论坛积分策略 论坛VIP区开放申请 我爱电脑万人签名活动 原声大碟520欢迎你 广告位招租
‹‹ 上一主题 | 下一主题 ››
发新话题
打印

[网络安全] 网吧内网 ARP 攻击问题解决方案

查看作者资料 发送短消息 加为好友
楼主 发表于 2008-6-26 14:46  只看该作者

网吧内网 ARP 攻击问题解决方案

  打造最好的电脑自学交流论坛4 C/ S+ G. o" g! D; C! s

, ?4 ]5 a* m! I  [" O' k  什么是ARP协议?
( C0 Y# j# X( ?* y3 {8 A我爱电脑技术社区--打造最好的电脑技术自学交流平台www.520diannao.com& [$ \4 N3 t8 a# Z
  在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP攻击,能够在网络中产生大量的ARP通信量使网络阻塞。
6 u" m$ S% |5 v. c& r+ X: ?www.520diannao.com电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站& h6 f3 z' V% R+ `( ^( g( \2 k, o
  ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。
/ [9 N/ B" g. m. ?/ M) Z: \8 Qwww.520diannao.com% ^2 R- F0 l, s& b
  所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。所以说从某种意义上讲ARP协议是工作在更低于IP协议的协议层。这也是为什么ARP攻击更能够让人在神不知鬼不觉的情况下出现网络故障,他的危害更加隐蔽。
2 q; k/ l  R% g8 C% Qwww.520diannao.com我爱电脑技术论坛4 K4 r* Z$ D* w' C9 L8 B  E/ F$ T
  ARP攻击的表现 我爱电脑技术社区--打造最好的电脑技术自学交流平台3 v* W- B0 W% y$ i. @9 a" E

/ {) i4 N% V# X  u% j打造最好的电脑自学交流论坛  ARP攻击可以造成内部网络的混乱,让某些被攻击的计算机无法正常访问内外网,让网关无法和客户端正常通信。实际上他的危害还不仅仅如此,一般来说IP地址的冲突我们可以通过多种方法和手段来避免,而ARP协议工作在更低层,隐蔽性更高。系统并不会判断ARP缓存的正确与否,无法像IP地址冲突那样给出提示。
& J3 ]5 ?/ p3 V8 d+ B电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站: B5 M! V- O5 \: V
  而且很多黑客工具例如网络剪刀手等,可以随时发送ARP攻击数据包和ARP恢复数据包,这样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否,甚至还可以直接对网关进行攻击,让所有连接网络的计算机都无法正常上网。 9 ?7 n- Q. D' I) l7 X- D6 _
% `9 ?0 `* u' U, a% r9 R
  这点在以前是不可能的,因为普通计算机没有管理权限来控制网关,而现在却成为可能,所以说ARP攻击的危害是巨大的,而且非常难对付,非法用户和恶意用户可以随时发送ARP攻击和恢复数据包,这样就增加了网络管理员查找真凶的难度。 www.520diannao.com+ s& L) ~3 R7 @

! q# A* A1 e! m! L% Qwww.520diannao.com  ARP攻击的危害我爱电脑技术社区--打造最好的电脑技术自学交流平台) l! |& C2 |$ y4 @
打造最好的电脑自学交流论坛. v, {: f9 u. ~9 \
  网上银行、游戏及QQ账号的频繁被盗 www.520diannao.com, K# f& x6 c) f

1 x0 y$ U, W5 b8 ^% C* Q" T我爱电脑技术论坛  一些人为了获取非法利益,利用ARP攻击程序在网内进行非法活动,此类程序的主要目的在于破解账号登陆时的加密解密算法,通 过截取局域网中的数据包,然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒,就可以获得整个局域网中上网用 户账号的详细信息并盗取。
' x8 W) r7 ?" o$ r我爱电脑技术论坛电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站  }7 A6 \, Q& M/ n. X; S  b$ ]- G6 V/ X
  网速时快时慢,极其不稳定,但单机进行外网数据测试时一切正常
/ T) g& b& Y9 B我爱电脑技术论坛% D) W- l4 K; i+ c
  当局域内的某台计算机被ARP的攻击程序非法侵入后,它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP攻击数据包, 阻塞网络通道,造成网络设备的承载过重,导致网络的通讯质量不稳定。
1 r! p/ c" m5 }% @* G1 D; Uwww.520diannao.com
$ Z' {5 c/ q$ u# i7 H我爱电脑技术社区--打造最好的电脑技术自学交流平台  局域网内频繁性区域或整体瞬时掉线,重启计算机或网络设备后恢复正常 我爱电脑技术社区--打造最好的电脑技术自学交流平台! e- D* i3 d% T2 y+ c7 l

. g5 K9 |/ t* r6 `打造最好的电脑自学交流论坛  当带有ARP攻击程序的计算机在网内进行通讯时,就会导致频繁掉线,即所谓的“闪断”。出现此类问题后重启计算机或禁用网卡会暂时解决问题,但掉线情况还会发生。
# Y3 w  G/ w" d5 o! d" q9 e) n
  ARP攻击的判定 打造最好的电脑自学交流论坛  P; W# Z$ O" D8 F
电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站! D  o7 R$ `7 P
  当发现网络非正常时,网管可任找一台机器,开启DOS窗口并输入“arp -a” 命令, 会发现很多不同IP地址有着相同的MAC地址表:
- s/ R+ {4 m. z$ e8 F: t我爱电脑技术论坛www.520diannao.com, }- V* k2 S7 i& D
  Interface: 192.168.0.1 on Interface 0x1000004
4 P) C: \3 ]8 B, q6 K* \7 l电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站
" I% b" n+ B/ D; |2 R我爱电脑技术论坛  Internet Address   Physical Address   Type我爱电脑技术社区--打造最好的电脑技术自学交流平台: Q- w* x0 l, a: p

7 Y8 G3 _( s: B; Jwww.520diannao.com  192.168.0.1       00-e0-1c-8c-9a-0e   dynamic我爱电脑技术社区--打造最好的电脑技术自学交流平台5 ?; a7 K9 U! l& ^
我爱电脑技术论坛" d( }5 M/ f6 R! q" o
  192.168.0.101     00-e0-4c-8c-9a-47   dynamic打造最好的电脑自学交流论坛2 d5 T& z: a/ R1 B3 c) F
4 N$ D. ]# u, }& {9 y& Y& B4 d$ h
  192.168.0.102     00-e0-4c-8c-9a-47   dynamicwww.520diannao.com  s9 Z  ?4 X' R" _4 r* E
我爱电脑技术社区--打造最好的电脑技术自学交流平台; Y; J3 N9 P0 I
  192.168.0.104     00-e0-4c-8c-81-cc   dynamic
7 F' f9 e/ d: M+ d8 s: v打造最好的电脑自学交流论坛www.520diannao.com# T+ U6 V% H+ f7 S; r) B& W6 d: N+ I
  192.168.0.105     00-e0-4c-8c-9a-47   dynamic打造最好的电脑自学交流论坛; a) Z) B) L: r" ]% ~

# o; p+ m! W  f, k, Z6 V2 _www.520diannao.com  192.168.0.106     00-e0-4c-8c-9a-47   dynamic# ]! ^: Q( v$ R' t

2 l+ p4 a7 J/ ^0 C7 F' o, jwww.520diannao.com  192.168.0.107     00-e0-4c-8c-9a-47   dynamicwww.520diannao.com6 A1 `1 a+ K% a
我爱电脑技术论坛- Q; k8 k5 q$ c
  192.168.0.108     00-e0-4c-8c-9a-47   dynamic
# v; Y/ c, b  b/ G+ X7 n. d我爱电脑技术社区--打造最好的电脑技术自学交流平台
/ K- Q3 ?" Z7 v& w% Z) V3 b* ~  192.168.0.112     00-e0-4c-8c-9a-47   dynamic打造最好的电脑自学交流论坛4 p. e- h; }, o+ }) ]7 w5 T/ B
www.520diannao.com* y2 B: L- q2 d
  192.168.0.114     00-e0-4c-8c-81-cc   dynamic
' l# U( M0 Q; F) {9 e; _6 S我爱电脑技术社区--打造最好的电脑技术自学交流平台我爱电脑技术社区--打造最好的电脑技术自学交流平台' D! g& R% L# T. [: v
  192.168.0.115     00-e0-4c-8c-9a-47   dynamic' o3 p2 o# O# r& W" ?! H/ a

2 j" }, O, x/ R) i, s2 o" Q我爱电脑技术论坛  192.168.0.116     00-e0-4c-8c-9a-47   dynamic电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站8 _) ~6 f: L2 {+ s

9 H, o# H) N, A# W$ [; H打造最好的电脑自学交流论坛  192.168.0.117     00-e0-4c-8c-9a-47   dynamic我爱电脑技术社区--打造最好的电脑技术自学交流平台( l1 w0 m2 K/ p* N! o' O
打造最好的电脑自学交流论坛0 T% S# z: E% d: Z& k% Y; n) ]
  我们可以断定MAC地址为00-e0-4c-8c-9a-47的机器感染了病毒。然后需要网管在每台工作站DOS窗口中输入“ipconfig /all” 命令,察看每台机器的MAC地址: 电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站5 a: K5 F7 v3 h4 D( B. x
打造最好的电脑自学交流论坛4 b' q! m( u2 _1 Y  X
  Connection-specific DNS Suffix . :电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站  W' `" A1 R3 [5 K* z* L- k

- g2 \7 @$ W  x0 h2 ~% W! R5 [  Description . . . . . . . . . . . : RTL8139我爱电脑技术论坛" X/ J4 h3 K, o& X
打造最好的电脑自学交流论坛  p& |9 k; N4 K) d8 }: `
  Physical Address. . . . . . . . . : 0-e0-4c-8c-9a-47
8 }: _/ N+ f- @( G: |电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站3 |( |) o4 L! y/ _( B) Q
  DHCP Enabled. . . . . . . . . . . : No我爱电脑技术论坛# V$ A6 ?4 j! B# q% ?, d) P

3 Y9 u3 B0 a6 z我爱电脑技术论坛  IP Address. . . . . . . . . . . . : 192.168.0.133
5 N% y" \: V5 d7 e- c" ywww.520diannao.comwww.520diannao.com4 ~& R2 S( b3 R) K  _0 q0 l
  Subnet Mask . . . . . . . . . . . : 255.255.255.0打造最好的电脑自学交流论坛5 v7 V$ n1 J8 A. y9 \

! ~6 I! I. _0 V' ^1 x' Y! T: ^我爱电脑技术社区--打造最好的电脑技术自学交流平台  Default Gateway . . . . . . . . . : 192.168.0.1www.520diannao.com4 j/ Q' z# P# V: |8 U
我爱电脑技术论坛( W! M; Y; H) }( Q
  DNS Servers . . . . . . . . . . . : 61.177.7.1
/ _8 }8 O* I, m我爱电脑技术社区--打造最好的电脑技术自学交流平台
9 ~: S6 M; b2 u5 r& B5 s( O* t打造最好的电脑自学交流论坛  通过以上步骤定位到染毒的机器。
' {* d/ \' ?9 V+ N电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站
. r0 M% R0 h6 w! o" f* n我爱电脑技术社区--打造最好的电脑技术自学交流平台  ARP攻击防护方案打造最好的电脑自学交流论坛* ~- q8 S' V5 a/ L8 n

, ~  Q  ^# m8 @: Q: k1 r. O电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站  双向绑定 打造最好的电脑自学交流论坛$ T- t) N6 v* I* T: F% [. w/ Z
打造最好的电脑自学交流论坛/ W0 j5 `( n2 C( `: Q$ n4 @. ^
  之前我们介绍过ARP欺骗主要是通过伪造IP地址和MAC地址实现的. 因此,我们不要把网络安全信任关系建立在IP基础上或MAC基础上,理想的关系应该建立在IP+MAC基础上。 电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站. F& V5 `: ~. B6 T- ?1 C

2 X+ X0 s( N6 w; U! H- M我爱电脑技术论坛  海蜘蛛路由系统支持MAC和IP地址双向绑定.强行让MAC和IP一一对应,保证ARP表不被更改,从而防止了ARP欺骗的发生.同时系统提供ARP攻击报警功能,当内网里出现ARP攻击的时候,系统会及时鸣笛预警,并显示问题主机.以方便网络管理人员能即时修复问题主机。 打造最好的电脑自学交流论坛; o+ w! w! J$ z8 w" g' V
我爱电脑技术社区--打造最好的电脑技术自学交流平台+ y7 F+ x* I# }/ o
  我爱电脑技术论坛( `1 Q6 t5 t  B" v
www.520diannao.com! Q! e5 @" s! A# H& _' \: x- j
  绑定方式我们提供了普通绑定和强制绑定,使用者可以根据网络的要求来自行选择。导入方式我们也提供了多种方法,1. 手动一条条的导入对应信息。2. ARP扫描当前局域网所以机器的IP和MAC的对应关系,或者选择从当前ARP缓存里面直接导入。同时路由还会定期自动扫描局域网中未绑定的机器,以方便使用者添加. 打造最好的电脑自学交流论坛# h2 a/ W1 i8 U3 o# e. l

9 v: S) S% ?8 K% h  `我爱电脑技术论坛  PPPOE服务器模式
; Y( q# v2 q! r' U0 l! Q( P我爱电脑技术社区--打造最好的电脑技术自学交流平台3 z% `9 o5 I4 o# |4 Y
  除了双绑以外还可以采用另外一种方式来防止ARP欺骗,就是开启海蜘蛛路由系统里的PPPOE服务器,设置一组帐号和密码,然后每台客户机建立一个PPPOE拨号连接,通过认证的方式接入路由器,最后由路由器NAT转发到外网. 我爱电脑技术社区--打造最好的电脑技术自学交流平台2 b5 I# w1 O* F
电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站- e# r7 l. K9 X# J8 W& m7 Y
  由于这种方式相当于是给每台客户机与路由之间单独建立了一条虚拟线路,而不是通过ARP表的转发,因此从根本上杜绝了ARP欺骗的可能性。 www.520diannao.com) m$ D  |: s1 x4 v& r7 e8 e

3 L: _2 |9 K; g1 `1 Gwww.520diannao.com  安装ARP神盾 (推荐)
0 R# ]4 M8 ?. S) |# s3 Z7 N
  W- F) m# f. m; l# `9 r+ q  在客户机上安装使用客户端软件-海盾安全防护软件,可以彻底解决ARP攻击问题,同时还可以有效防御内网 DoS/DDoS 攻击。

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题