局域网杀手:ARP攻击_防火墙_卡饭网
时间:2009-12-09 19:55来源:卡饭论坛 作者:guohouzuo 点击:578次
当我们处在局域网中时,防火墙也会有不作为的时候,那就是面对 ARP攻击 的时候。我们知道,当我们在浏览器中输入网址时,DNS服务器会自动把它解析为IP抵制,浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物流地址(即MAC地址)的呢?在局域网
当我们处在局域网中时,防火墙也会有不作为的时候,那就是面对ARP攻击的时候。
我们知道,当我们在浏览器中输入网址时,DNS服务器会自动把它解析为IP抵制,浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物流地址(即MAC地址)的呢?在局域网中,这是通过ARP协议来完成的。
ARP(Address ResolutionProtoctol)协议,即地址解析协议。通过准寻该协议,只要我们了解某台机器的IP地址,即可知道其物理地址。在TCP/IP网络环境下,每个主机都分配了一个32位的IP地址,这种互联网地址是在网际范围标示主机的一种逻辑地址。为了让报文在物理网络上传送,必须知道目的主机的物流地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为例,为了正确地向目的主机传送报文,必须把目的主机的32位IP地址转换成为48位以太网地址。这就需要在互联层有一组服务器将IP地址转换为相应物理地址,这组协议就是ARP协议。
常见的ARP欺骗和嗅探的原理:
1、ARP欺骗
通过不同的欺骗方向和ARP包具体内容,可以达到很多种效果:
欺骗机器,可以达到:IP冲突、嗅探主机到网关的通讯、禁止主机上网、限制主机速度;欺骗网关,可以用来:嗅探网关到主机的通讯、禁止主机上网、限制主机速度、网页挂马。
2、ARP扫描
扫描主机通过ARP request给所有在网段内可能存在的机器,然后收集机器发出来的ARP reply来达到获取在线主机的目的。
3、被动嗅探
就是仅仅通过收集通过本网卡的数据包来发现存在的主机,嗅探主机的信息。这类数据包的以太网头表明它的目的地址是广播,或者是嗅探者的机器。通过这类的数据包,一般可以找出网内机器的IP地址和MAC地址对应关系,发现一些ARP扫描、更换IP、更换MAC、其他机器的ARP攻击信息。
4、主动嗅探
其实就是普通的ARP欺骗后,改变数据流向,让数据经过自己的网卡。
机器如果被ARP欺骗,让他的机器上,网关IP的MAC地址是嗅探这网卡的MAC地址,这样所有发往网关的以太网头就变成了嗅探者网卡的MAC地址,这样,所有发送给网关的数据就都发给了嗅探者的网卡上,然后嗅探这者可以通过一些规则来将数据包转发给网关或者不转发(大部p2p一类的网管软件的ARP欺骗方式,这就是其中之一)。如果网关被ARP欺骗,一台机器的IP对应的MAC地址被改写为嗅探者的MAC地址,那么所有网关要发给这个主机的包都会发给嗅探者的网卡,这样,嗅探者就可以通过一些规则来决定是否转发给那个正确的机器,或者阻止这个数据包。
讲了一些原理的东西,其实对于防御ARP攻击来说,总结起来就三点:限制广播包和非网关MAC地址的数据包的发送,防止本机ARP缓存被恶意篡改,发包来保障网关ARP缓存的正确性。而对于我们电脑中安装的非专门ARP防火墙而言,这三条都是很难做到的,于是就出现了我们开始所说的防火墙在局域网中得不作为。
例如,COMODO可以拦截“可疑”的ARP请求和ARP回复,通过这个功能,可以防止本机被ARP欺骗,也可以阻止他人通过ARP扫描暴露自己;Outpost也有类似的功能,也可以保证本机ARP缓存包不会被非网关的MAC发来的额数据包篡改,也就是防止了他人对本机的ARP欺骗;LNS、PC Tools这两款防火墙,可以通过编写规则,阻止非网关的MAC发来的数据包,也就保证了本机不遭到ARP扫描,也不会被ARP欺骗。
也就是说,现在大多数我们常用的非专门对抗ARP攻击的防火墙,能保护本机不被ARP欺骗,但是都因为没有发送数据包的能力,无法保证网关--本机的数据包的正确流向。攻击者可以利用这一点,嗅探到受害机器的通讯内容,比如看了什么网页没下载了什么内容的文件等等,更可以利用这点来网页挂马,让受害者机器在浏览网页的时候,木马就悄悄中下了。
要保证网关的ARP项正确,如果路由器或者交换机没有ARP绑定功能的话, 就只能通过发送ARPreply包来解决了。所以说,没有发送数据包能力的防火墙,都无法有效防御ARP攻击,比如COMODO、LNS、PCTools、Outpost等等,他们只能决定是都允许一个数据包通过网卡,而无法发送数据包,所以都无法有效防护ARP攻击。
专业的ARP防火墙,除了可以保证本机不受到ARP欺骗、ARP扫描的影响外,更主要的是它有主动防御功能,也就是说,它会主动发包,刷新网关的ARP缓存,保证网关中自己机器对应的ARP想的正确性,从而确保网关到本机数据流向的正确。
所以,大家在有ARP攻击的局域网环境内,一定不要依赖COMODO、LNS、PCTools、Outpost等这些非专门的ARP防火墙来防御ARP攻击,那是远远不够的,并且会带来很大的安全隐患。因此,我建议大家在自己的电脑中安装一些专业的ARP软件,比如金山ARP防火墙或者彩影ARP防火墙,都能起到有效的保护作用。
更多阅读
局域网共享:1 XP局域网共享设置
局域网共享:[1]XP局域网共享设置——简介局域网共享是个头疼的问题,只要找到的正确的设置方法,其实也很简单。原版也需要设置,否则也不能进行共享!局域网共享:[1]XP局域网共享设置——前提工作局域网共享:[1]XP局域网共享设置 1、更改不同
如何防止ARP攻击? win10怎么防止arp攻击
如何防止ARP攻击?——简介ARP攻击其实对于大多数人都是陌生的,但是也有不少人会碰到这类问题,比如电脑经常断网,这个问题一般都是由于ARP攻击引起的,还有防火墙经常提示已经防止ARP攻击多少次。那么如何防止ARP攻击呢?如何防止ARP攻击?—
ARP断网攻击是什么意思,ARP断网攻击怎么办 arp攻击是什么意思
ARP断网攻击是什么意思,ARP断网攻击怎么办——简介 经常有网友反映自己的电脑遭受ARP断网攻击,很多朋友并不了解这是个什么攻击,对自己到底有多大影响!今天小编就来教你简单的方法来应付ARP攻击!ARP断网攻击是什么意思,ARP断网攻击怎么
遭受arp攻击怎么办 精 网络遭受arp攻击
遭受arp攻击怎么办 精——简介ARP(Address Resolution Protocol,地址解析协议)协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。ARP攻击仅能在以太网(局域网如:机房、内网、公司网络、学校等)进行。ARP攻
K线经典组合形态:尽头线_鲁商所
尽头线 尽头线的特点: 顾名思意:尽头线就是行情到头的意思。在上升趋势中,原行情进行的相当顺利,一般都认为行情会继续下去,结果在一根长阳线的上影线右方却出现一根完全涵盖在上影线范围内的短十字线或小阴(阳)线。这就是尽头