資源描述:
《ARP攻擊方式總結(jié)及其防御》由會(huì)員上傳分享���,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫��。
1����、ARP攻擊方式總結(jié)及其防御1.ARPDDOS攻擊2.ARP返回?cái)?shù)據(jù)包欺騙3.ARP請(qǐng)求欺騙4.ARP全網(wǎng)請(qǐng)求欺騙5.ARP中間人欺騙6.ARPIP地址沖突7.ARP網(wǎng)關(guān)欺騙8.ARP交換機(jī)端口轉(zhuǎn)發(fā)欺騙(最厲害,就是幻境網(wǎng)盾skiller的攻擊方法)在此我特意奉獻(xiàn)給大家��,還有些ARP的應(yīng)用就靠大家去發(fā)現(xiàn)了���,就不在大家面前說道了���,后面我也把一些常見的防護(hù)方法說一下���,各位也討論下。Arp-ddos攻擊其實(shí)就是連續(xù)大量發(fā)送正常ARP請(qǐng)求包��,耗費(fèi)主機(jī)帶寬,這種攻擊在局域網(wǎng)里面意義不算太大����,例如ADSL貓,發(fā)送ARP
2���、請(qǐng)求�����,幾分終就會(huì)讓它死掉,這種數(shù)據(jù)包是屬于正常包,不會(huì)被ARP防火墻和交換機(jī)過濾掉����。此解決方法,在一些交換機(jī)中做流量限制�,我也不會(huì)做����,不知道可行性���,個(gè)人認(rèn)為防護(hù)難度A++++ARP返回?cái)?shù)據(jù)包欺騙這種欺騙是最常見的一種欺騙,就是向主機(jī)發(fā)送ARP返回?cái)?shù)據(jù)包�����,這種包把IP做成網(wǎng)關(guān)地址����,發(fā)送端的物理地址是自己的或偽造的,讓對(duì)方電腦的IP—MAC地址表出現(xiàn)錯(cuò)誤���,當(dāng)IP報(bào)文把這個(gè)硬件地址添到數(shù)據(jù)中發(fā)送就會(huì)出現(xiàn)找不到正確的物理出口地址����。這種的防護(hù)比較簡單���,用ARP-S綁定網(wǎng)關(guān)����,還有就是用ARP防火墻,不過這種欺騙可能會(huì)
3���、被路由器發(fā)送的正確的地址給覆蓋掉���。ARP請(qǐng)求欺騙ARP請(qǐng)求欺騙也是比較常見的����,他是ARP的請(qǐng)求協(xié)議,在目的IP和MAC地址上都沒錯(cuò)誤����,錯(cuò)誤是請(qǐng)求者的MAC地址有問題,并不真的.這種欺騙和返回欺騙僅0P值不同�。防護(hù)辦法和上面那種一樣。ARP全網(wǎng)請(qǐng)求欺騙這種欺騙是請(qǐng)求欺騙和返回欺騙的更進(jìn)一步延伸���,原理就是把以太幀頭的目標(biāo)地址改成FF-FF-FF-FF-FF-FF就是廣播到所有主機(jī)�����,源地址IP地址或是網(wǎng)關(guān)IP地址�,物理地址是假的MAC地址�����,切記在目的IP中��,是192.168.1.255組播地址�。這種防護(hù)方法和上
4、面相同���,網(wǎng)絡(luò)執(zhí)法管一類軟件的全網(wǎng)阻斷功能就是用這種方法實(shí)現(xiàn)��。ARP中間人欺騙這種欺騙是在交換機(jī)下面進(jìn)行的��,有人說交換環(huán)境下面數(shù)據(jù)流是安全的����,下面這種攻擊方式就是針對(duì)交換機(jī)�����。大概的流程是這樣的,ABC三臺(tái)電腦,A和C進(jìn)行正常通訊,B發(fā)起中間攻擊,B首先發(fā)送ARP欺騙告訴A我B就是C,然后告訴C我B就是A.這樣A和C之間的數(shù)據(jù)傳輸過程就被B完全給查看到了����,說起來有點(diǎn)羅唆,這種欺騙也要做一個(gè)數(shù)據(jù)轉(zhuǎn)發(fā)機(jī)制�����,不然A和C之間的通訊就會(huì)斷掉�����,如P2P終結(jié)者就是這類欺騙。ARPIP地址沖突IP地址沖突也是ARP數(shù)據(jù)包造成
5��、的����,他就是把以太網(wǎng)幀頭地址廣播,包里面的源IP地址和目的IP地址是一樣,這種包是很常見的�,有可能大家都不知道,每次你PC開機(jī)的時(shí)候他都會(huì)把自己IP地址廣播一下,看下有沒有計(jì)算機(jī)使用相同IP地址,這種廣播給它定義成“免費(fèi)ARP”��。這種廣播直接用ARP防火墻就可以過濾掉.其實(shí)這種包也不會(huì)造成斷網(wǎng)����,只是老彈出煩人的對(duì)話框,象長角牛網(wǎng)絡(luò)監(jiān)控就有一種是發(fā)送這樣的一種包�����。ARP網(wǎng)關(guān)欺騙這種欺騙是從另一種欺騙方法的延伸���,假如客戶端做了網(wǎng)關(guān)靜態(tài)綁定,安裝了ARP防火墻你不能對(duì)它做欺騙�����,無法對(duì)它斷開互連網(wǎng)��,那我們就對(duì)網(wǎng)關(guān)進(jìn)
6�����、行ARP欺騙�����。例如A是客戶端�����,B是服務(wù)器���。A做了防護(hù),并你想阻斷他上互聯(lián)網(wǎng)����,那么我們對(duì)B做A的欺騙,就是把B認(rèn)為是臺(tái)電腦��,一直給他發(fā)送A的虛假地址��,這種包要連續(xù)不斷的,數(shù)據(jù)量要大些����。ARP交換機(jī)欺騙{skiller}這種攻擊方法是近兩年來才有的,現(xiàn)在給你們講出來就比較簡單��,以前從沒見過這種攻擊方法���,原理講起來可能比較難懂����,防護(hù)起來很麻煩�����,你要是攻擊我���,現(xiàn)在我至少是沒辦法�。原理就是改變了交換機(jī)的轉(zhuǎn)發(fā)列表���。ARP交換機(jī)欺騙攻擊思路交換機(jī)是根據(jù)以太網(wǎng)ARP協(xié)議的源地址目地址幀頭來進(jìn)行轉(zhuǎn)發(fā)的����,例如A在交換機(jī)的1號(hào)
7、口����,網(wǎng)關(guān)在3號(hào)口,交換機(jī)就按A發(fā)送的目的地址從3號(hào)口出去�����,為什么會(huì)這樣,是因?yàn)榻粨Q機(jī)內(nèi)部維護(hù)著一個(gè)動(dòng)態(tài)的地址列表,里面有MAC地址和物理端口的對(duì)照表,如果這個(gè)表是靜態(tài)不知道這種攻擊是否會(huì)生效��。首先我實(shí)施的方法是這樣的,a,b,c三臺(tái)PC.攻擊者是C.假如我想阻斷B主機(jī)�����,在C者電腦上發(fā)送B到A的ARP地址請(qǐng)求包�����,這個(gè)包是連續(xù)不斷的����,然后B被阻斷���,為什么會(huì)這樣那,B的請(qǐng)求數(shù)據(jù)是能發(fā)送出去的�����,他回的數(shù)據(jù)包就會(huì)被交換機(jī)轉(zhuǎn)到C電腦上��,三次握手鏈接建立不成功��,網(wǎng)絡(luò)就會(huì)被阻斷,我們可以按著這個(gè)思路做很多事情�,這里就不一
8、一舉例了���,我好餓不寫了吃飯��?��?吹竭@里,各位朋友有點(diǎn)茫然,其實(shí)呢很簡單�,用風(fēng)云防火墻是一明智的選擇,上述各類欺騙正常途徑都要先知道你的IP及MAC,開啟風(fēng)云的安全模式后只會(huì)響應(yīng)網(wǎng)關(guān)的請(qǐng)求���,對(duì)于局域網(wǎng)其它主機(jī)來說就象不存在�,對(duì)方要ping你要ARP掃描你都是枉然�����,掃不到你認(rèn)為不存在也就談不上攻擊了,當(dāng)然你不開啟風(fēng)云的主動(dòng)防御的話會(huì)還是會(huì)被上面的ARP網(wǎng)關(guān)欺騙這種方式攻擊成功��,所以我的建議是對(duì)于現(xiàn)有我所知道的攻擊軟件來說��,開啟風(fēng)云的
