行業資(zī)訊
   
解決ARP病毒欺騙攻擊實例--抓包
發布時間:2011-11-26
浏覽人數:2068

        網絡中(zhōng)有主機頻(pín)繁斷線,剛剛開(kāi)始還比較正常,但是一(yī)段時間後就出現斷線情況,有時很快恢複,但是有時要長達好幾分(fēn)鍾啊,這樣對工(gōng)作影響太大(dà)了。最初懷疑是否是物(wù)理上的錯誤,總之從最容易下(xià)手的東西開(kāi)始檢查,檢查完畢後沒有發現異常!突然想到目前網上比較流行的ARP攻擊,ARP攻擊出現的故障情況與此非常之相似!對于ARP攻擊,一(yī)般常規辦法是很難找出和判斷的,需要抓包分(fēn)析。

1.原理知(zhī)識

在解決問題之前,我(wǒ)們先了解下(xià)ARP的相關原理知(zhī)識。

 ARP原理:

      首先,每台主機都會在自己的ARP緩沖區(ARPCache)中(zhōng)建立一(yī)個ARP列表,以表示IP地址和MAC地址的對應關系。當源主機需要将一(yī)個數據包要發送到目的主機時,會首先檢查自己ARP列表中(zhōng)是否存在該IP地址對應的MAC地址,如果有﹐就直接将數據包發送到這個MAC地址;如果沒有,就向本地網段發起一(yī)個ARP請求的廣播包,查詢此目的主機對應的MAC地址。此ARP請求數據包裏包括源主機的IP地址、硬件地址、以及目的主機的IP地址。

      網絡中(zhōng)所有的主機收到這個ARP請求後,會檢查數據包中(zhōng)的目的IP是否和自己的IP地址一(yī)緻。如果不相同就忽略此數據包;如果相同,該主機首先将發送端的MAC地址和IP地址添加到自己的ARP列表中(zhōng),如果ARP表中(zhōng)已經存在該IP的信息,則将其覆蓋,然後給源主機發送一(yī)個ARP響應數據包,告訴對方自己是它需要查找的MAC地址;源主機收到這個ARP響應數據包後,将得到的目的主機的IP地址和MAC地址添加到自己的ARP列表中(zhōng),并利用此信息開(kāi)始數據的傳輸。如果源主機一(yī)直沒有收到ARP響應數據包,表示ARP查詢失敗。

ARP欺騙原理:

 我(wǒ)們先模拟一(yī)個環境:

       網關:192.168.1.1 MAC地址:00:11:22:33:44:55欺騙主機A:192.168.1.100 MAC地址:00:11:22:33:44:66被欺騙主機B:192.168.1.50 MAC地址:00:11:22:33:44:77

       欺騙主機A不停的發送ARP應答包給網關,告訴網關他是192.168.1.50主機B,這樣網關就相信欺騙主機,并且在網關的ARP緩存表裏就有192.168.1.50對應的MAC就是欺騙主機A的MAC地址00:11:22:33:44:66,網關真正發給主機B的流量就轉發給主機A;另外(wài)主機A同時不停的向主機B發送ARP請求,主機B相信主機A爲網關,在主機B的緩存表裏有一(yī)條記錄爲192.168.1.1對應00:11:22:33:44:66,這樣主機B真正發送給網關的數據流量就會轉發到主機A;等于說主機A和網關之間的通訊就經過了主機A,主機A作爲了一(yī)個中(zhōng)間人在彼此之間進行轉發,這就是ARP欺騙。

2.解決方法

       看來隻有抓包了,首先,我(wǒ)将交換機做好端口鏡像設置,然後把安裝有科來網絡分(fēn)析系統的電腦接入鏡像端口,抓取網絡的所有數據進行分(fēn)析。通過幾個視圖我(wǒ)得出了分(fēn)析結果:診斷視圖提示有太多“ARP無請求應答”。

       在診斷中(zhōng),我(wǒ)發現幾乎都是00:20:ED:AA:0D:04發起的大(dà)量ARP應答。而且在參考信息中(zhōng)提示說可能存在ARP欺騙。看來我(wǒ)的方向是走對了,但是爲了進一(yī)步确定,得結合其他内容信息。查看協議視圖了解ARP協議的詳細情況,

       ARPResponse和ARPRequest相差比例太大(dà)了,很不正常啊。接下(xià)來,再看看數據包的詳細情況。

       我(wǒ)從數據包信息已經看出問題了,00:20:ED:AA:0D:04在欺騙網絡中(zhōng)192.168.17.0這個網段的主機,應該是在告訴大(dà)家它是網關吧,想充當中(zhōng)間人的身份吧,被欺騙主機的通訊流量都跑到他那邊“被審核”了。

    現在基本确定爲ARP欺騙攻擊,現在我(wǒ)需要核查MAC地址的主機00:20:ED:AA:0D:04是哪台主機,幸好我(wǒ)在平時記錄了内部所有主機的MAC地址和主機對應表,終于給找出真兇主機了。可能上面中(zhōng)了ARP病毒,立即斷網殺毒。網絡正常了,嗚呼!整個世界又(yòu)安靜了!

 3.總結(故障原理)

       我(wǒ)們來回顧一(yī)下(xià)上面ARP攻擊過程。MAC地址爲00:20:ED:AA:0D:04的主機,掃描攻擊192.168.17.0這個網段的所有主機,并告之它就是網關,被欺騙主機的數據都發送到MAC地址爲00:20:ED:AA:0D:04的主機上去(qù)了,但是從我(wǒ)抓取的數據包中(zhōng),MAC爲00:20:ED:AA:0D:04的主機并沒有欺騙真正的網關,所以我(wǒ)們的網絡會出現斷網現象。

4.補充内容

       對于ARP攻擊的故障,我(wǒ)們還是可以防範的,以下(xià)三種是常見的方法:

       方法一(yī):平時做好每台主機的MAC地址記錄,出現狀況的時候,可以利用MAC地址掃描工(gōng)具掃描出當前網絡中(zhōng)主機的MAC地址對應情況,參照之前做好的記錄,也可以找出問題主機。

       方法二:ARP–S可在MS-DOS窗口下(xià)運行以下(xià)命令:ARP–S手工(gōng)綁定網關IP和網關MAC。靜态綁定,就可以盡可能的減少攻擊了。需要說明的是,手工(gōng)綁定在計算機重起後就會失效,需要再綁定,但是我(wǒ)們可以做一(yī)個批處理文件,可以減少一(yī)些煩瑣的手工(gōng)綁定!

       方法三:使用軟件(Antiarp)使用AntiARPSniffer可以防止利用ARP技術進行數據包截取以及防止利用ARP技術發送地址沖突數據包。

 

 

新聞資(zī)訊
聯系我(wǒ)們

聯系電話(huà):020-87518715

聯系郵箱:services@picusit.com

公司名稱:鄭州易科計算機服務有限公司

公司地址:廣州市天河區龍口西路100号中(zhōng)明大(dà)廈1601

熱線咨詢電話(huà):

020-87518715

公司地址:
廣州市天河區龍口西路100号中(zhōng)明大(dà)廈1601
手機掃碼查看更多
如有問題咨詢請及時與我(wǒ)們溝通,我(wǒ)們會爲您詳細解答!
Copyright © 鄭州易科計算機服務有限公司 地址:廣州市天河區龍口西路100号中(zhōng)明大(dà)廈1601

網站首頁

公司介紹

服務項目

成功案例

技術動态

聯系方式