黑龙江36选7

Windows局域網內如何防止ARP欺騙

2011/5/28 來源:www.ehirz.tw 作者:小白

一、理論前提

  本著“不冤枉好人, 不放過一個壞人的原則”, 先說說我的一些想法和理論依據。 首先, 大家肯定發送ARP欺騙包肯定是一個惡毒的程序自動發送的, 正常的TCP/IP網絡是不會有這樣的錯誤包發送的(板磚扔了過來啊, 廢話!)。 這就假設, 如果犯罪嫌疑人沒有啟動這個破壞程序的時候, 網絡環境是正常的, 或者說網絡的ARP環境是正常的, 如果我們能在犯罪嫌疑人啟動這個犯罪程序的第一時間, 一開始就發現了他的犯罪活動, 那么就是人贓俱在, 不可抵賴了, 因為剛才提到, 前面網絡正常的時候證據是可信和可依靠的。 好, 接下來我們談論如何在第一時間發現他的犯罪活動。

  ARP欺騙的原理如下:

  假設這樣一個網絡, 一個Hub接了3臺機器

  HostA HostB HostC 其中

  A的地址為:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA

  B的地址為:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB

  C的地址為:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC

  正常情況下 C:\arp -a

  Interface: 192.168.10.1 on Interface 0x1000003

  Internet Address Physical Address Type

  192.168.10.3 CC-CC-CC-CC-CC-CC dynamic

  現在假設HostB開始了罪惡的ARP欺騙:

  B向A發送一個自己偽造的ARP應答, 而這個應答中的數據為發送方IP地址是192.168.10.3(C的IP地址), MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本來應該是CC-CC-CC-CC-CC-CC, 這里被偽造了)。 當A接收到B偽造的ARP應答, 就會更新本地的ARP緩存(A可不知道被偽造了)。 而且A不知道其實是從B發送過來的, A這里只有192.168.10.3(C的IP地址)和無效的DD-DD-DD-DD-DD-DD mac地址, 沒有和犯罪分子B相關的證據, 哈哈, 這樣犯罪分子豈不樂死了。 `

  現在A機器的ARP緩存更新了:

  C:\>arp -a

  Interface: 192.168.10.1 on Interface 0x1000003

  Internet Address Physical Address Type

  192.168.10.3 DD-DD-DD-DD-DD-DD dynamic

  這可不是小事。 局域網的網絡流通可不是根據IP地址進行, 而是按照MAC地址進行傳輸。 現在192.168.10.3的MAC地址在A上被改變成一個本不存在的MAC地址。 現在A開始Ping 192.168.10.3, 網卡遞交的MAC地址是DD-DD-DD-DD-DD-DD, 結果是什么呢?網絡不通, A根本不能Ping通C!!

  所以, 局域網中一臺機器, 反復向其他機器, 特別是向網關, 發送這樣無效假冒的ARP應答信息包, NND, 嚴重的網絡堵塞就開始了!網吧管理員的噩夢開始了。 我的目標和任務, 就是第一時間, 抓住他。 不過從剛才的表述好像犯罪分子完美的利用了以太網的缺陷, 掩蓋了自己的罪行。 但其實, 以上方法也有留下了蛛絲馬跡。 盡管, ARP數據包沒有留下HostB的地址, 但是, 承載這個ARP包的ethernet幀卻包含了HostB的源地址。 而且, 正常情況下ethernet數據幀中, 幀頭中的MAC源地址/目標地址應該和幀數據包中ARP信息配對, 這樣的ARP包才算是正確的。 如果不正確, 肯定是假冒的包, 可以提醒!但如果匹配的話, 也不一定代表正確, 說不定偽造者也考慮到了這一步, 而偽造出符合格式要求, 但內容假冒的ARP數據包。 不過這樣也沒關系, 只要網關這里擁有本網段所有MAC地址的網卡數據庫, 如果和Mac數據庫中數據不匹配也是假冒的ARP數據包。 也能提醒犯罪分子動手了。

[1] [2]  下一頁

網友評論
評論(...
全部評論
黑龙江36选7 辛运28微信群 浙江11选5走势图基本 斗地主游戏合集 云南十一选五玩法说明 微信卖钱包赚钱吗 江苏快3遗漏号360 黑龙江体育彩票 内蒙古十一选五基本走势图快 福彩欢乐生肖 体彩任选9场奖金