51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

用抓包的方法解决ARP病毒欺骗攻击实例

作者:林峰
安全 黑客攻防
对于ARP攻击,一般常规办法是很难找出和判断的,需要抓包分析。通过抓取网络的所有数据进行分析我得出了分析结果:诊断视图提示有太多“ARP无请求应答”。现在基本确定为ARP欺骗攻击……

51CTO推荐:ARP攻击防范与解决方案

最近网络中有主机频繁断线,刚刚开始还比较正常,但是一段时间后就出现断线情况,有时很快恢复,但是有时要长达好几分钟啊,这样对工作影响太大了。最初怀疑是否是物理上的错误,总之从最容易下手的东西开始检查,检查完毕后没有发现异常!突然想到目前网上比较流行的ARP攻击,ARP攻击出现的故障情况与此非常之相似!对于ARP攻击,一般常规办法是很难找出和判断的,需要抓包分析。

1.原理知识

在解决问题之前,我们先了解下ARP的相关原理知识。

ARP原理:

首先,每台主机都会在自己的ARP缓冲区(ARPCache)中建立一个ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。

网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。

ARP欺骗原理:

我们先模拟一个环境:
网关:192.168.1.1 MAC地址:00:11:22:33:44:55
欺骗主机A:192.168.1.100 MAC地址:00:11:22:33:44:66
被欺骗主机B:192.168.1.50 MAC地址:00:11:22:33:44:77

欺骗主机A不停的发送ARP应答包给网关,告诉网关他是192.168.1.50主机B,这样网关就相信欺骗主机,并且在网关的ARP缓存表里就有192.168.1.50对应的MAC就是欺骗主机A的MAC地址00:11:22:33:44:66,网关真正发给主机B的流量就转发给主机A;另外主机A同时不停的向主机B发送ARP请求,主机B相信主机A为网关,在主机B的缓存表里有一条记录为192.168.1.1对应00:11:22:33:44:66,这样主机B真正发送给网关的数据流量就会转发到主机A;等于说主机A和网关之间的通讯就经过了主机A,主机A作为了一个中间人在彼此之间进行转发,这就是ARP欺骗。

2.解决方法

看来只有抓包了,首先,我将交换机做好端口镜像设置,然后把安装有科来网络分析系统的电脑接入镜像端口,抓取网络的所有数据进行分析。通过几个视图我得出了分析结果:诊断视图提示有太多“ARP无请求应答”。

在诊断中,我发现几乎都是00:20:ED:AA:0D:04发起的大量ARP应答。而且在参考信息中提示说可能存在ARP欺骗。看来我的方向是走对了,但是为了进一步确定,得结合其他内容信息。查看协议视图了解ARP协议的详细情况,

ARPResponse和ARPRequest相差比例太大了,很不正常啊。接下来,再看看数据包的详细情况。

我从数据包信息已经看出问题了,00:20:ED:AA:0D:04在欺骗网络中192.168.17.0这个网段的主机,应该是在告诉大家它是网关吧,想充当中间人的身份吧,被欺骗主机的通讯流量都跑到他那边“被审核”了。

现在基本确定为ARP欺骗攻击,现在我需要核查MAC地址的主机00:20:ED:AA:0D:04是哪台主机,幸好我在平时记录了内部所有主机的MAC地址和主机对应表,终于给找出真凶主机了。可能上面中了ARP病毒,立即断网杀毒。网络正常了,呜呼!整个世界又安静了!

3.总结(故障原理)

我们来回顾一下上面ARP攻击过程。MAC地址为00:20:ED:AA:0D:04的主机,扫描攻击192.168.17.0这个网段的所有主机,并告之它就是网关,被欺骗主机的数据都发送到MAC地址为00:20:ED:AA:0D:04的主机上去了,但是从我抓取的数据包中,MAC为00:20:ED:AA:0D:04的主机并没有欺骗真正的网关,所以我们的网络会出现断网现象。

4.补充内容

对于ARP攻击的故障,我们还是可以防范的,以下三种是常见的方法:

方法一:平时做好每台主机的MAC地址记录,出现状况的时候,可以利用MAC地址扫描工具扫描出当前网络中主机的MAC地址对应情况,参照之前做好的记录,也可以找出问题主机。

方法二:ARP–S可在MS-DOS窗口下运行以下命令:ARP–S手工绑定网关IP和网关MAC。静态绑定,就可以尽可能的减少攻击了。需要说明的是,手工绑定在计算机重起后就会失效,需要再绑定,但是我们可以做一个批处理文件,可以减少一些烦琐的手工绑定!

方法三:使用软件(Antiarp)使用AntiARPSniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。

【编辑推荐】

  1. 专题:ARP攻击防范与解决方案
  2. ARP Sinffer攻防实例讲解
  3. 教你使用Anti ARP Sniffer查找ARP攻击者
  4. ARP欺骗攻击原理也可以这样理解
责任编辑:老杨 来源: 51CTO技术论坛
ARP病毒ARP攻击抓包ARPResponseARPRequest
相关推荐
ARP欺骗攻击原理与防治方法描述
以下的文章主要描述的是ARP欺骗攻击原理与对其防治的实际操作方法,以及对ARP欺骗的二种手段的描述,以下就是文章的主要内容讲述。

2010-09-29 10:21:50

如何防范ARP欺骗攻击
在局域网内,ARP攻击依然占有很高比例。众所周知,ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。更何况ARP协议是工作在更低于IP协议的协议层,因此它的危害就更加隐蔽。

2010-09-16 15:39:18

深入解析ARP欺骗攻击
ARP(地址解析协议)是在仅知道主机的IP地址时确定其物理地址的一种协议。因IPv4和以太网的广泛应用,其主要用作将IP地址翻译为以太网的MAC地址,但其也能在ATM和FDDIIP网络中使用。本文将为大家详细剖析ARP欺骗,它主要分为双向欺骗和单向欺骗。

2013-04-01 10:12:39

ARP欺骗攻击与防范
网络虚拟社会也存在着各式各样的虚假信息,从黑客攻击掉网络钓鱼甚至社会工程学欺诈,我们所要面对的安全问题比比皆是。ARP(AddressResolutionProtocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。一些攻击者通过利用ARP欺骗技术实现对数据的截取和侦听。

2010-09-07 10:44:14

深入解析ARP欺骗攻击防护之方法介绍
ARP欺骗攻击反复袭击,是近来网络行业普遍了解的现象,随着ARP攻击的不断升级,不同的解决方案在市场上流传。但是最近发现,有一些方案,从短期看来似乎有效,实际上对于真正的ARP攻击发挥不了作用,也降低局域网工作效率。很多公司的技术服务人员接到很多用户反应说有些ARP防制方法很容易操作和实施,但经过实际深入了解后,发现长期效果都不大。

2011-04-06 10:31:53

深入解析ARP欺骗攻击防护之ARP
本文在介绍ARP欺骗攻击防护之前首先向大家了ARP的基本信息,以便大家查阅,帮助大家理解ARP。

2011-04-06 10:23:46

解决linux下ARP攻击方法
Windows下的用户可以使用antiArp防火墙,基本上能解决问题,可是喜欢linux的兄弟姐妹们怎么办呢,我今天就遇到这个档子烦心事。

2012-11-16 13:26:16

七种简易方法助你抵御ARP欺骗攻击
在局域网内,ARP攻击依然占有很高比例。下面介绍五种简单方法帮助你快速解决之。

2009-07-23 16:50:04

Linux里防范arp病毒攻击
计算机日复一日发展,网络已经越来越离不开生活。现在arp病毒太猖狂,局域网里tcpdump一查看好机台机子都在搞arp攻击。现将防毒经验奉上。

2009-12-11 14:46:13

如何防ARP欺骗和IP冲突攻击
在局域网中经常会有攻击者发起恶意攻击。一般攻击者会使用“网络执法官、网络剪刀手、网络特工、P2P终结者”这类的软件,发送数据包改变ARP缓存中的网关IP对应的MAC地址,导致找不到真正的网关而不能连接Internet。

2010-01-11 10:46:31

上网故障 别总拿ARP欺骗病毒说事
对于企业网络管理员来说最头疼的恐怕就要属ARP欺骗病毒了,这类病毒会造成全内网所有主机的上网困难,然而在实际维护过程中由于ARP欺骗病毒的特性使得很多网络管理员发现上网故障后就直接从ARP欺骗解决办法下手,下面我们给大家详细介绍一下ARP欺骗病毒。

2011-11-10 10:53:11

ARP协议欺骗攻击坚决说不!
如何防止ARP协议欺骗攻击呢?现在我们就来学习一下防止攻击的方法吧。主要有两个方法:sniffer检测法和DHCP结合静态捆绑法。

2010-06-09 15:30:51

病毒、木马ARP攻击行为原理分析及解决思路
我们首先要了解一下ARP(AddressResolutionProtocol)地址解析协议,它是一种将IP地址转化成物理地址的协议。ARP具体说来就是将网络层(TCPIP协议的IP层,也就是相当于OSI的第三层)......

2009-10-28 10:22:48

linux下解决arp病毒攻击时上网问题治标办法
现在arp病毒太猖狂,局域网里tcpdump一查看好机台机子都在搞arp攻击,路由器又不支持客户机ip和mac地址绑定,深受arp病毒之苦,本文将linux下防ARP毒方法奉上,供各位参考。

2011-08-30 15:09:13

ARP欺骗实现
ARP欺骗是用处很大的一个技术,我们的路由器整天在欺骗我们的PC,没有这个欺骗我们就不能上网。

2012-12-13 10:34:35

ARP欺骗
实例解析通过流量检测查找ARP欺骗
笔者的工作单位是一所学校,最近学校的一栋教学楼内的网络突然出现时断时好的现象,这可是严重影响了学校的正常教学和工作,情况危急,需要马上解决!

2010-09-16 16:06:37

Cisco环境下解决ARP欺骗问题
ARP欺骗就是利用这里面的第二条,攻击的主机发送一个ARP更新,条目的ip地址是网关,但是MAC地址一项,却不是网关,当其他主机接受到,会根据ARP协议的规则,越新的越可靠的原则,达到欺骗的目的。

2010-08-20 10:41:43

系统安全:linux下防范arp欺骗攻击
arp欺骗的原理不多述,基本就是利用发送假的arp数据包,冒充网关。一般在网上通讯的时候网关的IP和MAC的绑定是放在arp缓存里面的......

2009-08-17 08:24:52

深入解析ARP欺骗攻击防护之根本防护
本文主要向大家介绍了ARP欺骗攻击防护的根本防护,希望大家多多掌握。

2011-04-06 10:36:21

原理到应用:谈解决ARP攻击方法(1)
由于ARP攻击的变种版本之多,传播速度之快,很多技术人员和企业对其束手无策。下面就来给大家从原理到应用谈一谈这方面的话题。希望能够帮大家解决此类问题,净化网络环境。

2011-06-22 16:35:59

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服