九乡新闻网蔷薇公主之吻漫画之家:arp攻击
来源:百度文库 编辑:九乡新闻网 时间:2024/04/25 11:37:57
ARP(地址解释协议)是网络通信协议中的不可缺少的关键协议,它是负责将IP地址转换为对应MAC地址的协议。在此过程中,如果出现虚假的IP-MAC对应关系,就出现了ARP攻击、ARP欺骗。
ARP攻击是从数据链路层发起的,ARP不是病毒,而是一种“协议性攻击行为”,由于没有明显的特征字以及ARP在网络通讯中的重要地位,防毒墙和防火墙应对ARP病毒也束手无策。所以从源头上堵住问题数据的流出,同时放行合法的ARP数据包,才是彻底摆脱ARP困扰的终极解决方案。这是由于以太网协议存在漏洞造成的,也就是为什么ARP防火墙、杀毒软件、IP-MAC绑定等传统方法出现这么久之后,ARP攻击还是一直无法防治的原因,ARP防火墙、杀毒软件、IP-MAC绑定等防不了ARP攻击!
综上所述,想要彻底解决ARP攻击,只有填补以太网漏洞,加固网络底层安全才是彻底摆脱ARP困扰的终极解决方案。建议大家上网找下能够保护内网安全、针对网络底层安全的产品。 法一:使用Sniffer抓包
在网络中的任意一台主机上运行抓包软件,捕获所有到达本主机的数据包。如果发现某个IP不断发送ARP Request请求包,这台主机一定就是病毒源。
原理:无论是何种ARP病毒变种,行为方式主要有两种:一是欺骗网关,二是欺骗网内的所有主机。最终的结果是在网关的ARP缓存表中,网内所有活动主机的MAC地址均为中病毒主机的MAC地址;网内所有主机的ARP缓存表中,网关的MAC地址也都是中病毒主机的MAC地址。前者保证了从网关到网内主机的数据报被发送到中毒主机,后者则相反,使得主机发往网关的数据报均被发送到中毒主机。
方法二:使用arp -a命令
任意选择两台不能上网的主机,在命令提示符状态下运行arp -a命令,如果在结果中,两台电脑除了网关的IP,MAC地址对应项外,都包含了另外一个IP,这可以断定这个IP就是病毒源。
原理:一般情况下,网内的主机只和网关通信。正常情况下,一台主机的ARP缓存中应该只有网关的MAC地址。如果有了其他主机的MAC地址,说明本地主机和这台主机最近有过数据通信发生。如果某台主机既不是网关也不是服务器,但和网内的其他主机都有数据通信活动,且此时又是ARP病毒的发作时期,那么病毒源就是他了。
方法三:使用tracert命令
在任意一台受影响的主机上,在命令提示符状态下运行tracert命令,具体的命令行为:tracert IP(该IP为外网地址),在跟踪一个外网地址时,第一跳却是另一个IP(不是网关地址),则这个IP就是病毒源。
原理:中毒主机在受影响的主机和网关之间,扮演着“中间人”的角色。所有本应该到达网关的数据包,由于错误的MAC地址,均被发送到了中毒主机上,此时中毒主机在该网络中充当缺省网关的作用。
ARP攻击是从数据链路层发起的,ARP不是病毒,而是一种“协议性攻击行为”,由于没有明显的特征字以及ARP在网络通讯中的重要地位,防毒墙和防火墙应对ARP病毒也束手无策。所以从源头上堵住问题数据的流出,同时放行合法的ARP数据包,才是彻底摆脱ARP困扰的终极解决方案。这是由于以太网协议存在漏洞造成的,也就是为什么ARP防火墙、杀毒软件、IP-MAC绑定等传统方法出现这么久之后,ARP攻击还是一直无法防治的原因,ARP防火墙、杀毒软件、IP-MAC绑定等防不了ARP攻击!
综上所述,想要彻底解决ARP攻击,只有填补以太网漏洞,加固网络底层安全才是彻底摆脱ARP困扰的终极解决方案。建议大家上网找下能够保护内网安全、针对网络底层安全的产品。 法一:使用Sniffer抓包
在网络中的任意一台主机上运行抓包软件,捕获所有到达本主机的数据包。如果发现某个IP不断发送ARP Request请求包,这台主机一定就是病毒源。
原理:无论是何种ARP病毒变种,行为方式主要有两种:一是欺骗网关,二是欺骗网内的所有主机。最终的结果是在网关的ARP缓存表中,网内所有活动主机的MAC地址均为中病毒主机的MAC地址;网内所有主机的ARP缓存表中,网关的MAC地址也都是中病毒主机的MAC地址。前者保证了从网关到网内主机的数据报被发送到中毒主机,后者则相反,使得主机发往网关的数据报均被发送到中毒主机。
方法二:使用arp -a命令
任意选择两台不能上网的主机,在命令提示符状态下运行arp -a命令,如果在结果中,两台电脑除了网关的IP,MAC地址对应项外,都包含了另外一个IP,这可以断定这个IP就是病毒源。
原理:一般情况下,网内的主机只和网关通信。正常情况下,一台主机的ARP缓存中应该只有网关的MAC地址。如果有了其他主机的MAC地址,说明本地主机和这台主机最近有过数据通信发生。如果某台主机既不是网关也不是服务器,但和网内的其他主机都有数据通信活动,且此时又是ARP病毒的发作时期,那么病毒源就是他了。
方法三:使用tracert命令
在任意一台受影响的主机上,在命令提示符状态下运行tracert命令,具体的命令行为:tracert IP(该IP为外网地址),在跟踪一个外网地址时,第一跳却是另一个IP(不是网关地址),则这个IP就是病毒源。
原理:中毒主机在受影响的主机和网关之间,扮演着“中间人”的角色。所有本应该到达网关的数据包,由于错误的MAC地址,均被发送到了中毒主机上,此时中毒主机在该网络中充当缺省网关的作用。