亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關(guān)注微信公眾號(hào)

反擊ARP欺騙 我和網(wǎng)絡(luò)執(zhí)法官的戰(zhàn)斗
2007-05-14   賽迪網(wǎng)-中國(guó)電腦教育報(bào)

作為一名校園網(wǎng)管理員,筆者近期接二連三地接到用戶不能正常上網(wǎng)的舉報(bào),使得我們焦頭爛額。經(jīng)過(guò)進(jìn)一步調(diào)查,終于發(fā)現(xiàn)了故障的真相。

首先說(shuō)明一下我校的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu):在一臺(tái)三層主交換機(jī)上劃分了VLAN,VLAN1使用普通的二層交換機(jī),連接學(xué)生宿舍的網(wǎng)絡(luò)。使用192.168.0.0作為網(wǎng)絡(luò)地址,并在主交換機(jī)上做了MAC地址與IP地址的綁定,避免學(xué)生自行修改IP地址造成地址沖突。學(xué)生的計(jì)算機(jī)全部連接到普通的二層交換機(jī)上。

故障現(xiàn)象

某臺(tái)計(jì)算機(jī)會(huì)突然不能連接到服務(wù)器或其他客戶機(jī),重啟后恢復(fù)正常,短時(shí)間后,又出現(xiàn)該狀況。查看本地連接狀態(tài)發(fā)現(xiàn)只有發(fā)出的數(shù)據(jù)包而沒(méi)有返回的數(shù)據(jù)包。根據(jù)以往的經(jīng)驗(yàn),該癥狀與MAC地址綁定錯(cuò)誤相同,于是在交換機(jī)上查看,發(fā)現(xiàn)一切正常,只是該IP地址沒(méi)有數(shù)據(jù)流量。同時(shí),在網(wǎng)絡(luò)中的網(wǎng)管軟件監(jiān)聽到大量未知MAC地址的數(shù)據(jù)包出現(xiàn)。

故障分析

綜合考慮,我們認(rèn)為有偽造MAC地址的情況出現(xiàn)。我們重點(diǎn)查找Windows系統(tǒng)下的嗅探軟件,并以著名的Winpcap和Libpcap為重點(diǎn),最終的焦點(diǎn)定位在一款叫做“網(wǎng)絡(luò)執(zhí)法官”的軟件上。

我們立即下載該軟件進(jìn)行安裝,發(fā)現(xiàn)其基于Winpcap。因?yàn)閃inpcap的資料相對(duì)較多,我們沒(méi)有試圖對(duì)該軟件進(jìn)行反編譯,而只對(duì)其基本功能進(jìn)行了測(cè)試,發(fā)現(xiàn)其工作方式有三種,并進(jìn)行了基本測(cè)試:

1. 生成IP地址沖突

在該模式下,軟件產(chǎn)生一個(gè)虛擬的MAC地址,并利用這個(gè)MAC地址偽造和被攻擊機(jī)器的IP地址相同的數(shù)據(jù)包,從而使被攻擊機(jī)器不斷出現(xiàn)IP地址沖突對(duì)話框,但由于該MAC地址是偽造的,所以被攻擊機(jī)器無(wú)法發(fā)現(xiàn)是哪個(gè)機(jī)器進(jìn)行了攻擊。

2. 斷開被攻擊機(jī)器與網(wǎng)關(guān)的聯(lián)系

在該模式下,軟件對(duì)被攻擊機(jī)和網(wǎng)關(guān)機(jī)都產(chǎn)生一個(gè)ARP的“欺騙”,使得兩者不能正確獲知對(duì)方的MAC地址,從而不能正常通訊。但被攻擊機(jī)器和局域網(wǎng)內(nèi)其他主機(jī)可以進(jìn)行通訊。

3. 斷開被攻擊機(jī)器與所有其他主機(jī)的聯(lián)系

在該模式下,軟件對(duì)被攻擊機(jī)器和局域網(wǎng)內(nèi)所有主機(jī)(包括網(wǎng)關(guān))都進(jìn)行“ARP欺騙”,被攻擊機(jī)器不能和任何機(jī)器通訊。但本主機(jī)不能和被攻擊機(jī)斷開聯(lián)系(該軟件不會(huì)欺騙本身主機(jī)),所以如果該軟件如果安裝在網(wǎng)關(guān)機(jī)上,就失去了網(wǎng)絡(luò)管理功能。

明顯的,這是一種“ARP欺騙”的攻擊。而ARP協(xié)議位于TCP/IP協(xié)議中的網(wǎng)絡(luò)層,主要功能是將廣域網(wǎng)的IP地址尋址轉(zhuǎn)換成局域網(wǎng)中的MAC地址尋址。所以,如果我們破壞了IP/MAC地址的轉(zhuǎn)換,被攻擊的主機(jī)就不能在局域網(wǎng)中進(jìn)行通訊了(因?yàn)闆](méi)有其他主機(jī)“認(rèn)識(shí)”它了)。

故障解決

那么,我們能不能避免ARP“欺騙”攻擊呢?很遺憾的是:鑒于ARP協(xié)議的“自治”性,除非全部使用靜態(tài)ARP,否則是不能的。

用什么辦法對(duì)抗網(wǎng)絡(luò)執(zhí)法官呢?我們從查、躲、殺三個(gè)角度進(jìn)行了試驗(yàn)。

1. 如何得知自己是否受到“ARP欺騙”的攻擊呢?

您可以檢測(cè)自己的網(wǎng)卡工作狀態(tài),如果只發(fā)數(shù)據(jù)而不能接收到數(shù)據(jù)的話,很可能就受到了攻擊。您也可以在命令行狀態(tài)下使用ARP -A命令,來(lái)查看本機(jī)的ARP緩存狀態(tài),正常情況下除了網(wǎng)關(guān)外不會(huì)有太多的記錄,您需要查看網(wǎng)關(guān)的MAC地址是否和正常的一樣。如果不同,那么或者網(wǎng)關(guān)換了網(wǎng)卡,或者您受到了“ARP欺騙”的攻擊。

同樣,如果沒(méi)有記錄或者有過(guò)多的ARP記錄,您也可能受到了攻擊(不同版本的網(wǎng)絡(luò)執(zhí)法官的攻擊方式有所不同)。

2. 如何在局域網(wǎng)中查找該主機(jī)

因?yàn)樵撥浖腔赪inpcap驅(qū)動(dòng)的,其工作起來(lái)必然需要將該主機(jī)網(wǎng)卡工作于“混雜”模式下,原理類似于常見的嗅探軟件,所以,反嗅探的軟件可以對(duì)其進(jìn)行查找。經(jīng)常使用的有Antisniffer、ARPkiller等。利用反嗅探軟件查找局域網(wǎng)內(nèi)處于“混雜”模式的網(wǎng)卡,基本可以確定進(jìn)行攻擊的主機(jī)的IP地址。

注:被查找到的主機(jī)也可能沒(méi)有使用“ARP欺騙”,而只進(jìn)行了竊聽。但總之處于“混雜”狀態(tài)的主機(jī)肯定是不正常的。

同樣的,您還可以安裝網(wǎng)絡(luò)執(zhí)法官的檢測(cè)版本來(lái)檢測(cè)本網(wǎng)中運(yùn)行該軟件的主機(jī)。

3. 躲過(guò)“ARP欺騙”的攻擊

如果您的網(wǎng)絡(luò)里沒(méi)有在網(wǎng)關(guān)綁定MAC地址和IP地址的話,您可以針對(duì)被攻擊的類型不同選擇不同的方式躲避攻擊:

(1)產(chǎn)生IP地址沖突的攻擊

如果產(chǎn)生地址沖突,您可以看見類似“系統(tǒng)檢測(cè)到IP地址和硬件地址00-50-FC-1F-4C-9E發(fā)生沖突”的對(duì)話框。您可以將您的MAC地址設(shè)置為該硬件地址,就可以避免再次出現(xiàn)該對(duì)話框。

(2)斷開被攻擊機(jī)器與網(wǎng)關(guān)的聯(lián)系和斷開被攻擊機(jī)器與所有其他主機(jī)的聯(lián)系的攻擊

您可以自行修改MAC地址,修改后,可以在短時(shí)間內(nèi)避開被攻擊,但是如果攻擊者在網(wǎng)絡(luò)執(zhí)法官中設(shè)置了“發(fā)現(xiàn)用戶上網(wǎng)即進(jìn)行管理”后,不久會(huì)再次受到攻擊。

總之,利用修改MAC地址來(lái)躲避并不是有效的辦法。況且很多局域網(wǎng)中還進(jìn)行的MAC地址和IP地址的綁定,就算避過(guò)了網(wǎng)絡(luò)執(zhí)法官的攻擊,也同樣不能正常上網(wǎng)。

4. “殺”實(shí)際上是一種“對(duì)攻”

因?yàn)锳RP緩存具有一定的生命周期,所以網(wǎng)絡(luò)執(zhí)法官會(huì)在幾秒內(nèi)產(chǎn)生一個(gè)新的ARP數(shù)據(jù)包。首先我們可以利用靜態(tài)ARP在本機(jī)注冊(cè)網(wǎng)關(guān)正確的MAC地址,然后利用ARPkiller等軟件不停地向網(wǎng)絡(luò)中發(fā)布本機(jī)的正確IP和MAC數(shù)據(jù),使得網(wǎng)關(guān)的ARP緩存中始終保持有關(guān)本機(jī)的正確數(shù)據(jù),這樣就可以保持和網(wǎng)關(guān)的通訊,也就可以正常上網(wǎng)了。甚至,我們同樣可以發(fā)動(dòng)“反擊”,使得對(duì)方“掉網(wǎng)”。

熱詞搜索:

上一篇:身兼數(shù)職 反向代理服務(wù)器功能剖析
下一篇:經(jīng)驗(yàn)分享:網(wǎng)絡(luò)不通 線纜速度是“真兇”

分享到: 收藏