ARP攻擊方式技術(shù)總結(jié)及其防御

這種攻擊其實就是連續(xù)大量發(fā)送正常ARP 請求包,耗費主機帶寬,這種攻擊在局域網(wǎng)里面意義不算太大,例如ADSL貓,發(fā)送ARP 請求,幾分終就會讓它死掉,這種數(shù)據(jù)包是屬于正常包,不會被ARP防火墻和交換機過濾掉，此解決方法,在一些交換機中做流量限制,其防護難度還是比較大的。

ARP返回數(shù)據(jù)包欺騙

這種欺騙是最常見的一種欺騙,就是向主機發(fā)送ARP返回數(shù)據(jù)包,這種包把IP做成網(wǎng)關(guān)地址,發(fā)送端的物理地址是自己的或偽造的,讓對方電腦的IP--MAC地址表出現(xiàn)錯誤,當IP報文把這個硬件地址添到數(shù)據(jù)中發(fā)送就會出現(xiàn)找不到正確的物理出口地址。這種的防護比較簡單,用ARP -S 綁定網(wǎng)關(guān),還有就是用ARP 防火墻,不過這種欺騙可能會被路由器發(fā)送的正確的地址給覆蓋掉。

ARP請求欺騙

ARP 請求欺騙也是比較常見的,他是ARP的請求協(xié)議.在目的IP和MAC地址上都沒錯誤,錯誤是請求者的MAC地址有問題,并不真的 .這種欺騙和返回欺騙僅OP值不同。防護辦法和上面那種一樣

ARP全網(wǎng)請求欺騙

這種欺騙是請求欺騙和返回欺騙的更進一步延伸,原理就是把以太幀頭的目標地址改成FF-FF-FF-FF-FF-FF就是廣播到所有主機,源地址IP地址或是網(wǎng)關(guān)IP地址,物理地址是假的MAC地址，切記在目的IP中，是192.168.1.255組播地址。這種防護方法和上面相同,網(wǎng)絡(luò)執(zhí)法管一類軟件的全網(wǎng)阻斷功能就是用這種方法實現(xiàn).

ARP中間人欺騙

這種欺騙是在交換機下面進行的,有人說交換環(huán)境下面數(shù)據(jù)流是安全的,下面這種攻擊方式就是針對交換機.大概的流程是這樣的,A B C三臺電腦,A 和 C進行正常通訊,B發(fā)起中間攻擊,B首先發(fā)送ARP欺騙告訴A我B就是C,然后告訴C我B就是A.這樣A和C之間的數(shù)據(jù)傳輸過程就被B完全給查看到了,說起來有點啰唆,這種欺騙也要做一個數(shù)據(jù)轉(zhuǎn)發(fā)機制,不然A和C之間的通訊就會斷掉,如P2P終結(jié)者就是這類欺騙。

ARPIP地址沖突

P地址沖突也是ARP 數(shù)據(jù)包造成的,他就是把以太網(wǎng)幀頭地址廣播,包里面的源IP地址和目的IP地址是一樣,這種包是很常見的,有可能大家都不知道,每次你PC開機的時候他都會把自己IP地址廣播一下,看下有沒有計算機使用相同IP地址,這種廣播給它定義成”免費ARP”這種廣播直接用ARP防火墻就可以過濾掉.其實這種包也不會造成斷網(wǎng),只是老彈出煩人的對話框,象長角牛網(wǎng)絡(luò)監(jiān)控就有一種是發(fā)送這樣的一種包

ARP網(wǎng)關(guān)欺騙

這種欺騙是從另一種欺騙方法的延伸，假如客戶端做了網(wǎng)關(guān)靜態(tài)綁定，安裝了ARP防火墻你不能對它做欺騙，無法對它斷開互連網(wǎng)，那我們就對網(wǎng)關(guān)進行ARP欺騙。例如A是客戶端，B是服務(wù)器。A做了防護，并你想阻斷他上互聯(lián)網(wǎng)，那么我們對B做A的欺騙，就是把B認為是臺電腦，一直給他發(fā)送A的虛假地址，這種包要連續(xù)不斷的，數(shù)據(jù)量要大些

ARP交換機欺騙{skiller }

這種攻擊方法是近兩年來才有的,現(xiàn)在給你們講出來就比較簡單,以前從沒見過這種攻擊方法,原理講起來可能比較難懂,防護起來很麻煩,你要是攻擊我，現(xiàn)在我至少是沒辦法.原理就是改變了交換機的轉(zhuǎn)發(fā)列表。

ARP交換機欺騙攻擊思路

交換機是根據(jù)以太網(wǎng)ARP協(xié)議的源地址目地址幀頭來進行轉(zhuǎn)發(fā)的,例如A在交換機的1號口,網(wǎng)關(guān)在3號口,交換機就按A發(fā)送的目的地址從3號口出去,為什么會這樣,是因為交換機內(nèi)部維護著一個動態(tài)的地址列表,里面有MAC地址和物理端口的對照表,如果這個表是靜態(tài)不知道這種攻擊是否會生效.

首先我實施的方法是這樣的,a,b,c三臺PC.攻擊者是C.假如我想阻斷B主機,在C者電腦上發(fā)送B到A的ARP 地址請求包,這個包是連續(xù)不斷的,然后B被阻斷,為什么會這樣那,B的請求數(shù)據(jù)是能發(fā)送出去的,他回的數(shù)據(jù)包就會被交換機轉(zhuǎn)到C電腦上,三次握手鏈接建立不成功,網(wǎng)絡(luò)就會被阻斷,我們可以按著這個思路做很多事情,這里就不一一舉例了。

總結(jié)

看到這里,各位朋友有點茫然，其實呢很簡單，用風云防火墻是一明智的選擇，上述各類欺騙正常途徑都要先知道你的IP及MAC，開啟風云的安全模式后只會響應(yīng)網(wǎng)關(guān)的請求，對于局域網(wǎng)其它主機來說就象不存在，對方要ping 你要ARP掃描你都是枉然，掃不到你認為不存在也就談不上攻擊了，當然你不開啟風云的主動防御的話會還是會被上面的ARP網(wǎng)關(guān)欺騙這種方式攻擊成功，所以我的建議是對于現(xiàn)有我所知道的攻擊軟件來說，開啟風云的ARP防護，開啟安全模式，開啟主動防御，調(diào)到最高，開啟IP沖突保護，都可以成功防范！

至于再靜態(tài)綁定網(wǎng)關(guān)在開啟主動防御的同時就沒有必要了,因為風云的主防會最快每秒發(fā)60個請求包至網(wǎng)關(guān),通過網(wǎng)關(guān)回應(yīng)隨時更新緩存,手工靜綁了也會變?yōu)閯討B(tài).有人會說，那skiller呢，呵呵，在風云的主動防御下對低頻率攻擊有效果，高強度下目前任何軟件都無法有效防御。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]