国产免费?V片在线观看播放,日韩综合无码中文字幕

您當(dāng)前所在位置：首頁 → 系統(tǒng)集成 → 網(wǎng)絡(luò)管理 → Arp反欺騙策略

Arp反欺騙策略 時間：2015-06-28 00:00:00 來源：IT貓撲網(wǎng) 作者：網(wǎng)管聯(lián)盟 我要評論(0): ??? 近來與Arp相關(guān)惡意軟件越來越猖獗，受害者的也不少，國內(nèi)的各大殺毒廠商也紛紛推出Arp防火墻。但大部分防火墻虛有其表，原因下面會具體介紹。這篇文章不是科普，主要是思路，更想起到拋磚引玉的作用。讓世界清靜一點。此外，從從未接觸到熟悉Arp協(xié)議到寫出Arp欺騙和反欺騙的test code，前前后后也不過一個星期多一點的時間。經(jīng)驗有限，疏漏之處，再所難免，各位見諒。

??? Arp協(xié)議和Arp欺騙這里就不做介紹了。網(wǎng)絡(luò)這方面的文章比比皆是。

??? 為了便于理解，下面構(gòu)造一些名詞：

??? 假如局域網(wǎng)內(nèi)，有網(wǎng)關(guān)，發(fā)起欺騙的主機(以下簡稱欺騙主機)，受騙主機

??? 雙向欺騙：欺騙主機使得網(wǎng)關(guān)認為欺騙主機是受騙主機同時讓受騙主機認為欺騙主機是網(wǎng)關(guān);

??? 單向欺騙網(wǎng)關(guān)：欺騙主機只使網(wǎng)關(guān)認為欺騙主機是受騙主機;

??? 單向欺騙目標主機：欺騙主機只使受騙主機認為它是網(wǎng)關(guān);

??? Arp除了能sniffer之外，現(xiàn)在比較流行的做法就是利用Arp進行HTTP掛馬的情況了。所以下面考慮的影響基本以這個角度的方面來衡量。

??? 由于環(huán)境不同，繼續(xù)往下分，一個機房被Arp欺騙的情，機房一般以服務(wù)器為主，對外發(fā)的數(shù)據(jù)多以http應(yīng)答包為主，此時單向欺騙目標主機的危害比較大。另外一個普通的公司，家庭，及網(wǎng)吧之類的局域網(wǎng)環(huán)境，對外發(fā)的數(shù)據(jù)多以http請求為主，接收的數(shù)據(jù)多以http應(yīng)答包為主，此時單向欺騙網(wǎng)關(guān)危害比較大。

??? 還有的就是和網(wǎng)關(guān)有關(guān)了，網(wǎng)關(guān)簡單的先分兩種：

??? 1、支持IP和mac綁定的;

??? 2、不支持IP和mac綁定。

??? 支持IP和mac綁定的網(wǎng)關(guān)都好辦，所以這里就不討論這種情況了，主要討論不支持IP和mac綁定的情況：

??? 下面舉的例子都是Arp雙向欺騙已經(jīng)存在的情況，裝上Arp FW后FW將處理情況。

??? 第一種情況——普通公司，家庭，及網(wǎng)吧之類局域網(wǎng)環(huán)境下，網(wǎng)關(guān)不支持IP和mac綁定：

??? 先說欺騙策略，說到這里不得不提Arpspoof(以下簡稱as)，最近流行這個工具，并且開源，好分析，也確實寫的不錯。我手頭拿到的3.1版本的源代碼。若不修改as代碼，在當(dāng)前情況下，并處在雙向欺騙時，只要把配置文件稍微改改，就能夠?qū)崿F(xiàn)利用ARP掛馬。但如果受騙主機綁定了正確網(wǎng)關(guān)的mac，就不靈了。但如果有人修改了as代碼，使其能支持gzip解碼，并且把本應(yīng)發(fā)給受害主機的包，重組并解碼然后再發(fā)給受害主機。就又能欺騙了。

??? 然后再回來看看現(xiàn)在國內(nèi)的Arp FW。比較弱的，F(xiàn)W一進去，連正確的網(wǎng)關(guān)mac都檢測不出來，需要手動填。好點的能自動檢測正確的網(wǎng)關(guān)的mac。一般步驟是：

??? 1. 獲取當(dāng)前網(wǎng)關(guān)mac(如利用sendARP函數(shù)等等);

??? 2. 利用網(wǎng)關(guān)IP發(fā)一個廣播包，獲取網(wǎng)關(guān)的mac;

??? 3. 抓包對比，如果第一步和第二步獲得網(wǎng)關(guān)的mac相同，則認為網(wǎng)關(guān)mac不是偽造的。如過第二步獲得兩個Arp reply，則把這兩個包與第一步的mac對比，相同的說明是偽造的。如果第二步只獲得一個Arp reply，以第二步獲得mac為準。

??? 檢測到正確網(wǎng)關(guān)mac后，就靜態(tài)的綁定網(wǎng)關(guān)IP和mac，防止別人偽造網(wǎng)關(guān)。

??? 基本上都這么搞，這個思路是有缺陷的。沒錯，是可以防的住現(xiàn)在的as。因為as發(fā)Arp欺騙包間隔是3s，如果不改源代碼的話。在這個的時間間隔下，這三步是有能力獲得正確的網(wǎng)關(guān)，但是如果把間隔設(shè)短，甚至沒有間隔發(fā)Arp欺騙包的話。現(xiàn)在國內(nèi)市面上的Arp FW幾乎全都倒下。礙于面子這里就不詳細說明那些廠商。

??? 先說為什么間隔3s的話，能檢測到正確網(wǎng)關(guān)mac，在執(zhí)行第二步時，在發(fā)廣播包之前必須先發(fā)一個Arp reply給網(wǎng)關(guān)，告訴網(wǎng)關(guān)自己正確的mac，然后網(wǎng)關(guān)才能把它本身的mac發(fā)給受騙主機。這個過程必須在3s內(nèi)完成。因此如果as的spoof不設(shè)間隔的話。那么網(wǎng)關(guān)在接收了你的ip和mac之后。發(fā)起欺騙的主機馬上就去網(wǎng)關(guān)那把它改回來。這樣受騙主機雖然發(fā)了廣播包，但是網(wǎng)關(guān)根據(jù)mac，會把它本身的mac發(fā)給欺騙主機而不是發(fā)給受騙主機，這樣受騙主機依然得不到正確網(wǎng)關(guān)的mac。另外，哪怕受騙主機得到了正確的網(wǎng)關(guān)mac，也只能保證自己對外發(fā)包不受欺騙，但是收到的包還是會被欺騙的。當(dāng)然FW可以和as玩拉鋸，二者都爭先恐后的去網(wǎng)關(guān)那邊刷自己的mac。但是這樣導(dǎo)致是容易丟包。

??? 其實這種狀況還是有一個相對的解決方案。就是徹底的改頭換面掉。同時改自己的IP和mac，不論FW用什么添加ndis虛擬網(wǎng)卡，或者通過代碼直接就把當(dāng)前IP和mac替掉。獲得正確網(wǎng)關(guān)mac才有保證，否則連正確網(wǎng)關(guān)mac都拿不到。其它的就更不用說了(至于什么手動填網(wǎng)關(guān)mac之類的。就先不討論了。知道網(wǎng)關(guān)是什么東西的用戶原沒有想象中的那么多)。

??? 說這是一個相對的解決方案，是因為前提是局域網(wǎng)內(nèi)得有富余的IP資源。另外它還有一些弊端。就是如果有些機器關(guān)機的話，而受害者替換了它的IP之后，以后將造成沖突。當(dāng)然也是有解決方案了。比較多，這里就先不討論了。

??? 因此，先要確定哪些IP是未被使用的，可以廣播Arp request 局域網(wǎng)各個IP的mac，如果有人應(yīng)答的話說明這個IP被用，沒人應(yīng)答的話，就是富余的IP了。

??? 只要把自己的IP和mac一改,改了之后，迅速刷新網(wǎng)關(guān)，獲得正確網(wǎng)關(guān)的mac之后，可以詢問用戶是否改回來，改回來，因為無法避免丟包。網(wǎng)速也容易受影響。

??? 第二種關(guān)于機房Arp欺騙的情況這里就不多說，參考上面文字。有幾點要說明的是，機房里，外網(wǎng)IP和內(nèi)網(wǎng)IP是映射的，同時改IP和mac是會導(dǎo)致斷網(wǎng)的，有一定危險性。另外獲得正確網(wǎng)關(guān)的mac后，IP和mac必須改回來。也就是說在機房這種情況下，丟包是免不了的。
關(guān)鍵詞標簽：策略,欺騙,網(wǎng)關(guān),mac,主

相關(guān)閱讀

文章評論

查看所有0條評論>>