Download
1 / 26
270 likes | 490 Views
ARP 攻击原理及解决方案. 现教中心. 什么是 ARP?. ARP 协议是“ Address Resolution Protocol” (地址解析协议)的缩写。 计算机通过 ARP 协议将 IP 地址转换成 MAC 地址。. ARP 协议工作原理. 在以太网中,数据传输的目标地址是 MAC 地址,一个主机要和另一个主机进行直接通信,必须要知道目标主机的 MAC 地址。 计算机使用者通常只知道目标机器的 IP 信息,“地址解析”就是主机在发送帧前将目标 IP 地址转换成目标 MAC 地址的过程。
E N D
ARP攻击原理及解决方案 现教中心
什么是ARP? • ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。 • 计算机通过ARP协议将IP地址转换成MAC地址。
ARP协议工作原理 • 在以太网中,数据传输的目标地址是MAC地址,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。 • 计算机使用者通常只知道目标机器的IP信息,“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。 • 简单地说,ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址,即网卡的MAC地址,保障通信顺利尽心。
ARP协议工作原理 我需要知道176.16.3.2的物理地址. 172.16.3.1 172.16.3.2 IP: 172.16.3.2 = ???
ARP协议工作原理 我需要知道176.16.3.2的物理地址. 我知道你的请求,这是我的物理地址 172.16.3.1 172.16.3.2 IP: 172.16.3.2 = ???
ARP协议工作原理 我需要知道176.16.3.2的物理地址. 我知道你的请求,这是我的物理地址 172.16.3.1 172.16.3.2 IP: 172.16.3.2 = ??? IP: 172.16.3.2 Ethernet: 0800.0020.1111
什么是ARP欺骗? • 每个主机都用一个ARP高速缓存存放最近IP地址到MAC地址之间的映射记录。 • 默认情况下,ARP从缓存中读取IP-MAC条目,缓存中的IP-MAC条目是根据ARP响应包动态变化的。 • 只要网络上有ARP响应包发送到本机,即会更新ARP高速缓存中的IP-MAC条目。 • 攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,完成ARP欺骗。
一个简单的案例 主机B 192.168.0.2 BB-BB-BB-BB-BB-BB 主机A 192.168.0.1 AA-AA-AA-AA-AA-AA ARP应答包:主机B的MAC地址 为CC-CC-CC-CC-CC-CC 主机A 的ARP 缓存表 192.168.0.2 BB-BB-BB-BB-BB-BB dynamic 主机C 192.168.0.3 CC-CC-CC-CC-CC-CC
一个简单的案例 主机B 192.168.0.2 BB-BB-BB-BB-BB-BB 主机A 192.168.0.1 AA-AA-AA-AA-AA-AA ARP应答包:主机B的MAC地址 为CC-CC-CC-CC-CC-CC 主机A 的ARP 缓存表 192.168.0.2 CC-CC-CC-CC-CC-CC dynamic 主机C 192.168.0.3 CC-CC-CC-CC-CC-CC
一个简单的案例 主机B 192.168.0.2 BB-BB-BB-BB-BB-BB 主机A 192.168.0.1 AA-AA-AA-AA-AA-AA 发给主机B的信息 主机A 的ARP 缓存表 192.168.0.2 CC-CC-CC-CC-CC-CC dynamic 主机C 192.168.0.3 CC-CC-CC-CC-CC-CC
一个简单的案例 主机B 192.168.0.2 BB-BB-BB-BB-BB-BB 主机A 192.168.0.1 AA-AA-AA-AA-AA-AA 发给主机B的信息 主机A 的ARP 缓存表 192.168.0.2 CC-CC-CC-CC-CC-CC dynamic 主机C 192.168.0.3 CC-CC-CC-CC-CC-CC • 主机C通过这种方式可以窃取主机A发送给主机B的信息; • 为了使过程更加隐蔽,主机C还可以将数据包转发给主机B,从而使主机A和B都不能察觉,这种攻击方式称为Man In The Middle--中间人攻击。 • 中间人攻击经常被用来窃取帐号信息,如传奇木马;还可以在转发数据的时候添加恶意程序。
一个简单的案例 网关 192.168.0.2 BB-BB-BB-BB-BB-BB 主机A 192.168.0.1 AA-AA-AA-AA-AA-AA 需要经过网关 中转的信息 主机A 的ARP 缓存表 192.168.0.2 CC-CC-CC-CC-CC-CC dynamic 主机C 192.168.0.3 CC-CC-CC-CC-CC-CC • 如果把主机B换成网关,会使主机A因为无法找到正确的网关,从而无法访问出去,造成上网中断; • 同样,主机C可以开启IP转发功能,完成中间人攻击或者在转发的数据中添加恶意程序。同时可以监听整个网段内的数据通信。
ARP欺骗时的现象 • 网络掉线,但网络连接正常; • 内网的部分PC机不能上网,或者所有电脑不能上网; • 无法打开网页或打开网页慢; • 局域网时断时续并且网速较慢等。
如何快速判断自己被ARP欺骗? • 出现异常,不能上网的情况下,打开“开始”-“运行”,在CMD窗口中输入“arp –d”,然后重新尝试上网,如果可以上网,说明之前是由于ARP欺骗造成的; 误区:不能上网的机器未必是感染了ARP病毒的机器,而应该是被ARP欺骗的机器。 因此在该机器上杀毒是没有意义的。
如何防御ARP欺骗? 方法一:使用AntiArpSniffer定位ARP攻击源。 AntiArpSniffer功能简介:帮助侦测定位网络中Arp攻击的来源,并保证遭受Arp攻击的网络中的主机在执行该工具的自动保护功能后能正常的与网关通信 工具下载地址:http://www.colorsoft.com.cn/soft/AntiArpSniffer3.zip
AntiArpSniffer使用说明 • 开启Anti ARP Sniffer,输入网关IP地址,点击[枚取MAC]如你网关填写正确将会显示出网关的MAC地址。
AntiArpSniffer使用说明 • 点击 [自动保护] 即可保护当前网卡与网关的正常通信。
AntiArpSniffer使用说明 • 追踪ARP攻击者:点击[追捕欺骗机],就能查找到攻击源。 1.点击相应的记录 2.点击按钮查找攻击源
恢复网络方法 • 通过以上方法可以快速发现此类攻击行为,并得知攻击源的MAC地址。 • 这个时候你有两种方法来快速恢复网络。如果你的二层交换机支持单个端口的配置,那么封锁此网卡连接的交换机的端口;否则,你需要通过资产管理资料,找到这台机器的物理位置,拔调此机器的网线。某些网络可能难以通过MAC地址找到机器的物理位置,这个时候需要用一些迂回的方式,比如大家都不能联网的时候,有一台机器可以,那么一般来说这个机器就是攻击源了。 • 通过以上两种方式隔离此机器后,等ARP缓存更新后,其他机器即可正常联网。一般来说MS Windows高速缓存中的每一条记录包括ARP的生存时间一般为60秒。
360安全卫士 • 打开360安全卫士的arp防火墙 • 一般自动即可,如果仍然无法上网,就开启手动 • 填入 ip地址 mac地址
如何防御ARP欺骗? 方法二:在OfficeScan上部署病毒爆发防御策略 选中需要保护的机器,点击爆发阻止,选择立即部署,如下图,勾选;拒绝写入文件和文件夹选项
病毒爆发防御策略 在拒绝写入设置界面中输入要保护的目录C:\windows\system32\drivers(适合XP系统),C:\winnt\system32\drivers(适合2000系统),点击添加,然后点击保存,返回;
病毒爆发防御策略 • 在返回之后点击立即激活,激活拒绝写入配置,这样可将该计算机的drivers目录设置为写保护状态,不能写入文件,避免病毒在该目录下写入驱动文件。对该目录进行写保护不会影响用户的正常应用(notes,office,上网等操作没有影响)。
预防ARP欺骗的几点建议 • 不要把你的网络安全信任关系建立在IP基础上或MAC基础上,理想的关系应该建立在IP+MAC基础上。 • 设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。 • 除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。 • 使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。 • 使用""proxy""代理IP的传输。 • 使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。 • 管理员定期轮询,检查主机上的ARP缓存。
如何在ARP病毒中反思? • 单台机器保护的再好,仍然会被ARP欺骗影响,轻则上网受影响,重则重要信息被窃 因此 • 网络中哪怕只有一台机器中了ARP病毒,也会使整个网络不得安宁 因此 • 整体网络安全才是真正的安全,木桶原理被ARP病毒诠释的淋漓尽致 因此 • 突出整体解决方案的优势,联防联动,可以保障木桶的每根木头都尽量长!
