热门关键字:   漏洞发布 网站安全 网络攻击 高级编辑 无限安全 云安全

ARP攻防原理之深入分析

发布时间:2018-10-31 13:19文章来源:未知文章作者: 点击次数:
摘要:arp攻防原理之深入分析 作者:wildlee 不难想像,我们整天泡在网上的朋友不可能不知道arp协议吧,呵呵,他是pc间通信必备协议,当然手动配置也行,不过费劲,也是局域网中让人最头疼

 arp攻防原理之深入分析      作者:wildlee

不难想像,我们整天泡在网上的朋友不可能不知道arp协议吧,呵呵,他是pc间通信必备协议,当然手动配置也行,不过费劲,也是局域网中让人最头疼的一个东西。现在让我们了解下arp。

 

1.首先说下我用它的第一个好处,就是了解局域网中存活主机,大家知道想知道哪个主机存活,可以使用ping一个网段,返回数据包的就证明他是存活的,但是如果对方开了防火墙,禁止了ping回复等功能,那么这将有碍于我们了解真向。大家难到真的得不到存活主机的地址吗?错,其实在ping 这前,是arp先出头的,他会找到存活主机的mac地址,这样才可以让数据包到达目标mac ,至于目标对你的数据包回不回复,那都是小事了,呵呵,让我们在cmd下,arp -a 一下,这样我们就可以知道哪个主机处于活动状态了,其实好多局域网扫描软件也是用的类似功能。当然也可以做一个软件,对于局域网中不存在的IP,可以作出假的mac回复与假的ping 回复,这样局域网中就多了好多假的存活主机。

 

2.可以造成对方的主机IP冲突。来看个arp包吧!只要编辑发送一个目标IP与源IP都是一个地址,那么目标主机就会显示IP冲突,当然,为了不让被攻击者找到你,你的源mac就成了一个假的mac.如果想禁止对方IP上网的话,那么 你直接可以和网关说,网关你好,我的ip是X,mac是010101010101,这样网关就会把去往ip X的数据包发送到一个不存在的mac ,最终Ip为x的主机不能上网。

    3.如果充当中间人,还可以盗取用户的账户与密码等信息,它只要告诉网关,某个受害者IP的mac地址是他自己的mac,在告诉受害主机网关的IP对应mac是攻击者的mac,这样网关就会傻不拉机的把数据包发给他,然后攻击机收到包后,在发一份给受害主机,当被攻击主机发送数据的时候,会认为网关的IP对应的mac 就是攻击者的mac ,这样数据包又到了攻击者那,实现了完美的欺骗。     4.通过上面的问题我们发现,只要受害主机与网关不被欺骗,就可以成功的通信,通常大家做的是双向绑定,认为这样就很好了,其实是种想法是错误的,我在一次偶然中发现,因为我做了双绑,还是无法解决被arp攻击所带来的不良后果。只要我在交换机上一接入中arp病毒的机子,网络就慢的要死或无法上网,这是在做了双绑的情况下发生,这样的情况会让人误认为是交换或路由可能出了情况。但终于还是想通了为什么会发生这种情况,我们大家都知道二层交换是学习mac地址的,并将存于自己的cam表中,当一个中arp病毒的机子快速发送包时,就会出问题,记住这个数据包是一个特殊包,内容与协议都不用管,用为在二层,接处不到,只要快速发送源地址mac为网关的数据包就可以成功实现攻击。因为在数据包到交换机的时候,处于交换机本能原因,它会学习mac,并记入cam表中。与此同时,在同一个交换机上的数据包,如果正要出去网络的数据包,到交换时,交换会把包交给发给攻击者那个接口,这样网络会中断,因为网关的mac和攻击者的接口被交换记入了cam表,查表后转发数据包,就会产生一个错误。这个时候如果网关也有数据包过来,mac同样会被改回去,这个时候交换会处于一个相当烦忙的时候,它在不停的改动这个mac ,所以说,当快速发送这种包的时候网络是会完蛋的。如果网关的流量多于攻击机的流量,网络效果好一点会,因为交换的mac地址更倾向于正确的地址。与时同时,安装与主机的arp防火墙不会有反应,网关也不会有反应,他们是检测不到的。我认为解决此攻击,得用智能交换,要以做端口与mac的绑定,还得查看mac与端口的列表,从中找到攻击源。

上一篇:缓冲区溢出攻击的内容讲述及安全防范
下一篇:DNS污染与劫持之个人小见