(shí)更新�����。好了����,說(shuō)了這么多�����,希望能夠給大家解決ARP掉線(xiàn)問(wèn)題�����,提供幫助�����。
最后強烈鄙視��!鄙視�����!鄙視���!發(fā)病毒的人����。最好抓到后放到火星上面去�����。
就這么多了.留下我的QQ: 351205532 有需要幫助的朋友可以與我聯(lián)系.
| 
IP卡
狗仔卡
收藏
支持
反對
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
