1、ARP 原理分析及解决方法上海整形 上海整形医院 上海整形美容医院 美白针价格ARP 欺骗攻击原理分析在局域网中,通过 ARP 协议来完成 IP 地址转换为第二层物理地址,实现局域网机器的通信。ARP协议对网络安全具有重要的意义。这是建立在相互信任的基础上。如果通过伪造 IP 地址和 MAC 地址实现ARP 欺骗,将在网络中产生大量的 ARP 通信量使网络阻塞、掉线、重定向、嗅探攻击。上海整形 上海整形医院 上海整形美容医院 美白针价格我们知道每个主机都用一个 ARP 高速缓存,存放最近 IP 地址到 MAC 硬件地址之间的映射记录。Windows 高速缓存中的每一条记录的生存时间一般为 60
2、 秒,起始时间从被创建时开始算起。默认情况下,ARP 从缓存中读取 IP-MAC 条目,缓存中的 IP-MAC 条目是根据 ARP 响应包动态变化的。因此,只要网络上有 ARP 响应包发送到本机,即会更新 ARP 高速缓存中的 IP-MAC 条目。如:X 向 Y 发送一个自己伪造的 ARP应答,而这个应答中的数据发送方 IP 地址是 192。168。1。3(Z 的 IP 地址),MAC 地址是 DD-DD-DD-DD-DD-DD(Z 的真实 MAC 地址却是 CC-CC-CC-CC-CC-CC,这里被伪造了)。当 Y 接收到 X 伪造的 ARP 应答,就会更新本地的 ARP 缓存(Y 可不知道
3、被伪造了)。那么如果伪造成网关呢?Switch 上同样维护着一个动态的 MAC 缓存,它一般是这样,首先,交换机内部有一个对应的列表,交换机的端口对应 MAC 地址表 PortnMac 记录着每一个端口下面存在那些 MAC 地址,这个表开始是空的,交换机从来往数据帧中学习。因为 MAC-PORT 缓存表是动态更新的,那么让整个 Switch 的端口表都改变,对 Switch 进行 MAC 地址欺骗的 Flood,不断发送大量假 MAC 地址的数据包,Switch 就更新 MAC-PORT 缓存,如果能通过这样的办法把以前正常的 MAC 和 Port 对应的关系破坏了,那么 Switch 就会进
4、行泛洪发送给每一个端口,让 Switch 基本变成一个 HUB,向所有的端口发送数据包,要进行嗅探攻击的目的一样能够达到。也将造成 SwitchMAC-PORT 缓存的崩溃,如下面交换机中日志所示:Internet192。168。1。40000b。cd85。a193ARPAVlan256Internet192。168。1。50000b。cd85。a193ARPAVlan256Internet192。168。1。60000b。cd85。a193ARPAVlan256Internet192。168。1。70000b。cd85。a193ARPAVlan256Internet192。168。1。800
5、00b。cd85。a193ARPAVlan256Internet192。168。1。90000b。cd85。a193ARPAVlan256ARP 攻击时的主要现象网上银行、保密数据的频繁丢失。当局域网内某台主机运行 ARP 欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登陆服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录服务器,这样病毒主机就可以窃取所有机器的资料了。网速时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常。
6、局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常上海整形 上海整形医院 上海整形美容医院 美白针价格由于 ARP 欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当 ARP 欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再次断线。ARP 的解决办法:目前来看普遍的解决办法都是采用双绑,具体方法:先找到正确的网关 IP 网关物理地址然后在客户端做对网关的 arp 绑定。步骤一:查找本网段的网关地址,比如 19216811,以下以此网关为例。在正常上网时,“开始运行cmd确定”,输入:arpa,点回车
7、,查看网关对应的 PhysicalAddress。比如:网关 192。168。1。1 对应 0A0B0C0D0E0F。步骤二:编写一个批处理文件 rarp。bat,内容如下:echooffarpdarp-s192。168。1。10A0B0C0D0E0F保存为:rarp。bat。步骤三:运行批处理文件将这个批处理文件拖到“Windows开始程序启动”中。但双绑并不能彻底解决 ARP 问题,IP 冲突以及一些 ARP 变种是不能应对的。上海整形 上海整形医院 上海整形美容医院 美白针价格再有就是采用防 ARP 的硬件路由,但价格很高,并且不能保证在大量攻击出现地情况下稳定工作。那么现在就没有,有效
8、并能够彻底的解决办法了吗?有的,那就是采用能够以底层驱动的方式工作的软件,并全网部署来防范 ARP 问题。此类软件是通过系统底层核心驱动,以服务及进程并存的形式随系统启动并运行,不占用计算机系统资源。这种方式不同于双绑。因为它是对通信中的数据包进行分析与判断,只有合法的包才可以被放行。非法包就被丢弃掉了。也不用担心计算机会在重启后新建 ARP 缓存列表,因为是以服务与进程相结合的形式存在于计算机中,当计算机重启后软件的防护功能也会随操作系统自动启动并工作。目前满足这一要求的并能出色工作的软件推荐大家选用 ARP 卫士,此软件不仅仅解决了 ARP 问题,同时也拥有内网洪水防护功能与 P2P 限速
9、功能。ARP 卫士在系统网络的底层安装了一个核心驱动,通过这个核心驱动过滤所有的 ARP 数据包,对每个 ARP 应答进行判断,只有符合规则的 ARP 包,才会被进一步处理。这样,就实现防御了计算机被欺骗。同时,ARP 卫士对每一个发送出去的 ARP 应答都进行检测,只有符合规则的 ARP 数据包才会被发送出去,这样就实现了对发送攻击的拦截。洪水拦截:通过此项设置,可以对规则列表中出现了 SYN 洪水攻击、UDP 洪水攻击、ICMP 洪水攻击的机器进行惩罚。当局域网内某台计算机所发送的 SYN 报文、UDP 报文、ICMP 报文超出此项设置中所规定的上限时,“ARP 卫士”客户端将会按照预设值
10、对其进行相应惩罚。在惩罚时间内,这台计算机将不会再向网络内发送相应报文。但惩罚不会对已建立的连接产生影响。流量控制:通过此项设置,可以对规则列表中的所有计算机进行广域网及局域网的上传及下载流量进行限制(即所谓的网络限速)。鼠标右键单击“排除机器列表”窗口即可对其中内容进行修改、编辑。存在于“排除机器列表”中的 IP 地址将不会受到流量控制的约束。ARPGuard(ARP 卫士)的确可以从根本上彻底解决 ARP 欺骗攻击所带来的所有问题。它不仅可以保护计算机不受 ARP 欺骗攻击的影响,而且还会对感染了 ARP 攻击病毒或欺骗木马的病毒源机器进行控制,使其不能对局域网内其它计算机进行欺骗攻击。保持网络正常通讯,防止带有 ARP 欺骗攻击的机器对网内计算机的监听,使浏览网页、数据传输时不受 ARP 欺骗者限制。上海整形 上海整形医院 上海整形美容医院 美白针价格总体来看我觉得这个软件是目前市面上最好的了。同时在线客服工作也很负责。但有些时候对于网管来说还是不太方便。比如管理端换了 IP。那么下面的客户端只能重新指向新的 IP。再有软件不能对所有的无盘系统都支持。对 LINUX 操作系统也不能支持。希望这些能够尽快被软件开发商注意并及时更新。好了,说了这么多,希望能够给大家解决 ARP 掉线问题,提供帮助。
