最近網(wǎng)絡(luò)中有主機(jī)頻繁斷線����,剛剛開(kāi)始還比較正常,但是一段時(shí)間后就出現(xiàn)斷線情況�����,有時(shí)很快恢復(fù)���,但是有時(shí)要長(zhǎng)達(dá)好幾分鐘啊�,這樣對(duì)工作影響太大了���。最初懷疑是否是物理上的錯(cuò)誤�,總之從最容易下手的東西開(kāi)始檢查��,檢查完畢后沒(méi)有發(fā)現(xiàn)異常�!突然想到目前網(wǎng)上比較流行的ARP攻擊,ARP攻擊出現(xiàn)的故障情況與此非常之相似���!對(duì)于ARP攻擊����,一般常規(guī)辦法是很難找出和判斷的,需要抓包分析�。
1.原理知識(shí)
在解決問(wèn)題之前,我們先了解下ARP的相關(guān)原理知識(shí)����。
ARP原理:
首先,每臺(tái)主機(jī)都會(huì)在自己的ARP緩沖區(qū)(ARPCache)中建立一個(gè)ARP列表��,以表示IP地址和MAC地址的對(duì)應(yīng)關(guān)系�����。當(dāng)源主機(jī)需要將一個(gè)數(shù)據(jù)包要發(fā)送到目的主機(jī)時(shí)����,會(huì)首先檢查自己ARP列表中是否存在該IP地址對(duì)應(yīng)的MAC地址,如果有﹐就直接將數(shù)據(jù)包發(fā)送到這個(gè)MAC地址�����;如果沒(méi)有��,就向本地網(wǎng)段發(fā)起一個(gè)ARP請(qǐng)求的廣播包����,查詢此目的主機(jī)對(duì)應(yīng)的MAC地址。此ARP請(qǐng)求數(shù)據(jù)包里包括源主機(jī)的IP地址�����、硬件地址��、以及目的主機(jī)的IP地址��。
網(wǎng)絡(luò)中所有的主機(jī)收到這個(gè)ARP請(qǐng)求后���,會(huì)檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致�。如果不相同就忽略此數(shù)據(jù)包���;如果相同��,該主機(jī)首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中����,如果ARP表中已經(jīng)存在該IP的信息�����,則將其覆蓋,然后給源主機(jī)發(fā)送一個(gè)ARP響應(yīng)數(shù)據(jù)包�,告訴對(duì)方自己是它需要查找的MAC地址;源主機(jī)收到這個(gè)ARP響應(yīng)數(shù)據(jù)包后����,將得到的目的主機(jī)的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息開(kāi)始數(shù)據(jù)的傳輸�。如果源主機(jī)一直沒(méi)有收到ARP響應(yīng)數(shù)據(jù)包,表示ARP查詢失敗���。
ARP欺騙原理:
我們先模擬一個(gè)環(huán)境:
網(wǎng)關(guān):192.168.1.1 MAC地址:00:11:22:33:44:55
欺騙主機(jī)A:192.168.1.100 MAC地址:00:11:22:33:44:66
被欺騙主機(jī)B:192.168.1.50 MAC地址:00:11:22:33:44:77
欺騙主機(jī)A不停的發(fā)送ARP應(yīng)答包給網(wǎng)關(guān)�����,告訴網(wǎng)關(guān)他是192.168.1.50主機(jī)B���,這樣網(wǎng)關(guān)就相信欺騙主機(jī),并且在網(wǎng)關(guān)的ARP緩存表里就有192.168.1.50對(duì)應(yīng)的MAC就是欺騙主機(jī)A的MAC地址00:11:22:33:44:66����,網(wǎng)關(guān)真正發(fā)給主機(jī)B的流量就轉(zhuǎn)發(fā)給主機(jī)A;另外主機(jī)A同時(shí)不停的向主機(jī)B發(fā)送ARP請(qǐng)求����,主機(jī)B相信主機(jī)A為網(wǎng)關(guān)�,在主機(jī)B的緩存表里有一條記錄為192.168.1.1對(duì)應(yīng)00:11:22:33:44:66�����,這樣主機(jī)B真正發(fā)送給網(wǎng)關(guān)的數(shù)據(jù)流量就會(huì)轉(zhuǎn)發(fā)到主機(jī)A�����;等于說(shuō)主機(jī)A和網(wǎng)關(guān)之間的通訊就經(jīng)過(guò)了主機(jī)A��,主機(jī)A作為了一個(gè)中間人在彼此之間進(jìn)行轉(zhuǎn)發(fā)�,這就是ARP欺騙�。
2.解決方法
看來(lái)只有抓包了,首先���,我將交換機(jī)做好端口鏡像設(shè)置�����,然后把安裝有科來(lái)網(wǎng)絡(luò)分析系統(tǒng)的電腦接入鏡像端口��,抓取網(wǎng)絡(luò)的所有數(shù)據(jù)進(jìn)行分析���。通過(guò)幾個(gè)視圖我得出了分析結(jié)果:診斷視圖提示有太多"ARP無(wú)請(qǐng)求應(yīng)答"���。
在診斷中,我發(fā)現(xiàn)幾乎都是00:20:ED:AA:0D:04發(fā)起的大量ARP應(yīng)答����。而且在參考信息中提示說(shuō)可能存在ARP欺騙??磥?lái)我的方向是走對(duì)了,但是為了進(jìn)一步確定��,得結(jié)合其他內(nèi)容信息���。查看協(xié)議視圖了解ARP協(xié)議的詳細(xì)情況�,
ARPResponse和ARPRequest相差比例太大了�,很不正常啊。接下來(lái)�,再看看數(shù)據(jù)包的詳細(xì)情況。
我從數(shù)據(jù)包信息已經(jīng)看出問(wèn)題了��,00:20:ED:AA:0D:04在欺騙網(wǎng)絡(luò)中192.168.17.0這個(gè)網(wǎng)段的主機(jī)����,應(yīng)該是在告訴大家它是網(wǎng)關(guān)吧����,想充當(dāng)中間人的身份吧����,被欺騙主機(jī)的通訊流量都跑到他那邊"被審核"了����。
現(xiàn)在基本確定為ARP欺騙攻擊,現(xiàn)在我需要核查MAC地址的主機(jī)00:20:ED:AA:0D:04是哪臺(tái)主機(jī)�,幸好我在平時(shí)記錄了內(nèi)部所有主機(jī)的MAC地址和主機(jī)對(duì)應(yīng)表,終于給找出真兇主機(jī)了���?�?赡苌厦嬷辛薃RP病毒��,立即斷網(wǎng)殺毒��。網(wǎng)絡(luò)正常了����,嗚呼����!整個(gè)世界又安靜了�����!
3.總結(jié)(故障原理)
我們來(lái)回顧一下上面ARP攻擊過(guò)程���。MAC地址為00:20:ED:AA:0D:04的主機(jī),掃描攻擊192.168.17.0這個(gè)網(wǎng)段的所有主機(jī)��,并告之它就是網(wǎng)關(guān)�,被欺騙主機(jī)的數(shù)據(jù)都發(fā)送到MAC地址為00:20:ED:AA:0D:04的主機(jī)上去了,但是從我抓取的數(shù)據(jù)包中�����,MAC為00:20:ED:AA:0D:04的主機(jī)并沒(méi)有欺騙真正的網(wǎng)關(guān)����,所以我們的網(wǎng)絡(luò)會(huì)出現(xiàn)斷網(wǎng)現(xiàn)象。
4.補(bǔ)充內(nèi)容
對(duì)于ARP攻擊的故障���,我們還是可以防范的�,以下三種是常見(jiàn)的方法:
方法一:平時(shí)做好每臺(tái)主機(jī)的MAC地址記錄����,出現(xiàn)狀況的時(shí)候���,可以利用MAC地址掃描工具掃描出當(dāng)前網(wǎng)絡(luò)中主機(jī)的MAC地址對(duì)應(yīng)情況,參照之前做好的記錄����,也可以找出問(wèn)題主機(jī)。
方法二:ARP–S可在MS-DOS窗口下運(yùn)行以下命令:ARP–S手工綁定網(wǎng)關(guān)IP和網(wǎng)關(guān)MAC����。靜態(tài)綁定�����,就可以盡可能的減少攻擊了�����。需要說(shuō)明的是�����,手工綁定在計(jì)算機(jī)重起后就會(huì)失效�,需要再綁定���,但是我們可以做一個(gè)批處理文件,可以減少一些煩瑣的手工綁定�!
方法三:使用軟件(Antiarp)使用AntiARPSniffer可以防止利用ARP技術(shù)進(jìn)行數(shù)據(jù)包截取以及防止利用ARP技術(shù)發(fā)送地址沖突數(shù)據(jù)包。
關(guān)鍵詞標(biāo)簽:ARP病毒欺騙攻擊
火絨安全軟件開(kāi)啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程