金年会 金字招牌诚信至上,金年会 金字招牌诚信至上,金年会 金字招牌诚信至上,金年会 金字招牌诚信至上

 找回密碼
 注冊

QQ登錄

只需一步,快速開(kāi)始

查看: 3864|回復: 14
打印 上一主題 下一主題

[分享] ARP問(wèn)題,你解決了嗎?

跳轉到指定樓層
1#
818abc 發(fā)表于 2008-2-19 13:54:52 | 只看該作者 回帖獎勵 |倒序瀏覽 |閱讀模式 來(lái)自 中國黑龍江哈爾濱

馬上注冊,結交更多好友,享用更多功能。

您需要 登錄 才可以下載或查看,沒(méi)有帳號?注冊

x

轉載了一篇關(guān)于A(yíng)RP的文章,希望能對大家有所幫助


ARP問(wèn)題,你解決了嗎?


現在A(yíng)RP不只是協(xié)議的簡(jiǎn)寫(xiě),還成了掉線(xiàn)的代名詞。很多網(wǎng)吧和企業(yè)網(wǎng)絡(luò )不穩,無(wú)故掉線(xiàn),經(jīng)濟蒙受了很大的損失。根據情況可以看出這是一種存在于網(wǎng)絡(luò )中的一種普遍問(wèn)題。出現此類(lèi)問(wèn)題的主要原因就是遭受了ARP攻擊。由于其變種版本之多,傳播速度之快,很多技術(shù)人員和企業(yè)對其束手無(wú)策。下面就來(lái)給大家從原理到應用談一談這方面的話(huà)題。希望能夠幫大家解決此類(lèi)問(wèn)題,凈化網(wǎng)絡(luò )環(huán)境。

ARP 欺騙攻擊原理分析   

在局域網(wǎng)中,通過(guò)ARP協(xié)議來(lái)完成IP地址轉換為第二層物理地址 ,實(shí)現局域網(wǎng)機器的通信。 ARP協(xié)議對網(wǎng)絡(luò )安全具有重要的意義。 這是建立在相互信任的基礎上。如果 通過(guò)偽造IP地址和MAC地址實(shí)現ARP欺騙, 在網(wǎng)絡(luò )中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò )阻塞 、掉線(xiàn)、重定向、 嗅探攻擊。

我們知道 每個(gè)主機都用一個(gè)ARP高速緩存 , 存放最近IP地址到MAC硬件地址之間的映射記錄。Windows高速緩存中的每一條記錄的生存時(shí)間一般為60秒,起始時(shí)間從被創(chuàng )建時(shí)開(kāi)始算起。默認情況下,ARP從緩存中讀取IP-MAC條目,緩存中的IP-MAC條目是根據ARP響應包動(dòng)態(tài)變化的。因此,只要網(wǎng)絡(luò )上有ARP響應包發(fā)送到本機,即會(huì )更新ARP高速緩存中的IP-MAC條目。 如:X Y 發(fā)送一個(gè)自己偽造的ARP應答,而這個(gè)應答中的數據發(fā)送方IP地址是192.168.1.3( Z 的IP地址),MAC地址是DD-DD-DD-DD-DD-DD( Z 真實(shí) MAC地址 是CC-CC-CC-CC-CC-CC,這里被偽造了)。當 Y 接收到 X 偽造的ARP應答,就會(huì )更新本地的ARP緩存( Y 可不知道被偽造了)。 那么如果偽造成網(wǎng)關(guān)呢?

Switch上同樣維護著(zhù)一個(gè)動(dòng)態(tài)的MAC緩存,它一般是這樣,首先,交換機內部有一個(gè)對應的列表,交換機的端口對應MAC地址表Port n <-> Mac記錄著(zhù)每一個(gè)端口下面存在那些MAC地址,這個(gè)表開(kāi)始是空的,交換機從來(lái)往數據幀中學(xué)習。因為MAC-PORT緩存表是動(dòng)態(tài)更新的,那么讓整個(gè) Switch的端口表都改變,對Switch進(jìn)行MAC地址欺騙的Flood,不斷發(fā)送大量假MAC地址的數據包,Switch就更新MAC-PORT緩存,如果能通過(guò)這樣的辦法把以前正常的MAC和Port對應的關(guān)系破壞了,那么Switch就會(huì )進(jìn)行泛洪發(fā)送給每一個(gè)端口,讓Switch基本變成一個(gè) HUB,向所有的端口發(fā)送數據包,要進(jìn)行嗅探攻擊的目的一樣能夠達到。也將造成Switch MAC-PORT緩存的崩潰,如下面交換機中日志所示:

Internet  192.168.1.4  0000b.cd85.a193  ARPAVlan256

Internet  192.168.1.5  0000b.cd85.a193  ARPAVlan256

Internet  192.168.1.6  0000b.cd85.a193  ARPAVlan256

Internet  192.168.1.7  0000b.cd85.a193  ARPAVlan256

Internet  192.168.1.8  0000b.cd85.a193  ARPAVlan256

Internet  192.168.1.9  0000b.cd85.a193  ARPAVlan256


ARP攻擊時(shí)的主要現象


網(wǎng)上銀行、保密數據的頻繁丟失。 當局域網(wǎng)內某臺主機運行ARP欺騙的木馬程序時(shí),會(huì )欺騙局域網(wǎng)內所有主機和路由器,讓所有上網(wǎng)的流量必須經(jīng)過(guò)病毒主機。其他用戶(hù)原來(lái)直接通過(guò)路由器上網(wǎng)現在轉由通過(guò)病毒主機上網(wǎng),切換的時(shí)候用戶(hù)會(huì )斷一次線(xiàn)。切換到病毒主機上網(wǎng)后,如果用戶(hù)已經(jīng)登陸服務(wù)器,那么病毒主機就會(huì )經(jīng)常偽造斷線(xiàn)的假像,那么用戶(hù)就得重新登錄服務(wù)器,這樣病毒主機就可以 竊取所有機器的資料了 。

網(wǎng)速時(shí)快時(shí)慢,極其不穩定,但單機進(jìn)行光纖數據測試時(shí)一切正常。局域網(wǎng)內頻繁性區域或整體掉線(xiàn),重啟計算機或網(wǎng)絡(luò )設備后恢復正常

由于A(yíng)RP欺騙的木馬程序發(fā)作的時(shí)候會(huì )發(fā)出大量的數據包導致局域網(wǎng)通訊擁塞以及其自身處理能力的限制,用戶(hù)會(huì )感覺(jué)上網(wǎng)速度越來(lái)越慢。當ARP欺騙的木馬程序停止運行時(shí),用戶(hù)會(huì )恢復從路由器上網(wǎng),切換過(guò)程中用戶(hù)會(huì )再次 線(xiàn)。


ARP的解決辦法:

目前來(lái)看普遍的解決辦法都是采用雙綁,具體方法:

先找到正確的 網(wǎng)關(guān) IP 網(wǎng)關(guān)物理地址 然后 在客戶(hù)端做對網(wǎng)關(guān)的arp綁定。

步驟一:

查找本網(wǎng)段的網(wǎng)關(guān)地址,比如192.168.1.1,以下以此網(wǎng)關(guān)為例。在正常上網(wǎng)時(shí),“開(kāi)始→運行→cmd→確定”,輸入:arp -a,點(diǎn)回車(chē),查看網(wǎng)關(guān)對應的Physical Address。

比如:網(wǎng)關(guān)192.168.1.1 對應0A-0B-0C-0D-0E-0F。

步驟二:

編寫(xiě)一個(gè)批處理文件rarp.bat,內容如下:

@echo off

arp -d

arp -s 192.168.1.1 0A-0B-0C-0D-0E-0F

保存為:rarp.bat。

步驟三:

運行批處理文件將這個(gè)批處理文件拖到“Windows→開(kāi)始→程序→啟動(dòng)”中。

但雙綁并不能徹底解決ARP問(wèn)題,IP沖突以及一些ARP變種是不能應對的。

再有就是采用防ARP的硬件路由,但價(jià)格很高,并且不能保證在大量攻擊出現地情況下穩定工作.那么現在就沒(méi)有,有效并能夠徹底的解決辦法了嗎?有的,那就是采用能夠以底層驅動(dòng)的方式工作的軟件,并全網(wǎng)部署來(lái)防范ARP問(wèn)題.

類(lèi)軟件是通過(guò)系統底層核心驅動(dòng),以服務(wù)及進(jìn)程并存的形式隨系統啟動(dòng)并運行,不占用計算機系統資源。這種方式不同于雙綁。因為它是對通信中的數據包進(jìn)行分析與判斷,只有合法的包才可以被放行。非法包就被丟棄掉了。也不用擔心計算機會(huì )在重啟后新建ARP緩存列表,因為是以服務(wù)與進(jìn)程相結合的形式 存在于計算機中,當計算機重啟后軟件的防護功能也會(huì )隨操作系統自動(dòng)啟動(dòng)并工作。

目前滿(mǎn)足這一要求的并能出色工作的軟件推薦大家選用ARP衛士,此軟件不僅僅解決了ARP問(wèn)題,同時(shí)也擁有內網(wǎng)洪水防護功能與P2P限速功能。


ARP衛士在系統網(wǎng)絡(luò )的底層安裝了一個(gè)核心驅動(dòng),通過(guò)這個(gè)核心驅動(dòng)過(guò)濾所有的ARP數據包,對每個(gè)ARP應答進(jìn)行判斷,只有符合規則的ARP包,才會(huì )被進(jìn)一步處理.這樣,就實(shí)現防御了計算機被欺騙. 同時(shí),ARP衛士對每一個(gè)發(fā)送出去的ARP應答都進(jìn)行檢測,只有符合規則的ARP數據包才會(huì )被發(fā)送出去,這樣就實(shí)現了對發(fā)送攻擊的攔截...

  洪水攔截:通過(guò)此項設置,可以對規則列表中出現了SYN洪水攻擊、UDP洪水攻擊、ICMP洪水攻擊的機器進(jìn)行懲罰。當局域網(wǎng) 內某臺計算機所發(fā)送的SYN報文、UDP報文、ICMP報文超出此項設置中所規定的上限時(shí),“ARP衛士”客戶(hù)端將會(huì )按 照預設值對其進(jìn)行相應懲罰。在懲罰時(shí)間內,這臺計算機將不會(huì )再向網(wǎng)絡(luò )內發(fā)送相應報文。但懲罰不會(huì )對已建立 的連接產(chǎn)生影響。

流量控制:通過(guò)此項設置,可以對規則列表中的所有計算機進(jìn)行廣域網(wǎng)及局域網(wǎng)的上傳及下載流量進(jìn)行限制(即所謂的網(wǎng)絡(luò ) 限速)。鼠標右鍵單擊“排除機器列表”窗口即可對其中內容進(jìn)行修改、編輯。存在于“排除機器列表”中的IP地址將不 會(huì )受到流量控制的約束。
ARP Guard(ARP衛士)的確可以從根本上徹底解 決ARP欺騙攻擊所帶來(lái)的所有問(wèn)題。它不僅可以保護計算機不受ARP欺騙攻擊的影響,而且還會(huì )對感染了ARP攻擊病毒或欺騙木馬的 病毒源機器進(jìn)行控制,使其不能對局域網(wǎng)內其它計算機進(jìn)行欺騙攻擊。保持網(wǎng)絡(luò )正常通訊,防止帶有ARP欺騙攻擊的機器對網(wǎng)內計 算機的監聽(tīng),使瀏覽網(wǎng)頁(yè)、數據傳輸時(shí)不受ARP欺騙者限制。

總體來(lái)看我覺(jué)得這個(gè)軟件是目前市面上最好的了。同時(shí)在線(xiàn)客服工作也很負責。但有些時(shí)候對于網(wǎng)管來(lái)說(shuō)還是不太方便。比如管理端換了IP。那么下面的客戶(hù)端只能重新指向新的IP。再有軟件不能對所有的無(wú)盤(pán)系統都支持。對LINUX操作系統也不能支持。希望這些能夠盡快被軟件開(kāi)發(fā)商注意并及時(shí)更新。好了,說(shuō)了這么多,希望能夠給大家解決ARP掉線(xiàn)問(wèn)題,提供幫助。

最后強烈鄙視!鄙視!鄙視!發(fā)病毒的人。最好抓到后放到火星上面去。

就這么多了.留下我的QQ: 351205532 有需要幫助的朋友可以與我聯(lián)系.

  網(wǎng)址:http://arp.enet100.com/
2#
jcl1972 發(fā)表于 2008-2-25 08:16:18 | 只看該作者 來(lái)自 中國北京
學(xué)習了 支持 支持
3#
bobwoods 發(fā)表于 2008-2-27 17:31:29 | 只看該作者 來(lái)自 中國廣東深圳
不太懂,過(guò)來(lái)學(xué)習下。。。。。。。。!
4#
88268459 發(fā)表于 2008-2-27 17:46:19 | 只看該作者 來(lái)自 中國北京
收藏起來(lái) 慢慢學(xué)習
5#
wxshbking 發(fā)表于 2008-2-28 08:41:44 | 只看該作者 來(lái)自 中國江蘇無(wú)錫
學(xué)習了,我們公司就有ARP攻擊,到現在也沒(méi)有解決
6#
.].]. 發(fā)表于 2008-2-28 19:00:11 | 只看該作者 來(lái)自 中國上海
現在很多軟件 路由都帶防arp欺騙的 360安全衛士就有了
7#
wxshbking 發(fā)表于 2008-2-29 15:47:41 | 只看該作者 來(lái)自 中國江蘇無(wú)錫
這款軟件可以在多少機器上用?
8#
freebomb110 發(fā)表于 2008-3-2 11:31:48 | 只看該作者 來(lái)自 中國廣西南寧
受教了。
學(xué)習當中。
9#
whltiger 發(fā)表于 2008-3-10 14:29:09 | 只看該作者 來(lái)自 中國遼寧沈陽(yáng)

不錯的文章

雖然是轉載的,不過(guò)也不錯,樓主辛苦了!
10#
laijiangling 發(fā)表于 2008-3-13 10:18:43 | 只看該作者 來(lái)自 中國重慶
不錯,樓主辛苦了!
11#
一只人 發(fā)表于 2008-3-15 08:41:09 | 只看該作者 來(lái)自 中國上海
謝謝指導,,學(xué)習了啊,,
12#
djh2000 發(fā)表于 2008-3-15 09:22:42 | 只看該作者 來(lái)自 中國廣東深圳
不錯,樓主辛苦了!
13#
李搜狐李 發(fā)表于 2008-6-27 15:13:36 | 只看該作者 來(lái)自 中國四川成都
謝謝誒。樓主有心
14#
sun75 發(fā)表于 2008-6-28 23:17:12 | 只看該作者 來(lái)自 中國福建廈門(mén)
復習下
15#
jxg 發(fā)表于 2008-7-21 08:28:15 | 只看該作者 來(lái)自 中國河南焦作
辛苦,辛苦,不錯不錯。
您需要登錄后才可以回帖 登錄 | 注冊

本版積分規則

快速回復 返回頂部 返回列表
平利县| 乌什县| 富顺县| 平和县| 麻城市| 阿勒泰市| 巴林左旗| 双鸭山市| 五常市| 伊春市| 区。| 砚山县| 固始县| 临城县| 吴旗县| 宁都县| 常山县| 平湖市| 江川县| 离岛区| 岱山县| 浦城县| 沂水县| 聊城市| 南安市| 绥芬河市| 盐城市| 北京市| 彰化县| 晋宁县| 锡林浩特市| 嘉荫县| 原阳县| 民和| 玉山县| 玛纳斯县| 襄汾县| 汝州市| 安图县| 托克逊县| 麟游县|