‘壹’ ARP是如何伪造的自己的
关于ARP欺骗的原理分析和初步判断方法
最近,有部分网吧反映:网络经常会闪断和出现不确定的部分机器掉线的奇怪现象。经过我们的实地检测、调试发现问题的关键是出在“ARP欺骗”。
那么究竟什么是“ARP欺骗”呢?它究竟为什么具有如此大的威力呢?那么我们究竟该如何防范呢?下面,我们就一步一步的详细探求一下。
一,什么是ARP?
ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。
二,ARP协议的原理
ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
三,ARP工作的其他几种形式
1、 反向ARP:反向ARP(Reverse ARP,RARP)用于把MAC地址转换成对应的 IP 地址。通常这种形式主要使用在系统自身无法保存IP地址的环境里,例如无盘站就是典型的例子。
2、 代理ARP:代理ARP(PROXY ARP),一般被路由器这样的网络设备使用,用来代替处于其他网段的主机回答本网段主机的ARP请求。
3、 无为ARP:无为(Gratuitous ARP,GARP)ARP也称为无故ARP,就是计算机使用本机的IP地址作为目标地址发送ARP请求。无为ARP主要有两种用途,一个作用是根据收到ARP响应的话,说明网络中存在重复的IP地址;另外一个作用是用来声明一个新的数据链路标识。当一个网络设备收到一个arp请求时,如果发现arp缓冲区中已经存在发送者的IP地址,则更新此IP地址所对应的MAC地址信息。
四,ARP欺骗的基本原理
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。
五、ARP欺骗的表现
ARP 欺骗一般分为两种,一种是对路由器 ARP 表的欺骗;另一种是对内网 PC 的网关欺骗。
第一种 ARP 欺骗是截获网关数据,它通知路由器一系列错误的局域网 MAC 地址,并按照一定的频率不断的更新学习进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送到错误的 MAC 地址,造成正常的计算机无法收到信息。
第二种 ARP 欺骗是通过交换机的 MAC 地址学习机制,伪造网关。它的原理是建立假的网关,让被它欺骗的计算机向假网关发送数据,而不是通过正常的路由器或交换途径寻找网关,造成在同一网关的所有计算机无法访问网络。
由于ARP协议是网络连通的基础协议,任何需要连通网络的计算机都必须开放该协议。又因为ARP欺骗攻击出现较晚,而又因为ARP协议的特殊原理,造成防御方式十分有限和被动。往往遭受攻击后,会误认为是网络设备的故障而使损失进一步加大。
六,ARP地址欺骗的危害主要表现如下:
1、网络访问时断时继,掉线频繁,网络访问速度越来越慢,有时则长时间不能上网,双击任务栏中的本地连接图标,显示为已经连接,并且发现发送的数据包明显少于接收的数据包;
2、同一网段的所有上网机器均无法正常连接网络;
3、打开·windows任务管理器,出现可疑进程,如”MIE0.dat”等进程;
4、如果是中了ARP欺骗病毒的话,病毒发作时除了会导致同一局域网内的其他用户出现时断时续外,还可能会窃取用户密码(如 QQ、网上银行以及其它脆弱系统帐号等),这是木马的惯用伎俩;
5、打开路由器的系统历史记录中看到大量的MAC更换信息。
七,ARP地址欺骗的初步判断方式:
1、清空ARP缓存: 大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题,该方法是针对ARP欺骗原理进行解决的。一般来说ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备,用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。
1,首先获取网关设备的MAC地址信息。
2,开始菜单->运行->CMD->在DOS窗口中输入arp -a
3,对比故障机的ARP缓存中的MAC地址信息与实际网关设备的MAC地址是否相符,如果不符,网络中就是存在ARP地址欺骗。
PS:
若是一些初级的ARP欺骗,可以通过ARP的指令来清空本机的ARP缓存对应关系,让网络设备从网络中重新获得正确的对应关系,具体解决过程如下:
开始菜单->运行->CMD->在DOS窗口中输入arp -d
如果是遇到使用ARP欺骗工具来进行攻击的情况,使用上述的方法完全可以解决。但如果是感染ARP欺骗病毒,病毒每隔一段时间自动发送ARP欺骗数据包,这时使用清空ARP缓存的方法将无能为力了。
‘贰’ 请问局域网中间人攻击(arp),如何在不借助第三方软件的情况下,用ms-dos来实行。
ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。
ARP攻击原理
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
遭受ARP攻击后现象
ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。
ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。
基于ARP协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的ARP数据包,数据包内包含有与当前设备重复的Mac地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下,受到ARP攻击的计算机会出现两种现象:
1.不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。
2.计算机不能正常上网,出现网络中断的症状。
因为这种攻击是利用ARP请求报文进行“欺骗”的,所以防火墙会误以为是正常的请求数据包,不予拦截。因此普通的防火墙很难抵挡这种攻击。
‘叁’ arp攻击和欺骗都是通过什么来实现的
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。 ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
‘肆’ 不用工具能直接进行ARP欺骗吗,能的话怎么弄呀
最原始的方法,用shutdown命令 强行关闭对方电脑,在修改自己的IP 或者改掉物理MAC
‘伍’ 简述ARP欺骗攻击的原理以及防护办法
ARP欺骗不是一种新技术。它已经存在了相当长的一段时间。
ARP欺骗就好像是攻击者不断地跟局域网中的其他设备说:"嘿!我是路由器!向我发送您想要在网络中交换的详细信息"。这是通过不断向该特定设备发送包含欺骗细节的ARP数据包,以便它相信它正在与它应该与之通话的设备通话。
而公共WiFi网络,使用场景恰恰能解释这一点:
假设有一家咖啡店,提供"免费WiFi",方便客人连接互联网。"免费WiFi"由本地网络中IP地址为192.168.1.1的无线路由器提供服务,无线路由器的MAC地址为5F:8B:B9:86:29:22。然后,顺序发生以下事件:
1. 合法用户连接到咖啡店提供的公共WiFi网络,并获得IP地址168.1.100。假设此用户使用的手机的MAC地址为9E:E6:85:8B:21:32。
一旦数据包被发送,移动电话的ARP表就会更新以下信息:192.168.1.1(接入点的IP)< - > 8E:9E:E2:45:85:C0(攻击者的MAC)而不是:192.168.1.1 (接入点的IP)< - > 5F:8B:B9:86:29:22(接入点的MAC)
发生这种情况时,用户每次连接到互联网时,网络流量并不是发送到无线路由器,而是会把所有的网络流量转发给攻击者的设备,因为网络中的设备的APP表中IP 192.168.1.1与攻击者的MAC地址是相关联的。然后攻击者接收到被攻击者的网络流量时是可以将接收到的网络流量转发到无线路由器(中间人攻击)再由无线路由器将这些网络流量发送到互联网上,又或者是直接不转发给路由器这样就会导致用户无法连接到互联网。
受到ARP欺骗攻击后,黑客就可以截取你所有的网络流量,再慢慢一一进行分析,这时,你所有的用网数据都变成透明公开的状态了。
那我们应该如何去防御呢?除了尽可能的不连接这些公共WiFi,还可以使用防火墙软件。除此之外最简单便捷的方式,那就是使用代理IP。这样,在用网的过程中,我们的真实数据被隐藏,并且加密传输,纵使是黑客,也很难破解你的账户与密码。因此,在不得不连接公共WIFI的情况下,记得使用代理IP,使用AES技术加密线上数据,开启数据保护。
‘陆’ 关于ARP欺骗的问题
主要原因是在局域网中有人使用了ARP欺骗的木马程序,比如一些盗号的软件。
一、ARP病毒分析
当局域网内某台主机运行ARP欺骗的木马程序时,会骗欺局域域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登陆了游戏服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录游戏服务器,这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
在路由器的“系统历史记录”中看到大量如下的信息:
MAC Chged 10.128.103.124MAC Old 00:01:6c:36:d1:7fMAC New 00:05:5d:60:c7:18
这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。
如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。
BKDR_NPFECT.A病毒引起ARP欺骗之实测分析
病毒现象:中毒机器在局域网中发送假的APR应答包进行APR欺骗, 造成其他客户机无法获得网关和其他客户机的网卡真实MAC地址,导致无法上网和正常的局域网通信.
病毒原理分析:
病毒的组件
本文研究的病毒样本有三个组件构成:
%windows%SYSTEM32LOADHW.EXE”..................病毒组件释放者
%windows%System32driversnpf.sys”...............发ARP欺骗包的驱动程序
%windows%System32msitinit.dll ”..............命令驱动程序发ARP欺骗包的控制者
反病毒应急响应解决方案:
按以下顺序删除病毒组件
1) 删除 ”病毒组件释放者”
%windows%SYSTEM32LOADHW.EXE
2) 删除 ”发ARP欺骗包的驱动程序” (兼 “病毒守护程序”)
%windows%System32driversnpf.sys
a. 在设备管理器中, 单击”查看”-->”显示隐藏的设备”
b. 在设备树结构中,打开”非即插即用….”
c. 找到” NetGroup Packet Filter Driver” ,若没找到,请先刷新设备列表
d. 右键点击” NetGroup Packet Filter Driver” 菜单,并选择”卸载”.
e. 重启windows系统,
f.删除%windows%System32driversnpf.sys
3) 删除 ”命令驱动程序发ARP欺骗包的控制者”
%windows%System32msitinit.dll
2. 删除以下”病毒的假驱动程序”的注册表服务项:
HKEY_LOCAL_
二、定位ARP攻击源头和防御方法
1.定位ARP攻击源头
主动定位方式:因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式,可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的,从而判断这台机器有可能就是“元兇”。定位好机器后,再做病毒信息收集,提交给趋势科技做分析处理。
标注:网卡可以置于一种模式叫混杂模式(promiscuous),在这种模式下工作的网卡能够收到一切通过它的数据,而不管实际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理:让网卡接收一切它所能接收的数据。
被动定位方式:在局域网发生ARP攻击时,查看交换机的动态ARP表中的内容,确定攻击源的MAC地址;也可以在局域居于网中部署Sniffer工具,定位ARP攻击源的MAC。
也可以直接Ping网关IP,完成Ping后,用ARP –a查看网关IP对应的MAC地址,此MAC地址应该为欺骗的MAC。
使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址,如果有”ARP攻击”在做怪,可以找到装有ARP攻击的PC的IP、机器名和MAC地址。
命令:“nbtscan -r 192.168.16.0/254”(搜索整个192.168.16.0/254网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。
NBTSCAN的使用范例:
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。
2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C: btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。
3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
通过上述方法,我们就能够快速的找到病毒源,确认其MAC——〉机器名和IP地址。
2.防御方法
a.使用可防御ARP攻击的三层交换机,绑定端口-MAC-IP,限制ARP流量,及时发现并自动阻断ARP攻击端口,合理划分VLAN,彻底阻止盗用IP、MAC地址,杜绝ARP的攻击。
b.对于经常爆发病毒的网络,进行Internet访问控制,限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端,如果能够加强用户上网的访问控制,就能极大的减少该问题的发生。
c.在发生ARP攻击时,及时找到病毒攻击源头,并收集病毒信息,可以使用趋势科技的SIC2.0,同时收集可疑的病毒样本文件,一起提交到趋势科技的TrendLabs进行分析,TrendLabs将以最快的速度提供病毒码文件,从而可以进行ARP病毒的防御。
病毒运作基理:
1.LOADHW.EXE 执行时会释放两个组件npf.sys 和msitinit.dll .
LOADHW.EXE释放组件后即终止运行.
注意: 病毒假冒成winPcap的驱动程序,并提供winPcap的功能. 客户若原先装有winPcap,
npf.sys将会被病毒文件覆盖掉.
2.随后msitinit.dll将npf.sys注册(并监视)为内核级驱动设备: "NetGroup Packet Filter Driver"
msitinit.dll 还负责发送指令来操作驱动程序npf.sys (如发送APR欺骗包, 抓包, 过滤包等)
以下从病毒代码中提取得服务相关值:
BinaryPathName = "system32driversnpf.sys"StartType = SERVICE_AUTO_STARTServiceType= SERVICE_KERNEL_DRIVERDesiredAccess= SERVICE_ALL_ACCESSDisplayName = "NetGroup Packet Filter Driver"ServiceName = "Npf"
3. npf.sys 负责监护msitinit.dll. 并将LOADHW.EXE注册为自启动程序:
[HKEY_LOCAL_]
dwMyTest =LOADHW.EXE
注: 由于该项位于RunOnce下,该注册表启动项在每次执行后,即会被系统自动删除.
‘柒’ 满分悬赏!!!如何彻底解决arp欺骗和病毒的问题
有补丁呢,你把补丁下载打开,有五个文件,分别复制在相应的位置.(有说明)
参考一下吧 http://..com/question/5038244.html
ARP攻击的原理与解决方法(第三版)含如何在局域网内查找病毒主机
【故障原因】
局域网内有人使用ARP欺骗的木马程序(比如:魔兽世界,天堂,劲舞团等盗号的软件,某些外挂中也被恶意加载了此程序)。
【故障原理】
要了解故障原理,我们先来了解一下ARP协议。
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下所示。
主机 IP地址 MAC地址
A 192.168.16.1 aa-aa-aa-aa-aa-aa
B 192.168.16.2 bb-bb-bb-bb-bb-bb
C 192.168.16.3 cc-cc-cc-cc-cc-cc
D 192.168.16.4 dd-dd-dd-dd-dd-dd
我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么,嗅探成功。
A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。
做“man in the middle”,进行ARP重定向。打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。不过,假如D发送ICMP重定向的话就中断了整个计划。
D直接进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了,对于A和C之间的通讯就可以了如指掌了。
【故障现象】
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。
切换到病毒主机上网后,如果用户已经登陆了服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录服务器,这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
【HiPER用户快速发现ARP欺骗木马】
在路由器的“系统历史记录”中看到大量如下的信息(440以后的路由器软件版本中才有此提示):
MAC Chged 10.128.103.124
MAC Old 00:01:6c:36:d1:7f
MAC New 00:05:5d:60:c7:18
这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。
如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。
【在局域网内查找病毒主机】
在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCAN工具来快速查找它。
NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”ARP攻击”在做怪,可以找到装有ARP攻击的PC的IP/和MAC地址。
命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。
NBTSCAN的使用范例:
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。
2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C: btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。
3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
【解决思路】
1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
2、设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
5、使用"proxy"代理IP的传输。
6、使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
【HiPER用户的解决方案】
建议用户采用双向绑定的方法解决并且防止ARP欺骗。
1、在PC上绑定路由器的IP和MAC地址:
1)首先,获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa)。
2)编写一个批处理文件rarp.bat内容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。
将这个批处理软件拖到“windows--开始--程序--启动”中。
3)如果是网吧,可以利用收费软件服务端程序(pubwin或者万象都可以)发送批处理文件rarp.bat到所有客户机的启动目录。Windows2000的默认启动目录为“C:\Documents and SettingsAll Users“开始”菜单程序启动”。
2、在路由器上绑定用户主机的IP和MAC地址(440以后的路由器软件版本支持):
在HiPER管理界面--高级配置--用户管理中将局域网每台主机均作绑定。
‘捌’ 简述ARP欺骗的实现原理及主要防范方法. 高手来
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。 追问: 来份能上考卷的答案啊 回答: ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。 补充: ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。 补充: 目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件,使用具有ARP防护功能的路由器。
‘玖’ arp欺骗是如何实现的!!
。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。有些网管员对此不甚了解,出现故障时,认为PC没有问题, 交换机没掉线的“本事”,电信也不承认宽带故障。而且如果第一种ARP欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了。为此, 宽带路由器背了不少“黑锅”。
‘拾’ arp 攻击实现,除了用工具
WINDOWS 系统 已经默认带有PPPOE 的拨号方式 IT技术频道大家完全可以建立脚本 的方式来让XP 或者2003 开机自动拨号 IT技术频道 假设我这里的宽带帐号和密码佛是wzl.8878888密码是1234567,我这里只举个例子,当然大家自己输入的时候,需要输入你们真实的宽带拨号的帐号和密码,废话不说了。 1.首先 在桌面上,鼠标 右键 新建 文本文档特别注意,命令格式如下: IT家园_IT吧 rasdial 宽带连接 wzl.8878888 1234567 rasdial命令是windows自带的一个命令,可以实现网通,电信,宽带自动拨号的一个命令。 宽带连接是 你桌面上的拨号连接的程序名,可以自己随便修改,默认的是宽带连接,自己可以修改为adsl,lan等等的名字都可以。 wzl.8878888这个是宽带拨号的帐号。 中国IT: 网吧网管专区 1234567是宽带拨号的密码。 特别提醒大家rasdial和宽带连接之间有一个空格,宽带连接 和wzl.8878888之间也有一个空格,wzl.8878888和1234567也有一个空格。 好了,大家知道了上面的命令及,写命令的方法。下面我们开始自己写一个批处理文件把。 互联网专家 打开刚刚桌面上新建立的 新建 文本文档然后输入: rasdial 宽带连接 wzl.8878888 1234567 :设计在线_服务器专区(再次提醒大家:宽带连接,是你点桌面上的拨号程序的名称,如果你的拨号程序名称是adsl那这里的宽带连接就填写adsl,wzl.8878888是宽带拨号帐号,1234567是宽带拨号密码,请都正确填写) 然后大家点“文件”另存为 然后在文件名里输入adsl.bat点保存就可以了,这个时候大家会发现桌面上多了一个adsl.bat的批处理文件,请看 网站制作*网页设计教程(特别注意的是:adsl.bat里的adsl是我自己随便取的一个批处理文件名,当然大家可以随便取,比如lan,宽带拨号,等名字都可以的)。 好了。现在大家只要把adsl.bat鼠标 左键点着不要放,然后拉到 开始 程序 启动里,或者在计划任务里设置一下就可以实现开机自动拨号连接了了。两种方法,可以任选一种,每种方法都可以,大家觉的哪种方法好就用哪一种,两种方法详细介绍如下: IT家园_IT吧 1.把adsl.bat鼠标 左键点着不要放,然后拉到 开始 程序 启动里 已上介绍的方法,同样适合win98/winme/win2000/winxp/win2003等操作系统。 IT技术频道第3步 取消本地 网络 原有的 网关和 DNS ================================ OK 使用上述方式100% 解决ARP 问题 ================================================================== 互联网专家 以下是转自 xqs428 的文章 ARP欺骗的防御措施 一就是不使用ARP协议,没有ARP协议也就没有ARP欺骗 中国IT: 网吧网管专区 1)在局域网内可以采用PPPOE的方式上网,PPPOE不使用ARP协议,也就不会产生ARP,而且PPPOE不会改变原来的局域网拓扑结构,它是在802.3的基础上的二次封装数据包. 2)使用PPP方式上网,ADSL就是这个方式,这个有点片面,需要改变原本的拓扑结构. 安全专家*3)使用IPX协议,难于实施 4)使用其他的模式上网,不再讨论,不是很现实 继续使用ARP协议,从其他的方面防止ARP病毒 1)下层设备和上层设备的双向绑定,双先绑定能解决ARP欺骗所造成的断网现象,但是此方式内的缺陷是在网络内ARP数据包乱飞(影响网络质量,在用户多的情况下,用户端绑定不利于实施,适用于小型网络). 2)用户端处上接可网管交换机,用交换机进行端口和MAC地址以及IP地址的绑定,很好的防止ARP欺骗,但是这个也有一定的缺陷(投资大,需要可网管交换机,适用于小型网络) 3)用户端使用ARP防御工具,比如彩影的ARP防御工具,或者包过滤防火墙,很好的防止ARP欺骗(在用户端比较多的情况下不利于实施,用于小型网络) 安全专家* 4)使用路由器广网关的MAC地址的ARP包,ARP病毒在发包比较厉害的情况下用处不大(没有根本阻止ARP影响,不怎么地) 中国IT: 网吧网管专区对于各地公安的情况 一般可以这样解决 共享资源,网聚IT人的力量@ 方法一: *专业的IT类网站-光纤--镜像交换机(告诉公安管理的端口)--ROS (用1个和公安镜像的端口)--网吧客户机 方法2 使用ros的packet sniffer实现公安监控! routeros工具里提供了packet sniffer这个工具,原理是网络嗅探器,把经过设置界面(interface)的数据包复制一份发给指定的服务器(也就是装有任子行)的网卡,这样,装有任子行的机器就可以嗅到这些数据包进而实现监控功能。 ERP频道 具体做法是:tools-->packet sniffer :设计在线_服务器专区 然后点击 settings 出现一个设置筐: 网站制作*网页设计教程 general里interface 是你要进行转发的界面 共享资源,网聚IT人的力量@ memory limit是使用最大内存数量一般10KB足以 file name可以不填写file limit也可以默认 Streaming页里Server项里填写装有任子行的机器ip 注意:streaming enabled已经要选上,呵呵,不选不会启动的 Filter页里除了Protocol可以改一下,其他的都可以默认的,因为目的就是将所有的包转发过去,默认的就可以了。 网站制作*网页设计教程 protocol分为ip only;all frames;mac onlay no ip三种。 其中 ip only就是我们要用的项目,基于ip地址进行传的数据,其他的两种用与特殊环境下,不用理会 完成了以上设置,选上了streaming enabled,packet sniffer就开始工作了:)怎么才能知道它是否正常工作呢??很简单,去指定的服务器上看任务兰里网络图标的状态,如果收到的包超级多的话就是正常了,呵呵,用过带端口镜象的人都知道这个现象吧