當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)技巧>正文

防止局域網(wǎng)內(nèi)ARP欺騙

http://www.yibo1263.com　2008/10/6 8:11:29 　來源:東北IT網(wǎng) 　編輯:葉子

　　本文對于ARP欺騙，提出幾點(diǎn)加強(qiáng)安全防范的措施。環(huán)境是主機(jī)或者網(wǎng)關(guān)是基于Linux/BSD的。

　　一、理論前提

　　本著“不冤枉好人，不放過一個(gè)壞人的原則”，先說說我的一些想法和理論依據(jù)。首先，大家肯定發(fā)送ARP欺騙包肯定是一個(gè)惡毒的程序自動發(fā)送的，正常的TCP/IP網(wǎng)絡(luò)是不會有這樣的錯(cuò)誤包發(fā)送的。這就假設(shè)，如果犯罪嫌疑人沒有啟動這個(gè)破壞程序的時(shí)候，網(wǎng)絡(luò)環(huán)境是正常的，或者說網(wǎng)絡(luò)的ARP環(huán)境是正常的，如果我們能在犯罪嫌疑人啟動這個(gè)犯罪程序的第一時(shí)間，一開始就發(fā)現(xiàn)了他的犯罪活動，那么就是人贓俱在，不可抵賴了，因?yàn)閯偛盘岬�，前面網(wǎng)絡(luò)正常的時(shí)候證據(jù)是可信和可依靠的。好，接下來我們談?wù)撊绾卧诘谝粫r(shí)間發(fā)現(xiàn)他的犯罪活動。

　　ARP欺騙的原理如下：

　　假設(shè)這樣一個(gè)網(wǎng)絡(luò)，一個(gè)Hub接了3臺機(jī)器

　　HostA HostB HostC 其中

　　A的地址為：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA

　　B的地址為：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB

　　C的地址為：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC

　　正常情況下 C:\arp -a

　　Interface: 192.168.10.1 on Interface 0x1000003

　　Internet Address Physical Address Type

　　192.168.10.3 CC-CC-CC-CC-CC-CC dynamic

　　現(xiàn)在假設(shè)HostB開始了罪惡的ARP欺騙：

　　B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答，而這個(gè)應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本來應(yīng)該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當(dāng)A接收到B偽造的ARP應(yīng)答，就會更新本地的ARP緩存（A可不知道被偽造了）。而且A不知道其實(shí)是從B發(fā)送過來的，A這里只有192.168.10.3（C的IP地址）和無效的DD-DD-DD-DD-DD-DD mac地址，沒有和犯罪分子B相關(guān)的證據(jù)，哈哈，這樣犯罪分子豈不樂死了。

　　現(xiàn)在A機(jī)器的ARP緩存更新了：

　　C:\>arp -a

　　Interface: 192.168.10.1 on Interface 0x1000003

　　Internet Address Physical Address Type

　　192.168.10.3 DD-DD-DD-DD-DD-DD dynamic

　　這可不是小事。局域網(wǎng)的網(wǎng)絡(luò)流通可不是根據(jù)IP地址進(jìn)行，而是按照MAC地址進(jìn)行傳輸�，F(xiàn)在192.168.10.3的MAC地址在A上被改變成一個(gè)本不存在的MAC地址�，F(xiàn)在A開始Ping 192.168.10.3，網(wǎng)卡遞交的MAC地址是DD-DD-DD-DD-DD-DD，結(jié)果是什么呢？網(wǎng)絡(luò)不通，A根本不能Ping通C！！

　　所以，局域網(wǎng)中一臺機(jī)器，反復(fù)向其他機(jī)器，特別是向網(wǎng)關(guān)，發(fā)送這樣無效假冒的ARP應(yīng)答信息包，NND，嚴(yán)重的網(wǎng)絡(luò)堵塞就開始了！網(wǎng)吧管理員的噩夢開始了。我的目標(biāo)和任務(wù)，就是第一時(shí)間，抓住他。不過從剛才的表述好像犯罪分子完美的利用了以太網(wǎng)的缺陷，掩蓋了自己的罪行。但其實(shí)，以上方法也有留下了蛛絲馬跡。盡管，ARP數(shù)據(jù)包沒有留下HostB的地址，但是，承載這個(gè)ARP包的ethernet幀卻包含了HostB的源地址。而且，正常情況下ethernet數(shù)據(jù)幀中，幀頭中的MAC源地址/目標(biāo)地址應(yīng)該和幀數(shù)據(jù)包中ARP信息配對，這樣的ARP包才算是正確的。如果不正確，肯定是假冒的包，可以提醒！但如果匹配的話，也不一定代表正確，說不定偽造者也考慮到了這一步，而偽造出符合格式要求，但內(nèi)容假冒的ARP數(shù)據(jù)包。不過這樣也沒關(guān)系，只要網(wǎng)關(guān)這里擁有本網(wǎng)段所有MAC地址的網(wǎng)卡數(shù)據(jù)庫，如果和Mac數(shù)據(jù)庫中數(shù)據(jù)不匹配也是假冒的ARP數(shù)據(jù)包。也能提醒犯罪分子動手了。

　　二、防范措施

　　1. 建立DHCP服務(wù)器(建議建在網(wǎng)關(guān)上，因?yàn)镈HCP不占用多少CPU，而且ARP欺騙攻擊一般總是先攻擊網(wǎng)關(guān)，我們就是要讓他先攻擊網(wǎng)關(guān)，因?yàn)榫W(wǎng)關(guān)這里有監(jiān)控程序的，網(wǎng)關(guān)地址建議選擇192.168.10.2 ，把192.168.10.1留空，如果犯罪程序愚蠢的話讓他去攻擊空地址吧)，另外所有客戶機(jī)的IP地址及其相關(guān)主機(jī)信息，只能由網(wǎng)關(guān)這里取得，網(wǎng)關(guān)這里開通DHCP服務(wù)，但是要給每個(gè)網(wǎng)卡，綁定固定唯一IP地址。一定要保持網(wǎng)內(nèi)的機(jī)器IP/MAC一一對應(yīng)的關(guān)系。這樣客戶機(jī)雖然是DHCP取地址，但每次開機(jī)的IP地址都是一樣的。

本新聞共2頁,當(dāng)前在第1頁 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·巧設(shè)路由阻斷局域網(wǎng)病毒傳播路徑

·衡量局域網(wǎng)交換機(jī)功耗的測試

·企業(yè)局域網(wǎng)內(nèi)DHCP服務(wù)器的安全設(shè)計(jì)

·辦公室局域網(wǎng)打印機(jī)共享輕松設(shè)置

·三方面控制好你的局域網(wǎng)網(wǎng)速

·解決局域網(wǎng)常掉線問題

·無線局域網(wǎng)秘訣：因地制宜靈活布置

·無線局域網(wǎng)協(xié)議及基本用語全解析

·網(wǎng)管組建有線/無線局域網(wǎng)必看方案

·組建安全高效無線局域網(wǎng)

·家庭無線局域網(wǎng)優(yōu)劣取決于無線信號

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费