arp攻击的危害_网络攻击ARP的真实案例

hacker|
402

遭受ARP攻击后现象征集

什么是ARP协议:

ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。

如何查看ARP缓存表:

ARP缓存表是可以查看的,也可以添加和修改。在命令提示符下,输入“arp -a”就可以查看ARP缓存表中的内容了。

用“arp -d”命令可以删除ARP表中某一行的内容;用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应。

ARP协议的工作原理:

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。

ARP欺骗:

其实,此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大患。

从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。

一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。有些网管员对此不甚了解,出现故障时,认为PC没有问题,交换机没掉线的“本事”,电信也不承认宽带故障。而且如果第一种ARP欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了。为此,宽带路由器背了不少“黑锅”。

作为网吧路由器的厂家,对防范ARP欺骗不得已做了不少份内、份外的工作。一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静态ARP信息,这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做,称其为IP-MAC双向绑定。

显示和修改“地址解析协议”(ARP) 所使用的到以太网的 IP 或令牌环物理地址翻译表。该命令只有在安装了 TCP/IP 协议之后才可用。

arp -a [inet_addr] [-N [if_addr]

arp -d inet_addr [if_addr]

arp -s inet_addr ether_addr [if_addr]

参数

-a

通过询问 TCP/IP 显示当前 ARP 项。如果指定了 inet_addr,则只显示指定计算机的 IP 和物理地址。

-g

与 -a 相同。

inet_addr

以加点的十进制标记指定 IP 地址。

-N

显示由 if_addr 指定的网络界面 ARP 项。

if_addr

指定需要修改其地址转换表接口的 IP 地址(如果有的话)。如果不存在,将使用第一个可适用的接口。

-d

删除由 inet_addr 指定的项。

-s

在 ARP 缓存中添加项,将 IP 地址 inet_addr 和物理地址 ether_addr 关联。物理地址由以连字符分隔的6 个十六进制字节给定。使用带点的十进制标记指定 IP 地址。项是永久性的,即在超时到期后项自动从缓存删除。

ether_addr

指定物理地址。

arp病毒攻击有哪些典型现象

ARP欺骗木马影响严重,只需成功感染一台计算机,就可能导致整个局域网无法上网,严重的甚至导致整个网络瘫痪。

一、感染ARP欺骗木马现象:

该病毒主要通过ARP(地址解析协议)欺骗实施攻击和破坏行为,中毒现象表现为以下几点:

1. 使用校园网时会突然掉线,过一段时间后又恢复正常。

2. 用户频繁断网,IE浏览器频繁出错。

3. 一些常用软件出现故障。

4. 使用身份认证上网的用户,出现能够通过认证,但是无法上网的情况。

二、检测是否感染ARP欺骗木马方法:

1. 同时按住键盘上的“Ctrl+Alt+Del”键,选择“任务管理器”,选中“进程标签”,查看其中是否有一个名为“MIR0.dat”的进程。如果有,说明已经中毒。右键点击该进程后,选择“结束进程”。

2. 如果用户发现无法上网,可以通过如下方法验证是否中此木马病毒:

1)点“开始”-“运行”,输入cmd,再输入arp -d,回车。

2)重新尝试上网,如能短暂正常访问,则说明此次断网是受木马病毒影响。

三、目前有以下几种办法手动解决:

1. 检查是否存在“MIR0.dat”进程,如有,则结束它。

2. 清空arp缓存表。点“开始”-“运行”,输入cmd,再输入arp -d,回车。

3. 禁用网卡后,然后再次重新启动网卡。

四、 使用Anti ARP Sniffer软件保护本地计算机正常运行。

1. 下载:点击下载Anti ARP Sniffer

2. 使用说明(如图所示):

1) 在“网关地址”处,输入本网段的网关地址。

2) 点击“枚取MAC地址”,自动获取网关MAC地址。

3) 点击“自动保护”即可。

当前利用ARP协议的网络攻击有哪些?并给出相应的解决方案

arp攻击一般有两种:对内网用户以及对路由器。

对付直接攻击你机器的方法可以直接安装ARP防火墙(如360安全卫士‘其实应该有比360更好的ARP防火墙’)

而对于攻击路由器的解决办法是绑定IP和MAC地址,欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。

绑定方法:

对每台主机进行IP和MAC地址静态绑定。

通过CMD命令,arp -s可以实现 “arp –s IP MAC地址 ”。

具体:

arp -d(删除原来的,假设已被攻击)

arp -s xxx.xxx.xxx.xxx(网管的ip地址) xx-xx-xx-xx-xx-xx(网管的实际mac地址)

例如:“arp –s 192.168.10.1 AA-AA-AA-AA-AA-AA”。

如果设置成功会在PC上面通过执行 arp -a 可以看到相关的提示:

Internet Address Physical Address Type

192.168.10.1 AA-AA-AA-AA-AA-AA static(静态)

一般不绑定,在动态的情况下:

Internet Address Physical Address Type

192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(动态)

以上是绑定你对于路由器的,还要绑定路由器对你的(路由器设置中有,其实360显示的攻击地址极可能是假的,因为这个是攻击者设置的,没有人会傻到填写真实的IP的)具体如果不清楚的话建议你去搜索一下ARP的攻击原理,这样有助于你理解防护方法。

我随便搜了一下:ht tp://tieba.baidu.com/f?kz=361138214

你看一下吧。

0条大神的评论

发表评论