新技术论坛
搜索
查看: 755|回复: 0
打印 上一主题 下一主题

关于ARP服务和安全防范

[复制链接]
  • TA的每日心情
    开心
    2016-12-9 18:18
  • 签到天数: 85 天

    连续签到: 1 天

    [LV.6]常住居民II

    扫一扫,手机访问本帖
    楼主
    跳转到指定楼层
    发表于 2016-6-30 10:14:49 来自手机 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    1、什么是ARP?


    ARP(AddressResolutionProtocol)地址解析协议用于将计算机的网络IP地址转化为物理MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如果系统ARP缓存表被修改不停的通知路由器一系列错误的内网IP或者干脆伪造一个假的网关进行欺骗的话,网络就肯定会出现大面积的掉线问题。ARP攻击在现今的网络中频频出现,有效的防范ARP形式的网络攻击已成为确保网络畅通必要条件。
    2、ARP的原理。
    我在网上找到了一段很生动的描述:


    通常主机在发送一个ip包之前,它要到该转换表中寻找和ip包对应的mac地址。如果没有找到,该主机就发送一个ARP广播包,看起来象这样子:


    "我是主机xxx.xxx.xxx.xxx , mac是xxxxxxxxxxx ,ip为xxx.xxx.xxx.xx1的主机请告之你的mac来"
    ip为xxx.xxx.xxx.xx1的主机响应这个广播,应答ARP广播为:  
    "我是xxx.xxx.xxx.xx1,我的mac为xxxxxxxxxx2"
    于是,主机刷新自己的ARP缓存,然后发出该ip包。


    了解这些常识后,现在就可以谈在网络中如何实现ARP欺骗了,可以看看这样一个例子:


    一个入侵者想非法进入某台主机,他知道这台主机的防火墙只对192.0.0.3(假设)这个ip开放23口(telnet),而他必须要使用telnet来进入这台主机,所以他要这么做:


    1、他先研究192.0.0.3这台主机,发现这台95的机器使用一个oob就可以让他死掉。
    2、于是,他送一个洪水包给192.0.0.3的139口,于是,该机器应包而死。
    3、这时,主机发到192.0.0.3的ip包将无法被机器应答,系统开始更新自己的arp对应表。将192.0.0.3的项目搽去。
    4、这段时间里,入侵者把自己的ip改成192.0.0.3
    5、他发一个ping(icmp 0)给主机,要求主机更新主机的arp转换表。
    6、主机找到该ip,然后在arp表中加入新的ip-->mac对应关系。
    7、防火墙失效了,入侵的ip变成合法的mac地址,可以telnet了。
    有人也许会说,这其实就是冒用ip嘛。是冒用了ip,但决不是ip欺骗,ip欺骗的原理比这要复杂的多,实现的机理也完全不一样。


    3、实战ARP

    服务器的ARP和这个大同小异。用一个小软件就可以使整个机房未防范ARP的服务器上的所有网站都感染病毒。不用一个一个网站入侵,省时省力。据马路消息,盛大某次被黑,就是被ARP。即盛大的服务器没有被入侵,只是同一机房的某台防御比较差的机器被攻克了。


    4、ARP的防范


    普通防火墙是不能防范ARP的。


    专门防范ARP的防火墙有:AntiARP、ARP Guard、360ARP防火墙、金山ARP防火墙,貌似超级巡警也带了ARP防火墙。
    高级模式
    B Color Image Link Quote Code Smilies

    本版积分规则

    手机版|Archiver|开发者俱乐部 ( ICP/ISP证:辽B-2-4-20110106号 IDC证:辽B-1-2-20070003号 )

    GMT+8, 2024-12-23 04:14 , Processed in 0.135780 second(s), 18 queries .

    X+ Open Developer Network (xodn.com)

    © 2009-2017 沈阳讯网网络科技有限公司

    快速回复 返回顶部 返回列表