百科解釋
ARP定義 ARP(Address Resolution Protocol,地址解析協(xié)議)是一個(gè)位于TCP/IP協(xié)議棧中的底層協(xié)議,負(fù)責(zé)將某個(gè)IP地址解析成對應(yīng)的MAC地址。 ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址,查詢目標(biāo)設(shè)備的MAC地址,以保證通信的進(jìn)行。 ARP攻擊原理 ARP攻擊就是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙,能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞,攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目,造成網(wǎng)絡(luò)中斷或中間人攻擊。 ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中,局域網(wǎng)中若有一個(gè)人感染ARP木馬,則感染該ARP木馬的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息,并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。 遭受ARP攻擊后現(xiàn)象 ARP欺騙木馬的中毒現(xiàn)象表現(xiàn)為:使用局域網(wǎng)時(shí)會突然掉線,過一段時(shí)間后又會恢復(fù)正常。比如客戶端狀態(tài)頻頻變紅,用戶頻繁斷網(wǎng),IE瀏覽器頻繁出錯(cuò),以及一些常用軟件出現(xiàn)故障等。如果局域網(wǎng)中是通過身份認(rèn)證上網(wǎng)的,會突然出現(xiàn)可認(rèn)證,但不能上網(wǎng)的現(xiàn)象(無法ping通網(wǎng)關(guān)),重啟機(jī)器或在MS-DOS窗口下運(yùn)行命令arp -d后,又可恢復(fù)上網(wǎng)。 ARP欺騙木馬只需成功感染一臺電腦,就可能導(dǎo)致整個(gè)局域網(wǎng)都無法上網(wǎng),嚴(yán)重的甚至可能帶來整個(gè)網(wǎng)絡(luò)的癱瘓。該木馬發(fā)作時(shí)除了會導(dǎo)致同一局域網(wǎng)內(nèi)的其他用戶上網(wǎng)出現(xiàn)時(shí)斷時(shí)續(xù)的現(xiàn)象外,還會竊取用戶密碼。如盜取QQ密碼、盜取各種網(wǎng)絡(luò)游戲密碼和賬號去做金錢交易,盜竊網(wǎng)上銀行賬號來做非法交易活動等,這是木馬的慣用伎倆,給用戶造成了很大的不便和巨大的經(jīng)濟(jì)損失。 基于ARP協(xié)議的這一工作特性,黑客向?qū)Ψ接?jì)算機(jī)不斷發(fā)送有欺詐性質(zhì)的ARP數(shù)據(jù)包,數(shù)據(jù)包內(nèi)包含有與當(dāng)前設(shè)備重復(fù)的Mac地址,使對方在回應(yīng)報(bào)文時(shí),由于簡單的地址重復(fù)錯(cuò)誤而導(dǎo)致不能進(jìn)行正常的網(wǎng)絡(luò)通信。一般情況下,受到ARP攻擊的計(jì)算機(jī)會出現(xiàn)兩種現(xiàn)象: 1.不斷彈出“本機(jī)的0-255段硬件地址與網(wǎng)絡(luò)中的0-255段地址沖突”的對話框。 2.計(jì)算機(jī)不能正常上網(wǎng),出現(xiàn)網(wǎng)絡(luò)中斷的癥狀。 因?yàn)檫@種攻擊是利用ARP請求報(bào)文進(jìn)行“欺騙”的,所以防火墻會誤以為是正常的請求數(shù)據(jù)包,不予攔截。因此普通的防火墻很難抵擋這種攻擊。 對ARP攻擊的防護(hù) 防止ARP攻擊是比較困難的,修改協(xié)議也是不大可能。但是有一些工作是可以提高本地網(wǎng)絡(luò)的安全性。 首先,你要知道,如果一個(gè)錯(cuò)誤的記錄被插入ARP或者IP route表,可以用兩種方式來刪除。 a. 使用arp –d host_entry b. 自動過期,由系統(tǒng)刪除 這樣,可以采用以下的一些方法: 1). 減少過期時(shí)間 #ndd –set /dev/arp arp_cleanup_interval 60000 #ndd -set /dev/ip ip_ire_flush_interval 60000 60000=60000毫秒 默認(rèn)是300000 加快過期時(shí)間,并不能避免攻擊,但是使得攻擊更加困難,帶來的影響是在網(wǎng)絡(luò)中會大量的出現(xiàn)ARP請求和回復(fù),請不要在繁忙的網(wǎng)絡(luò)上使用。 2). 建立靜態(tài)ARP表 這是一種很有效的方法,而且對系統(tǒng)影響不大。缺點(diǎn)是破壞了動態(tài)ARP協(xié)議?梢越⑷缦碌奈募。 test.nsfocus.com 08:00:20:ba:a1:f2 user. nsfocus.com 08:00:20:ee:de:1f 使用arp –f filename加載進(jìn)去,這樣的ARP映射將不會過期和被新的ARP數(shù)據(jù)刷新,除非使用arp –d才能刪除。但是一旦合法主機(jī)的網(wǎng)卡硬件地址改變,就必須手工刷新這個(gè)arp文件。這個(gè)方法,不適合于經(jīng)常變動的網(wǎng)絡(luò)環(huán)境。 3).禁止ARP 可以通過ipconfig interface –arp 完全禁止ARP,這樣,網(wǎng)卡不會發(fā)送ARP和接受ARP包。但是使用前提是使用靜態(tài)的ARP表,如果不在apr表中的計(jì)算機(jī) ,將不能通信。這個(gè)方法不適用與大多數(shù)網(wǎng)絡(luò)環(huán)境,因?yàn)檫@增加了網(wǎng)絡(luò)管理的成本。但是對小規(guī)模的安全網(wǎng)絡(luò)來說,還是有效可行的。 但目前的ARP病毒層出不窮,已經(jīng)不能單純的依靠傳統(tǒng)的方法去防范,比如簡單的綁定本機(jī)ARP表,我們還需要更深入的了解ARP攻擊原理,才能夠通過癥狀分析并解決ARP欺騙的問題,這里引用一篇關(guān)于分析最新ARP病毒:黑金的文章.通過文章,大家可以更好的了解先進(jìn)ARP欺騙的發(fā)展趨勢:http://www.allhack.cn/viewthread.php?tid=72&extra=page%3D1
移動通信網(wǎng) | 通信人才網(wǎng) | 更新日志 | 團(tuán)隊(duì)博客 | 免責(zé)聲明 | 關(guān)于詞典 | 幫助