ARP攻擊方式技術(shù)總結(jié)及其防御

這種攻擊其實(shí)就是連續(xù)大量發(fā)送正常ARP 請(qǐng)求包,耗費(fèi)主機(jī)帶寬,這種攻擊在局域網(wǎng)里面意義不算太大,例如ADSL貓,發(fā)送ARP 請(qǐng)求,幾分終就會(huì)讓它死掉,這種數(shù)據(jù)包是屬于正常包,不會(huì)被ARP防火墻和交換機(jī)過(guò)濾掉，此解決方法,在一些交換機(jī)中做流量限制,其防護(hù)難度還是比較大的。

ARP返回?cái)?shù)據(jù)包欺騙

這種欺騙是最常見(jiàn)的一種欺騙,就是向主機(jī)發(fā)送ARP返回?cái)?shù)據(jù)包,這種包把IP做成網(wǎng)關(guān)地址,發(fā)送端的物理地址是自己的或偽造的,讓對(duì)方電腦的IP--MAC地址表出現(xiàn)錯(cuò)誤,當(dāng)IP報(bào)文把這個(gè)硬件地址添到數(shù)據(jù)中發(fā)送就會(huì)出現(xiàn)找不到正確的物理出口地址。這種的防護(hù)比較簡(jiǎn)單,用ARP -S 綁定網(wǎng)關(guān),還有就是用ARP 防火墻,不過(guò)這種欺騙可能會(huì)被路由器發(fā)送的正確的地址給覆蓋掉。

ARP請(qǐng)求欺騙

ARP 請(qǐng)求欺騙也是比較常見(jiàn)的,他是ARP的請(qǐng)求協(xié)議.在目的IP和MAC地址上都沒(méi)錯(cuò)誤,錯(cuò)誤是請(qǐng)求者的MAC地址有問(wèn)題,并不真的 .這種欺騙和返回欺騙僅OP值不同。防護(hù)辦法和上面那種一樣

ARP全網(wǎng)請(qǐng)求欺騙

這種欺騙是請(qǐng)求欺騙和返回欺騙的更進(jìn)一步延伸,原理就是把以太幀頭的目標(biāo)地址改成FF-FF-FF-FF-FF-FF就是廣播到所有主機(jī),源地址IP地址或是網(wǎng)關(guān)IP地址,物理地址是假的MAC地址，切記在目的IP中，是192.168.1.255組播地址。這種防護(hù)方法和上面相同,網(wǎng)絡(luò)執(zhí)法管一類(lèi)軟件的全網(wǎng)阻斷功能就是用這種方法實(shí)現(xiàn).

ARP中間人欺騙

這種欺騙是在交換機(jī)下面進(jìn)行的,有人說(shuō)交換環(huán)境下面數(shù)據(jù)流是安全的,下面這種攻擊方式就是針對(duì)交換機(jī).大概的流程是這樣的,A B C三臺(tái)電腦,A 和 C進(jìn)行正常通訊,B發(fā)起中間攻擊,B首先發(fā)送ARP欺騙告訴A我B就是C,然后告訴C我B就是A.這樣A和C之間的數(shù)據(jù)傳輸過(guò)程就被B完全給查看到了,說(shuō)起來(lái)有點(diǎn)啰唆,這種欺騙也要做一個(gè)數(shù)據(jù)轉(zhuǎn)發(fā)機(jī)制,不然A和C之間的通訊就會(huì)斷掉,如P2P終結(jié)者就是這類(lèi)欺騙。

ARPIP地址沖突

P地址沖突也是ARP 數(shù)據(jù)包造成的,他就是把以太網(wǎng)幀頭地址廣播,包里面的源IP地址和目的IP地址是一樣,這種包是很常見(jiàn)的,有可能大家都不知道,每次你PC開(kāi)機(jī)的時(shí)候他都會(huì)把自己IP地址廣播一下,看下有沒(méi)有計(jì)算機(jī)使用相同IP地址,這種廣播給它定義成”免費(fèi)ARP”這種廣播直接用ARP防火墻就可以過(guò)濾掉.其實(shí)這種包也不會(huì)造成斷網(wǎng),只是老彈出煩人的對(duì)話(huà)框,象長(zhǎng)角牛網(wǎng)絡(luò)監(jiān)控就有一種是發(fā)送這樣的一種包

ARP網(wǎng)關(guān)欺騙

這種欺騙是從另一種欺騙方法的延伸，假如客戶(hù)端做了網(wǎng)關(guān)靜態(tài)綁定，安裝了ARP防火墻你不能對(duì)它做欺騙，無(wú)法對(duì)它斷開(kāi)互連網(wǎng)，那我們就對(duì)網(wǎng)關(guān)進(jìn)行ARP欺騙。例如A是客戶(hù)端，B是服務(wù)器。A做了防護(hù)，并你想阻斷他上互聯(lián)網(wǎng)，那么我們對(duì)B做A的欺騙，就是把B認(rèn)為是臺(tái)電腦，一直給他發(fā)送A的虛假地址，這種包要連續(xù)不斷的，數(shù)據(jù)量要大些

ARP交換機(jī)欺騙{skiller }

這種攻擊方法是近兩年來(lái)才有的,現(xiàn)在給你們講出來(lái)就比較簡(jiǎn)單,以前從沒(méi)見(jiàn)過(guò)這種攻擊方法,原理講起來(lái)可能比較難懂,防護(hù)起來(lái)很麻煩,你要是攻擊我，現(xiàn)在我至少是沒(méi)辦法.原理就是改變了交換機(jī)的轉(zhuǎn)發(fā)列表。

ARP交換機(jī)欺騙攻擊思路

交換機(jī)是根據(jù)以太網(wǎng)ARP協(xié)議的源地址目地址幀頭來(lái)進(jìn)行轉(zhuǎn)發(fā)的,例如A在交換機(jī)的1號(hào)口,網(wǎng)關(guān)在3號(hào)口,交換機(jī)就按A發(fā)送的目的地址從3號(hào)口出去,為什么會(huì)這樣,是因?yàn)榻粨Q機(jī)內(nèi)部維護(hù)著一個(gè)動(dòng)態(tài)的地址列表,里面有MAC地址和物理端口的對(duì)照表,如果這個(gè)表是靜態(tài)不知道這種攻擊是否會(huì)生效.

首先我實(shí)施的方法是這樣的,a,b,c三臺(tái)PC.攻擊者是C.假如我想阻斷B主機(jī),在C者電腦上發(fā)送B到A的ARP 地址請(qǐng)求包,這個(gè)包是連續(xù)不斷的,然后B被阻斷,為什么會(huì)這樣那,B的請(qǐng)求數(shù)據(jù)是能發(fā)送出去的,他回的數(shù)據(jù)包就會(huì)被交換機(jī)轉(zhuǎn)到C電腦上,三次握手鏈接建立不成功,網(wǎng)絡(luò)就會(huì)被阻斷,我們可以按著這個(gè)思路做很多事情,這里就不一一舉例了。

總結(jié)

看到這里,各位朋友有點(diǎn)茫然，其實(shí)呢很簡(jiǎn)單，用風(fēng)云防火墻是一明智的選擇，上述各類(lèi)欺騙正常途徑都要先知道你的IP及MAC，開(kāi)啟風(fēng)云的安全模式后只會(huì)響應(yīng)網(wǎng)關(guān)的請(qǐng)求，對(duì)于局域網(wǎng)其它主機(jī)來(lái)說(shuō)就象不存在，對(duì)方要ping 你要ARP掃描你都是枉然，掃不到你認(rèn)為不存在也就談不上攻擊了，當(dāng)然你不開(kāi)啟風(fēng)云的主動(dòng)防御的話(huà)會(huì)還是會(huì)被上面的ARP網(wǎng)關(guān)欺騙這種方式攻擊成功，所以我的建議是對(duì)于現(xiàn)有我所知道的攻擊軟件來(lái)說(shuō)，開(kāi)啟風(fēng)云的ARP防護(hù)，開(kāi)啟安全模式，開(kāi)啟主動(dòng)防御，調(diào)到最高，開(kāi)啟IP沖突保護(hù)，都可以成功防范！

至于再靜態(tài)綁定網(wǎng)關(guān)在開(kāi)啟主動(dòng)防御的同時(shí)就沒(méi)有必要了,因?yàn)轱L(fēng)云的主防會(huì)最快每秒發(fā)60個(gè)請(qǐng)求包至網(wǎng)關(guān),通過(guò)網(wǎng)關(guān)回應(yīng)隨時(shí)更新緩存,手工靜綁了也會(huì)變?yōu)閯?dòng)態(tài).有人會(huì)說(shuō)，那skiller呢，呵呵，在風(fēng)云的主動(dòng)防御下對(duì)低頻率攻擊有效果，高強(qiáng)度下目前任何軟件都無(wú)法有效防御。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]