这是我以前写的ARP的抓包分析的文章,开新版了转过来,给喜欢专研网络协议的朋友。
日期:2006-05-28 作者:余振中
内网(局域网)里经常发生盗用IP、MAC地址,甚至用ARP攻击工具干扰局域网正常运行的情况。例如在网吧里由于资金有限都用普通交换机(非网管交换机),这就给利用ARP协议缺陷对局域网进行攻击创造了条件。最常见的攻击就是冒充网关发送“虚假广播包”,这可以造成受害者无规律的“断网”,或使受害者误认为攻击者是网关而将数据包发给攻击者(即APR欺骗)。有很多木马就用这种方式盗取游戏“帐号”、或其他敏感资料。本文从ARP协议层分析了常见的ARP攻击,并对防范该攻击的方法进行了初步探讨。
一、常用攻击方法分析
1、用伪造源MAC地址发送ARP请求包,造成IP地址冲突或系统崩溃
网卡驱动程序发送以太帧时不检查源MAC地址是否和网卡EEPOROM里的MAC地址相同。因此,攻击者可以修改系统的MAC地址,还可以发送伪造源MAC地址的ARP包,使跟踪者无法利用源MAC地址找到攻击者。
(注:有些网卡可用程序烧录EEPOROM,修改MAC地址。如一些RTL8139网卡)
用winarp1.50分别对Win98和WinXP进行ARP Flood攻击测试,Win98立即崩溃重启,另一台WinXP(2G 512MB)在2分钟以后停止响应,停止攻击1分钟后系统逐渐恢复正常。
通过对winarp1.50、局域网终结者1.0等抓包观察,发现都是向网络发送以下格式的ARP请求包(广播包)进行攻击的。
1.jpg (54.3 KB, 下载次数: 422)
下载附件 保存到相册
图1
该包对192.168.0.1的主机进行IP地址冲突攻击,目标主机收到后即弹出“IP地址冲突”对话框,当包发送量达到一定数值后会使目标崩溃或停止响应。
其中,局域网终结者1.0伪造的源地址MAC以0006开头,winarp1.50是010101010101。有篇文章介绍只要将被攻击主机的MAC地址改为伪造的源MAC地址即可避开攻击,如果这样做了,那整个网段主机的MAC地址就都是相同的了!
2、用伪造源MAC地址发送ARP响应包,对ARP高速缓存机制的攻击
每个主机都用一个A R P高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。高速缓存中的每一条记录(条目)的生存时间一般为20分钟,起始时间从被创建时开始算起。
默认情况下,ARP从缓存中读取IP-MAC条目,缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此,只要网络上有ARP响应包发送到本机,即会更新ARP高速缓存中的IP-MAC条目。
因此,攻击者只要持续不断的发出伪造的arp响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
用Sniffer Pro对网络执法官抓包可发现其阻断a、b两台主机网络通信 ... 本帖为精华帖,如要查看隐藏内容,请支付0.5元给本帖作者。写帖不易,请多支持。立即支付
评论
现在的防范,一般只有做双向绑定。。。
----------------------------------------
绑定端口-MAC-IP 就可根本杜绝,但人力太大。目前一些智能交换机具备自动识别、划分VLAN、限制ARP流量等手段,也能杜绝和立即发现搞破坏的机器。但一般的网吧等小单位都舍不得多花1-2千元买这样的交换机。其实从长远、从网络的稳定、可靠性来说,配置这种交换机是很必要和经济的。
评论
技防是一种手段,关键是人防,要下面的使用人要养成好习惯,久不久就查下木马,病毒的,打下补丁,还要选对杀毒软件,杀毒软件不是不爱国货,是怕了。
管理员不轻松啊。
评论
不知道你到底看过ARP协议没?
不管是病毒还是人为的都是利用ARP协议中:不检查发包的源MAC地址是否真实,来做手脚。
现在售价1-2K的百兆交换机各端口都有检查ARP包中的MAC地址的功能,还有ARP发包率限制等功能(乱发ARP包的端口被自动阻断并报警)。完全能杜绝所谓的伪造源MAC地址的ARP包的攻击。
只是这种方法较费人工,但基本是属于一劳永逸的工作,从长远看是值得的,并且现在在某些有安全要求的部门规定:必须使用端口+MAC绑定入网的。
评论
补充一下,其实arp攻击不仅仅是针对上网计算机的,而且还有路由器,所以要从两个方面来解决问题,第一,上面针对上网计算机的楼主说的很清楚,解决方法很合理,比如静态arp捆绑就是一种很有效的方法,而且不附加任何软件,是一种很不错的临时解决方案.除此还有安装arp防火墙的方法,比如360的就不错,不知道大家试过没有,要从硬件上解决的话就必须采用有vlan功能的交换机,其实这种交换机也不贵,也不一定非要三层的,只需要它支持vlan就行,使用它的这个功能做下端口隔离,就可以解决计算机这一方的问题,也有一种端口隔离交换机就可以实现这种功能,好象是tp-link的.第二,在路由器方面,必须有ip-mac地址绑定功能,做下捆绑是必须的,而且现在支持ip-mac绑定的路由器捆绑起来非常简单,从这两个方面就可以防止arp的攻击,应该非常有效.但只从一个方面来做,是起不到arp攻击防范做用的,或者说只起到一半的作用.
评论
这个帖是好几年前写的了。对于防范ARP攻击的讨论已经早有了共识:1、隔离 2、断网。
我不认同用 arp防火墙 之类的东西。如果你的网里有人搞ARP攻击,最有效的方法是:断开他的网络,并交给相关部门处理。
WIN机器“容忍性不强”,我管理的网络里也无法容忍有 ARP欺骗。因为容忍了它的存在,就是在容忍网络的不稳定,用户受不了,这是不合格的 “网络管理员”。
评论
在路由和本机同时使用mac绑定ip ,就可以避免arp攻击。
评论
我 的局域网就是把MAC和IP绑定在一起了.
评论
一般都用拔线大法来判断。比如60台机子 3个普通交换机,一个个交换机断,,再几台机子断。。。直到找到那个鬼
评论
没想到华硕工程师对网络也有造诣,我以前也是学网络的,学的是思科
评论
sniffer pro 对于ip 和mac 地址都是仿冒的病毒主机,也基本是无能为力,sniffer pro 是用于大型企业网,小网络根本就是无用的!现在都是交换网络,普通交换机无镜像端口,抓到的包也是不全的!只能用arp欺骗交换机才能抓全包,基地里也没几个有这个能力的!还是一台台连最保险!在有比较差劲的网络设备的网络环境下,遇到arp攻击只有在主机上装arp防火墙,并在路由器上绑定所有机器的mac ip,没有别的好办法
评论
回复 yzz163 的帖子
同意你的观点...现在 的 政府机关等 还有大型国企,大型私企都是使用端口+mac绑定入网的。对对那些在这些单位做维护的要减少很多麻烦.....
评论
在路由和本机同时使用mac绑定ip ,就可以避免arp攻击
评论
MAC-IP-端口绑定,才能从根本上解决
评论
最简单,不就是,把物理地址和ip地址绑定
评论
用可防ARP攻击的交换机
带这种功能的,恐怕也只有三层交换机了吧。
评论
还是双绑比较容易解决问题。这样是最安全的了。
评论
使用端口+MAC绑定入网
这个好!
评论
就断开那个受攻击人的电脑吗?具体处理掉呢?重装系统吗?怎么具体解决ARP呢?
评论
LZ,以你的经验!推荐具体用什么品牌,型号的交换机?又解决arp.网络有稳定。路由器你推荐用什么样的?请教了!价位大概是多少? 电路 电子 维修 我现在把定影部分拆出来了。想换下滚,因为卡纸。但是我发现灯管挡住了。拆不了。不会拆。论坛里的高手拆解过吗? 评论 认真看,认真瞧。果然有收 电路 电子 维修 求创维42c08RD电路图 评论 电视的图纸很少见 评论 电视的图纸很少见 评论 创维的图纸你要说 版号,不然无能为力 评论 板号5800-p42ALM-0050 168P-P42CLM-01
·日本中文新闻 唐田绘里香为新剧《极恶女王》剃光头 展现演员决心
·日本中文新闻 真子小室夫妇新居引发隐私担忧
·日本中文新闻 前AKB48成员柏木由纪与搞笑艺人交往曝光
·日本学校 {日本国际学校}梅田インターナショナルスクール
·日本学校 LINE:sm287 陳雨菲、20歳、台湾からの留学生、東京に来たばかり
·日本留学生活 出售平成22年走行48000km 代步小车
·日本华人网络交流 円相場 一時1ドル=140円台まで上昇?
·日本华人网络交流 问日本华人一个问题
·日本旅游代购 富山接机
·生活百科 英国转澳大利亚转换插头
·汽车 【求助】修车遇到困难怎么办?