『壹』 ARP是如何偽造的自己的
關於ARP欺騙的原理分析和初步判斷方法
最近,有部分網吧反映:網路經常會閃斷和出現不確定的部分機器掉線的奇怪現象。經過我們的實地檢測、調試發現問題的關鍵是出在「ARP欺騙」。
那麼究竟什麼是「ARP欺騙」呢?它究竟為什麼具有如此大的威力呢?那麼我們究竟該如何防範呢?下面,我們就一步一步的詳細探求一下。
一,什麼是ARP?
ARP(Address Resolution Protocol)是地址解析協議,是一種將IP地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式:表格方式和非表格方式。ARP具體說來就是將網路層(IP層,也就是相當於OSI的第三層)地址解析為數據連接層(MAC層,也就是相當於OSI的第二層)的MAC地址。
二,ARP協議的原理
ARP原理:某機器A要向主機B發送報文,會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址後,就會進行數據傳輸。如果未找到,則廣播A一個ARP請求報文(攜帶主機A的IP地址Ia——物理地址Pa),請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP地址,於是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址,A接收到B的應答後,就會更新本地的ARP緩存。接著使用這個MAC地址發送數據(由網卡附加MAC地址)。因此,本地高速緩存的這個ARP表是本地網路流通的基礎,而且這個緩存是動態的。
三,ARP工作的其他幾種形式
1、 反向ARP:反向ARP(Reverse ARP,RARP)用於把MAC地址轉換成對應的 IP 地址。通常這種形式主要使用在系統自身無法保存IP地址的環境里,例如無盤站就是典型的例子。
2、 代理ARP:代理ARP(PROXY ARP),一般被路由器這樣的網路設備使用,用來代替處於其他網段的主機回答本網段主機的ARP請求。
3、 無為ARP:無為(Gratuitous ARP,GARP)ARP也稱為無故ARP,就是計算機使用本機的IP地址作為目標地址發送ARP請求。無為ARP主要有兩種用途,一個作用是根據收到ARP響應的話,說明網路中存在重復的IP地址;另外一個作用是用來聲明一個新的數據鏈路標識。當一個網路設備收到一個arp請求時,如果發現arp緩沖區中已經存在發送者的IP地址,則更新此IP地址所對應的MAC地址信息。
四,ARP欺騙的基本原理
ARP協議並不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和MAC地址存儲在ARP緩存中。因此,當區域網中的某台機器B向A發送一個自己偽造的ARP應答,而如果這個應答是B冒充C偽造來的,即IP地址為C的IP,而MAC地址是偽造的,則當A接收到B偽造的ARP應答後,就會更新本地的ARP緩存,這樣在A看來C的IP地址沒有變,而它的MAC地址已經不是原來那個了。由於區域網的網路流通不是根據IP地址進行,而是按照MAC地址進行傳輸。所以,那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址,這樣就會造成網路不通,導致A不能Ping通C!這就是一個簡單的ARP欺騙。
五、ARP欺騙的表現
ARP 欺騙一般分為兩種,一種是對路由器 ARP 表的欺騙;另一種是對內網 PC 的網關欺騙。
第一種 ARP 欺騙是截獲網關數據,它通知路由器一系列錯誤的區域網 MAC 地址,並按照一定的頻率不斷的更新學習進行,使真實的地址信息無法通過更新保存在路由器中,結果路由器的所有數據只能發送到錯誤的 MAC 地址,造成正常的計算機無法收到信息。
第二種 ARP 欺騙是通過交換機的 MAC 地址學習機制,偽造網關。它的原理是建立假的網關,讓被它欺騙的計算機向假網關發送數據,而不是通過正常的路由器或交換途徑尋找網關,造成在同一網關的所有計算機無法訪問網路。
由於ARP協議是網路連通的基礎協議,任何需要連通網路的計算機都必須開放該協議。又因為ARP欺騙攻擊出現較晚,而又因為ARP協議的特殊原理,造成防禦方式十分有限和被動。往往遭受攻擊後,會誤認為是網路設備的故障而使損失進一步加大。
六,ARP地址欺騙的危害主要表現如下:
1、網路訪問時斷時繼,掉線頻繁,網路訪問速度越來越慢,有時則長時間不能上網,雙擊任務欄中的本地連接圖標,顯示為已經連接,並且發現發送的數據包明顯少於接收的數據包;
2、同一網段的所有上網機器均無法正常連接網路;
3、打開·windows任務管理器,出現可疑進程,如」MIE0.dat」等進程;
4、如果是中了ARP欺騙病毒的話,病毒發作時除了會導致同一區域網內的其他用戶出現時斷時續外,還可能會竊取用戶密碼(如 QQ、網上銀行以及其它脆弱系統帳號等),這是木馬的慣用伎倆;
5、打開路由器的系統歷史記錄中看到大量的MAC更換信息。
七,ARP地址欺騙的初步判斷方式:
1、清空ARP緩存: 大家可能都曾經有過使用ARP的指令法解決過ARP欺騙問題,該方法是針對ARP欺騙原理進行解決的。一般來說ARP欺騙都是通過發送虛假的MAC地址與IP地址的對應ARP數據包來迷惑網路設備,用虛假的或錯誤的MAC地址與IP地址對應關系取代正確的對應關系。
1,首先獲取網關設備的MAC地址信息。
2,開始菜單->運行->CMD->在DOS窗口中輸入arp -a
3,對比故障機的ARP緩存中的MAC地址信息與實際網關設備的MAC地址是否相符,如果不符,網路中就是存在ARP地址欺騙。
PS:
若是一些初級的ARP欺騙,可以通過ARP的指令來清空本機的ARP緩存對應關系,讓網路設備從網路中重新獲得正確的對應關系,具體解決過程如下:
開始菜單->運行->CMD->在DOS窗口中輸入arp -d
如果是遇到使用ARP欺騙工具來進行攻擊的情況,使用上述的方法完全可以解決。但如果是感染ARP欺騙病毒,病毒每隔一段時間自動發送ARP欺騙數據包,這時使用清空ARP緩存的方法將無能為力了。
『貳』 請問區域網中間人攻擊(arp),如何在不藉助第三方軟體的情況下,用ms-dos來實行。
ARP攻擊,是針對乙太網地址解析協議(ARP)的一種攻擊技術。此種攻擊可讓攻擊者取得區域網上的數據封包甚至可篡改封包,且可讓網路上特定計算機或所有計算機無法正常連接。
ARP攻擊原理
ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網路中產生大量的ARP通信量使網路阻塞,攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,造成網路中斷或中間人攻擊。
ARP攻擊主要是存在於區域網網路中,區域網中若有一台計算機感染ARP木馬,則感染該ARP木馬的系統將會試圖通過「ARP欺騙」手段截獲所在網路內其它計算機的通信信息,並因此造成網內其它計算機的通信故障。
某機器A要向主機B發送報文,會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址後,就會進行數據傳輸。如果未找到,則廣播A一個ARP請求報文(攜帶主機A的IP地址Ia——物理地址Pa),請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP地址,於是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址,A接收到B的應答後,就會更新本地的ARP緩存。接著使用這個MAC地址發送數據(由網卡附加MAC地址)。因此,本地高速緩存的這個ARP表是本地網路流通的基礎,而且這個緩存是動態的。
遭受ARP攻擊後現象
ARP欺騙木馬的中毒現象表現為:使用區域網時會突然掉線,過一段時間後又會恢復正常。比如客戶端狀態頻頻變紅,用戶頻繁斷網,IE瀏覽器頻繁出錯,以及一些常用軟體出現故障等。如果區域網中是通過身份認證上網的,會突然出現可認證,但不能上網的現象(無法ping通網關),重啟機器或在MS-DOS窗口下運行命令arp -d後,又可恢復上網。
ARP欺騙木馬只需成功感染一台電腦,就可能導致整個區域網都無法上網,嚴重的甚至可能帶來整個網路的癱瘓。該木馬發作時除了會導致同一區域網內的其他用戶上網出現時斷時續的現象外,還會竊取用戶密碼。如盜取密碼、盜取各種網路游戲密碼和賬號去做金錢交易,盜竊網上銀行賬號來做非法交易活動等,這是木馬的慣用伎倆,給用戶造成了很大的不便和巨大的經濟損失。
基於ARP協議的這一工作特性,黑客向對方計算機不斷發送有欺詐性質的ARP數據包,數據包內包含有與當前設備重復的Mac地址,使對方在回應報文時,由於簡單的地址重復錯誤而導致不能進行正常的網路通信。一般情況下,受到ARP攻擊的計算機會出現兩種現象:
1.不斷彈出「本機的0-255段硬體地址與網路中的0-255段地址沖突」的對話框。
2.計算機不能正常上網,出現網路中斷的症狀。
因為這種攻擊是利用ARP請求報文進行「欺騙」的,所以防火牆會誤以為是正常的請求數據包,不予攔截。因此普通的防火牆很難抵擋這種攻擊。
『叄』 arp攻擊和欺騙都是通過什麼來實現的
ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網路中產生大量的ARP通信量使網路阻塞,攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,造成網路中斷或中間人攻擊。 ARP攻擊主要是存在於區域網網路中,區域網中若有一個人感染ARP木馬,則感染該ARP木馬的系統將會試圖通過「ARP欺騙」手段截獲所在網路內其它計算機的通信信息,並因此造成網內其它計算機的通信故障。
『肆』 不用工具能直接進行ARP欺騙嗎,能的話怎麼弄呀
最原始的方法,用shutdown命令 強行關閉對方電腦,在修改自己的IP 或者改掉物理MAC
『伍』 簡述ARP欺騙攻擊的原理以及防護辦法
ARP欺騙不是一種新技術。它已經存在了相當長的一段時間。
ARP欺騙就好像是攻擊者不斷地跟區域網中的其他設備說:"嘿!我是路由器!向我發送您想要在網路中交換的詳細信息"。這是通過不斷向該特定設備發送包含欺騙細節的ARP數據包,以便它相信它正在與它應該與之通話的設備通話。
而公共WiFi網路,使用場景恰恰能解釋這一點:
假設有一家咖啡店,提供"免費WiFi",方便客人連接互聯網。"免費WiFi"由本地網路中IP地址為192.168.1.1的無線路由器提供服務,無線路由器的MAC地址為5F:8B:B9:86:29:22。然後,順序發生以下事件:
1. 合法用戶連接到咖啡店提供的公共WiFi網路,並獲得IP地址168.1.100。假設此用戶使用的手機的MAC地址為9E:E6:85:8B:21:32。
一旦數據包被發送,行動電話的ARP表就會更新以下信息:192.168.1.1(接入點的IP)< - > 8E:9E:E2:45:85:C0(攻擊者的MAC)而不是:192.168.1.1 (接入點的IP)< - > 5F:8B:B9:86:29:22(接入點的MAC)
發生這種情況時,用戶每次連接到互聯網時,網路流量並不是發送到無線路由器,而是會把所有的網路流量轉發給攻擊者的設備,因為網路中的設備的APP表中IP 192.168.1.1與攻擊者的MAC地址是相關聯的。然後攻擊者接收到被攻擊者的網路流量時是可以將接收到的網路流量轉發到無線路由器(中間人攻擊)再由無線路由器將這些網路流量發送到互聯網上,又或者是直接不轉發給路由器這樣就會導致用戶無法連接到互聯網。
受到ARP欺騙攻擊後,黑客就可以截取你所有的網路流量,再慢慢一一進行分析,這時,你所有的用網數據都變成透明公開的狀態了。
那我們應該如何去防禦呢?除了盡可能的不連接這些公共WiFi,還可以使用防火牆軟體。除此之外最簡單便捷的方式,那就是使用代理IP。這樣,在用網的過程中,我們的真實數據被隱藏,並且加密傳輸,縱使是黑客,也很難破解你的賬戶與密碼。因此,在不得不連接公共WIFI的情況下,記得使用代理IP,使用AES技術加密線上數據,開啟數據保護。
『陸』 關於ARP欺騙的問題
主要原因是在區域網中有人使用了ARP欺騙的木馬程序,比如一些盜號的軟體。
一、ARP病毒分析
當區域網內某台主機運行ARP欺騙的木馬程序時,會騙欺局域域網內所有主機和路由器,讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網,切換的時候用戶會斷一次線。切換到病毒主機上網後,如果用戶已經登陸了游戲伺服器,那麼病毒主機就會經常偽造斷線的假像,那麼用戶就得重新登錄游戲伺服器,這樣病毒主機就可以盜號了。
由於ARP欺騙的木馬程序發作的時候會發出大量的數據包導致區域網通訊擁塞以及其自身處理能力的限制,用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止運行時,用戶會恢復從路由器上網,切換過程中用戶會再斷一次線。
在路由器的「系統歷史記錄」中看到大量如下的信息:
MAC Chged 10.128.103.124MAC Old 00:01:6c:36:d1:7fMAC New 00:05:5d:60:c7:18
這個消息代表了用戶的MAC地址發生了變化,在ARP欺騙木馬開始運行的時候,區域網所有主機的MAC地址更新為病毒主機的MAC地址(即所有信息的MAC New地址都一致為病毒主機的MAC地址),同時在路由器的「用戶統計」中看到所有用戶的MAC地址信息都一樣。
如果是在路由器的「系統歷史記錄」中看到大量MAC Old地址都一致,則說明區域網內曾經出現過ARP欺騙(ARP欺騙的木馬程序停止運行時,主機在路由器上恢復其真實的MAC地址)。
BKDR_NPFECT.A病毒引起ARP欺騙之實測分析
病毒現象:中毒機器在區域網中發送假的APR應答包進行APR欺騙, 造成其他客戶機無法獲得網關和其他客戶機的網卡真實MAC地址,導致無法上網和正常的區域網通信.
病毒原理分析:
病毒的組件
本文研究的病毒樣本有三個組件構成:
%windows%SYSTEM32LOADHW.EXE」..................病毒組件釋放者
%windows%System32driversnpf.sys」...............發ARP欺騙包的驅動程序
%windows%System32msitinit.dll 」..............命令驅動程序發ARP欺騙包的控制者
反病毒應急響應解決方案:
按以下順序刪除病毒組件
1) 刪除 」病毒組件釋放者」
%windows%SYSTEM32LOADHW.EXE
2) 刪除 」發ARP欺騙包的驅動程序」 (兼 「病毒守護程序」)
%windows%System32driversnpf.sys
a. 在設備管理器中, 單擊」查看」-->」顯示隱藏的設備」
b. 在設備樹結構中,打開」非即插即用….」
c. 找到」 NetGroup Packet Filter Driver」 ,若沒找到,請先刷新設備列表
d. 右鍵點擊」 NetGroup Packet Filter Driver」 菜單,並選擇」卸載」.
e. 重啟windows系統,
f.刪除%windows%System32driversnpf.sys
3) 刪除 」命令驅動程序發ARP欺騙包的控制者」
%windows%System32msitinit.dll
2. 刪除以下」病毒的假驅動程序」的注冊表服務項:
HKEY_LOCAL_
二、定位ARP攻擊源頭和防禦方法
1.定位ARP攻擊源頭
主動定位方式:因為所有的ARP攻擊源都會有其特徵——網卡會處於混雜模式,可以通過ARPKiller這樣的工具掃描網內有哪台機器的網卡是處於混雜模式的,從而判斷這台機器有可能就是「元兇」。定位好機器後,再做病毒信息收集,提交給趨勢科技做分析處理。
標註:網卡可以置於一種模式叫混雜模式(promiscuous),在這種模式下工作的網卡能夠收到一切通過它的數據,而不管實際上數據的目的地址是不是它。這實際就是Sniffer工作的基本原理:讓網卡接收一切它所能接收的數據。
被動定位方式:在區域網發生ARP攻擊時,查看交換機的動態ARP表中的內容,確定攻擊源的MAC地址;也可以在局域居於網中部署Sniffer工具,定位ARP攻擊源的MAC。
也可以直接Ping網關IP,完成Ping後,用ARP –a查看網關IP對應的MAC地址,此MAC地址應該為欺騙的MAC。
使用NBTSCAN可以取到PC的真實IP地址、機器名和MAC地址,如果有」ARP攻擊」在做怪,可以找到裝有ARP攻擊的PC的IP、機器名和MAC地址。
命令:「nbtscan -r 192.168.16.0/254」(搜索整個192.168.16.0/254網段, 即192.168.16.1-192.168.16.254);或「nbtscan 192.168.16.25-137」搜索192.168.16.25-137 網段,即192.168.16.25-192.168.16.137。輸出結果第一列是IP地址,最後一列是MAC地址。
NBTSCAN的使用範例:
假設查找一台MAC地址為「000d870d585f」的病毒主機。
1)將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。
2)在Windows開始—運行—打開,輸入cmd(windows98輸入「command」),在出現的DOS窗口中輸入:C: btscan -r 192.168.16.1/24(這里需要根據用戶實際網段輸入),回車。
3)通過查詢IP--MAC對應表,查出「000d870d585f」的病毒主機的IP地址為「192.168.16.223」。
通過上述方法,我們就能夠快速的找到病毒源,確認其MAC——〉機器名和IP地址。
2.防禦方法
a.使用可防禦ARP攻擊的三層交換機,綁定埠-MAC-IP,限制ARP流量,及時發現並自動阻斷ARP攻擊埠,合理劃分VLAN,徹底阻止盜用IP、MAC地址,杜絕ARP的攻擊。
b.對於經常爆發病毒的網路,進行Internet訪問控制,限制用戶對網路的訪問。此類ARP攻擊程序一般都是從Internet下載到用戶終端,如果能夠加強用戶上網的訪問控制,就能極大的減少該問題的發生。
c.在發生ARP攻擊時,及時找到病毒攻擊源頭,並收集病毒信息,可以使用趨勢科技的SIC2.0,同時收集可疑的病毒樣本文件,一起提交到趨勢科技的TrendLabs進行分析,TrendLabs將以最快的速度提供病毒碼文件,從而可以進行ARP病毒的防禦。
病毒運作基理:
1.LOADHW.EXE 執行時會釋放兩個組件npf.sys 和msitinit.dll .
LOADHW.EXE釋放組件後即終止運行.
注意: 病毒假冒成winPcap的驅動程序,並提供winPcap的功能. 客戶若原先裝有winPcap,
npf.sys將會被病毒文件覆蓋掉.
2.隨後msitinit.dll將npf.sys注冊(並監視)為內核級驅動設備: "NetGroup Packet Filter Driver"
msitinit.dll 還負責發送指令來操作驅動程序npf.sys (如發送APR欺騙包, 抓包, 過濾包等)
以下從病毒代碼中提取得服務相關值:
BinaryPathName = "system32driversnpf.sys"StartType = SERVICE_AUTO_STARTServiceType= SERVICE_KERNEL_DRIVERDesiredAccess= SERVICE_ALL_ACCESSDisplayName = "NetGroup Packet Filter Driver"ServiceName = "Npf"
3. npf.sys 負責監護msitinit.dll. 並將LOADHW.EXE注冊為自啟動程序:
[HKEY_LOCAL_]
dwMyTest =LOADHW.EXE
注: 由於該項位於RunOnce下,該注冊表啟動項在每次執行後,即會被系統自動刪除.
『柒』 滿分懸賞!!!如何徹底解決arp欺騙和病毒的問題
有補丁呢,你把補丁下載打開,有五個文件,分別復制在相應的位置.(有說明)
參考一下吧 http://..com/question/5038244.html
ARP攻擊的原理與解決方法(第三版)含如何在區域網內查找病毒主機
【故障原因】
區域網內有人使用ARP欺騙的木馬程序(比如:魔獸世界,天堂,勁舞團等盜號的軟體,某些外掛中也被惡意載入了此程序)。
【故障原理】
要了解故障原理,我們先來了解一下ARP協議。
在區域網中,通過ARP協議來完成IP地址轉換為第二層物理地址(即MAC地址)的。ARP協議對網路安全具有重要的意義。通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網路中產生大量的ARP通信量使網路阻塞。
ARP協議是「Address Resolution Protocol」(地址解析協議)的縮寫。在區域網中,網路中實際傳輸的是「幀」,幀裡面是有目標主機的MAC地址的。在乙太網中,一個主機要和另一個主機進行直接通信,必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢?它就是通過地址解析協議獲得的。所謂「地址解析」就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的順利進行。
每台安裝有TCP/IP協議的電腦里都有一個ARP緩存表,表裡的IP地址與MAC地址是一一對應的,如下所示。
主機 IP地址 MAC地址
A 192.168.16.1 aa-aa-aa-aa-aa-aa
B 192.168.16.2 bb-bb-bb-bb-bb-bb
C 192.168.16.3 cc-cc-cc-cc-cc-cc
D 192.168.16.4 dd-dd-dd-dd-dd-dd
我們以主機A(192.168.16.1)向主機B(192.168.16.2)發送數據為例。當發送數據時,主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了,也就知道了目標MAC地址,直接把目標MAC地址寫入幀裡面發送就可以了;如果在ARP緩存表中沒有找到相對應的IP地址,主機A就會在網路上發送一個廣播,目標MAC地址是「FF.FF.FF.FF.FF.FF」,這表示向同一網段內的所有主機發出這樣的詢問:「192.168.16.2的MAC地址是什麼?」網路上其他主機並不響應ARP詢問,只有主機B接收到這個幀時,才向主機A做出這樣的回應:「192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb」。這樣,主機A就知道了主機B的MAC地址,它就可以向主機B發送信息了。同時它還更新了自己的ARP緩存表,下次再向主機B發送信息時,直接從ARP緩存表裡查找就可以了。ARP緩存表採用了老化機制,在一段時間內如果表中的某一行沒有使用,就會被刪除,這樣可以大大減少ARP緩存表的長度,加快查詢速度。
從上面可以看出,ARP協議的基礎就是信任區域網內所有的人,那麼就很容易實現在乙太網上的ARP欺騙。對目標A進行欺騙,A去Ping主機C卻發送到了DD-DD-DD-DD-DD-DD這個地址上。如果進行欺騙的時候,把C的MAC地址騙為DD-DD-DD-DD-DD-DD,於是A發送到C上的數據包都變成發送給D的了。這不正好是D能夠接收到A發送的數據包了么,嗅探成功。
A對這個變化一點都沒有意識到,但是接下來的事情就讓A產生了懷疑。因為A和C連接不上了。D對接收到A發送給C的數據包可沒有轉交給C。
做「man in the middle」,進行ARP重定向。打開D的IP轉發功能,A發送過來的數據包,轉發給C,好比一個路由器一樣。不過,假如D發送ICMP重定向的話就中斷了整個計劃。
D直接進行整個包的修改轉發,捕獲到A發送給C的數據包,全部進行修改後再轉發給C,而C接收到的數據包完全認為是從A發送來的。不過,C發送的數據包又直接傳遞給A,倘若再次進行對C的ARP欺騙。現在D就完全成為A與C的中間橋梁了,對於A和C之間的通訊就可以了如指掌了。
【故障現象】
當區域網內某台主機運行ARP欺騙的木馬程序時,會欺騙區域網內所有主機和路由器,讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網,切換的時候用戶會斷一次線。
切換到病毒主機上網後,如果用戶已經登陸了伺服器,那麼病毒主機就會經常偽造斷線的假像,那麼用戶就得重新登錄伺服器,這樣病毒主機就可以盜號了。
由於ARP欺騙的木馬程序發作的時候會發出大量的數據包導致區域網通訊擁塞以及其自身處理能力的限制,用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止運行時,用戶會恢復從路由器上網,切換過程中用戶會再斷一次線。
【HiPER用戶快速發現ARP欺騙木馬】
在路由器的「系統歷史記錄」中看到大量如下的信息(440以後的路由器軟體版本中才有此提示):
MAC Chged 10.128.103.124
MAC Old 00:01:6c:36:d1:7f
MAC New 00:05:5d:60:c7:18
這個消息代表了用戶的MAC地址發生了變化,在ARP欺騙木馬開始運行的時候,區域網所有主機的MAC地址更新為病毒主機的MAC地址(即所有信息的MAC New地址都一致為病毒主機的MAC地址),同時在路由器的「用戶統計」中看到所有用戶的MAC地址信息都一樣。
如果是在路由器的「系統歷史記錄」中看到大量MAC Old地址都一致,則說明區域網內曾經出現過ARP欺騙(ARP欺騙的木馬程序停止運行時,主機在路由器上恢復其真實的MAC地址)。
【在區域網內查找病毒主機】
在上面我們已經知道了使用ARP欺騙木馬的主機的MAC地址,那麼我們就可以使用NBTSCAN工具來快速查找它。
NBTSCAN可以取到PC的真實IP地址和MAC地址,如果有」ARP攻擊」在做怪,可以找到裝有ARP攻擊的PC的IP/和MAC地址。
命令:「nbtscan -r 192.168.16.0/24」(搜索整個192.168.16.0/24網段, 即192.168.16.1-192.168.16.254);或「nbtscan 192.168.16.25-137」搜索192.168.16.25-137 網段,即192.168.16.25-192.168.16.137。輸出結果第一列是IP地址,最後一列是MAC地址。
NBTSCAN的使用範例:
假設查找一台MAC地址為「000d870d585f」的病毒主機。
1)將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。
2)在Windows開始—運行—打開,輸入cmd(windows98輸入「command」),在出現的DOS窗口中輸入:C: btscan -r 192.168.16.1/24(這里需要根據用戶實際網段輸入),回車。
3)通過查詢IP--MAC對應表,查出「000d870d585f」的病毒主機的IP地址為「192.168.16.223」。
【解決思路】
1、不要把你的網路安全信任關系建立在IP基礎上或MAC基礎上,(rarp同樣存在欺騙的問題),理想的關系應該建立在IP+MAC基礎上。
2、設置靜態的MAC-->IP對應表,不要讓主機刷新你設定好的轉換表。
3、除非很有必要,否則停止使用ARP,將ARP做為永久條目保存在對應表中。
4、使用ARP伺服器。通過該伺服器查找自己的ARP轉換表來響應其他機器的ARP廣播。確保這台ARP伺服器不被黑。
5、使用"proxy"代理IP的傳輸。
6、使用硬體屏蔽主機。設置好你的路由,確保IP地址能到達合法的路徑。(靜態配置路由ARP條目),注意,使用交換集線器和網橋無法阻止ARP欺騙。
7、管理員定期用響應的IP包中獲得一個rarp請求,然後檢查ARP響應的真實性。
8、管理員定期輪詢,檢查主機上的ARP緩存。
9、使用防火牆連續監控網路。注意有使用SNMP的情況下,ARP的欺騙有可能導致陷阱包丟失。
【HiPER用戶的解決方案】
建議用戶採用雙向綁定的方法解決並且防止ARP欺騙。
1、在PC上綁定路由器的IP和MAC地址:
1)首先,獲得路由器的內網的MAC地址(例如HiPER網關地址192.168.16.254的MAC地址為0022aa0022aa)。
2)編寫一個批處理文件rarp.bat內容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
將文件中的網關IP地址和MAC地址更改為您自己的網關IP地址和MAC地址即可。
將這個批處理軟體拖到「windows--開始--程序--啟動」中。
3)如果是網吧,可以利用收費軟體服務端程序(pubwin或者萬象都可以)發送批處理文件rarp.bat到所有客戶機的啟動目錄。Windows2000的默認啟動目錄為「C:\Documents and SettingsAll Users「開始」菜單程序啟動」。
2、在路由器上綁定用戶主機的IP和MAC地址(440以後的路由器軟體版本支持):
在HiPER管理界面--高級配置--用戶管理中將區域網每台主機均作綁定。
『捌』 簡述ARP欺騙的實現原理及主要防範方法. 高手來
第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一系列錯誤的內網MAC地址,並按照一定的頻率不斷進行,使真實的地址信息無法通過更新保存在路由器中,結果路由器的所有數據只能發送給錯誤的MAC地址,造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網關。它的原理是建立假網關,讓被它欺騙的PC向假網關發數據,而不是通過正常的路由器途徑上網。在PC看來,就是上不了網了,「網路掉線了」。一般來說,ARP欺騙攻擊的後果非常嚴重,大多數情況下會造成大面積掉線。 追問: 來份能上考卷的答案啊 回答: ARP攻擊主要是存在於區域網網路中,區域網中若有一個人感染ARP木馬,則感染該ARP木馬的系統將會試圖通過「ARP欺騙」手段截獲所在網路內其它計算機的通信信息,並因此造成網內其它計算機的通信故障。 補充: ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網路中產生大量的ARP通信量使網路阻塞,攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,造成網路中斷或中間人攻擊。 補充: 目前對於ARP攻擊防護問題出現最多是綁定IP和MAC和使用ARP防護軟體,使用具有ARP防護功能的路由器。
『玖』 arp欺騙是如何實現的!!
。第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一系列錯誤的內網MAC地址,並按照一定的頻率不斷進行,使真實的地址信息無法通過更新保存在路由器中,結果路由器的所有數據只能發送給錯誤的MAC地址,造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網關。它的原理是建立假網關,讓被它欺騙的PC向假網關發數據,而不是通過正常的路由器途徑上網。在PC看來,就是上不了網了,「網路掉線了」。一般來說,ARP欺騙攻擊的後果非常嚴重,大多數情況下會造成大面積掉線。有些網管員對此不甚了解,出現故障時,認為PC沒有問題, 交換機沒掉線的「本事」,電信也不承認寬頻故障。而且如果第一種ARP欺騙發生時,只要重啟路由器,網路就能全面恢復,那問題一定是在路由器了。為此, 寬頻路由器背了不少「黑鍋」。
『拾』 arp 攻擊實現,除了用工具
WINDOWS 系統 已經默認帶有PPPOE 的撥號方式 IT技術頻道大家完全可以建立腳本 的方式來讓XP 或者2003 開機自動撥號 IT技術頻道 假設我這里的寬頻帳號和密碼佛是wzl.8878888密碼是1234567,我這里只舉個例子,當然大家自己輸入的時候,需要輸入你們真實的寬頻撥號的帳號和密碼,廢話不說了。 1.首先 在桌面上,滑鼠 右鍵 新建 文本文檔特別注意,命令格式如下: IT家園_IT吧 rasdial 寬頻連接 wzl.8878888 1234567 rasdial命令是windows自帶的一個命令,可以實現網通,電信,寬頻自動撥號的一個命令。 寬頻連接是 你桌面上的撥號連接的程序名,可以自己隨便修改,默認的是寬頻連接,自己可以修改為adsl,lan等等的名字都可以。 wzl.8878888這個是寬頻撥號的帳號。 中國IT: 網吧網管專區 1234567是寬頻撥號的密碼。 特別提醒大家rasdial和寬頻連接之間有一個空格,寬頻連接 和wzl.8878888之間也有一個空格,wzl.8878888和1234567也有一個空格。 好了,大家知道了上面的命令及,寫命令的方法。下面我們開始自己寫一個批處理文件把。 互聯網專家 打開剛剛桌面上新建立的 新建 文本文檔然後輸入: rasdial 寬頻連接 wzl.8878888 1234567 :設計在線_伺服器專區(再次提醒大家:寬頻連接,是你點桌面上的撥號程序的名稱,如果你的撥號程序名稱是adsl那這里的寬頻連接就填寫adsl,wzl.8878888是寬頻撥號帳號,1234567是寬頻撥號密碼,請都正確填寫) 然後大家點「文件」另存為 然後在文件名里輸入adsl.bat點保存就可以了,這個時候大家會發現桌面上多了一個adsl.bat的批處理文件,請看 網站製作*網頁設計教程(特別注意的是:adsl.bat里的adsl是我自己隨便取的一個批處理文件名,當然大家可以隨便取,比如lan,寬頻撥號,等名字都可以的)。 好了。現在大家只要把adsl.bat滑鼠 左鍵點著不要放,然後拉到 開始 程序 啟動里,或者在計劃任務里設置一下就可以實現開機自動撥號連接了了。兩種方法,可以任選一種,每種方法都可以,大家覺的哪種方法好就用哪一種,兩種方法詳細介紹如下: IT家園_IT吧 1.把adsl.bat滑鼠 左鍵點著不要放,然後拉到 開始 程序 啟動里 已上介紹的方法,同樣適合win98/winme/win2000/winxp/win2003等操作系統。 IT技術頻道第3步 取消本地 網路 原有的 網關和 DNS ================================ OK 使用上述方式100% 解決ARP 問題 ================================================================== 互聯網專家 以下是轉自 xqs428 的文章 ARP欺騙的防禦措施 一就是不使用ARP協議,沒有ARP協議也就沒有ARP欺騙 中國IT: 網吧網管專區 1)在區域網內可以採用PPPOE的方式上網,PPPOE不使用ARP協議,也就不會產生ARP,而且PPPOE不會改變原來的區域網拓撲結構,它是在802.3的基礎上的二次封裝數據包. 2)使用PPP方式上網,ADSL就是這個方式,這個有點片面,需要改變原本的拓撲結構. 安全專家*3)使用IPX協議,難於實施 4)使用其他的模式上網,不再討論,不是很現實 繼續使用ARP協議,從其他的方面防止ARP病毒 1)下層設備和上層設備的雙向綁定,雙先綁定能解決ARP欺騙所造成的斷網現象,但是此方式內的缺陷是在網路內ARP數據包亂飛(影響網路質量,在用戶多的情況下,用戶端綁定不利於實施,適用於小型網路). 2)用戶端處上接可網管交換機,用交換機進行埠和MAC地址以及IP地址的綁定,很好的防止ARP欺騙,但是這個也有一定的缺陷(投資大,需要可網管交換機,適用於小型網路) 3)用戶端使用ARP防禦工具,比如彩影的ARP防禦工具,或者包過濾防火牆,很好的防止ARP欺騙(在用戶端比較多的情況下不利於實施,用於小型網路) 安全專家* 4)使用路由器廣網關的MAC地址的ARP包,ARP病毒在發包比較厲害的情況下用處不大(沒有根本阻止ARP影響,不怎麼地) 中國IT: 網吧網管專區對於各地公安的情況 一般可以這樣解決 共享資源,網聚IT人的力量@ 方法一: *專業的IT類網站-光纖--鏡像交換機(告訴公安管理的埠)--ROS (用1個和公安鏡像的埠)--網吧客戶機 方法2 使用ros的packet sniffer實現公安監控! routeros工具里提供了packet sniffer這個工具,原理是網路嗅探器,把經過設置界面(interface)的數據包復制一份發給指定的伺服器(也就是裝有任子行)的網卡,這樣,裝有任子行的機器就可以嗅到這些數據包進而實現監控功能。 ERP頻道 具體做法是:tools-->packet sniffer :設計在線_伺服器專區 然後點擊 settings 出現一個設置筐: 網站製作*網頁設計教程 general里interface 是你要進行轉發的界面 共享資源,網聚IT人的力量@ memory limit是使用最大內存數量一般10KB足以 file name可以不填寫file limit也可以默認 Streaming頁里Server項里填寫裝有任子行的機器ip 注意:streaming enabled已經要選上,呵呵,不選不會啟動的 Filter頁里除了Protocol可以改一下,其他的都可以默認的,因為目的就是將所有的包轉發過去,默認的就可以了。 網站製作*網頁設計教程 protocol分為ip only;all frames;mac onlay no ip三種。 其中 ip only就是我們要用的項目,基於ip地址進行傳的數據,其他的兩種用與特殊環境下,不用理會 完成了以上設置,選上了streaming enabled,packet sniffer就開始工作了:)怎麼才能知道它是否正常工作呢??很簡單,去指定的伺服器上看任務蘭里網路圖標的狀態,如果收到的包超級多的話就是正常了,呵呵,用過帶埠鏡象的人都知道這個現象吧