蓝客社区

游客 您好,登录 | 注册

致蓝客社区的会员们:
即日起,社区论坛部分技术交流版块启用身份验证机制,须符合该版块要求的技术标准才能进入,不便之处敬请见谅!
网络信息安全交流QQ群:187228、会员交流聊天QQ群:42417627
论坛 » 服务器安全运维 » 浅谈arp攻击之对mac双绑的防御

浅谈arp攻击之对mac双绑的防御 (1蓝豆) (直接结帖)

景甜积分等级:LV0 经验等级:Exp0
#1发表于 2012-10-28 15:50 回复:1 查看:15051

# /home/h4dex/docs/arp/arp-d.docx
/*********************************************
作者:jingtian :blog: http://2b   :mail: code#chnlanker.net
*********************************************/
参考文献来自Ut0pl4z图书馆: http://lib.l4z.org

0x00::前言部分

最近th4ck突击小组很火嘛。arp劫持了很多圈子里的网站 比如 t00ls 90sec啊  等等~~

很多工具都具有此功能  网络执法官  终结者  ....还有核攻击大牛写的一个(lcx.cc) 自己去下载把

ARP攻击的局限性  
ARP攻击仅能在以太网(局域网如:机房、内网、公司网络等)进行。   无法对外网(互联网、非本区域内的局域网)进行攻击。


0x01::科普知识
最早探讨ARP攻击的文章是由Yuri Volobue所写的《ARP与ICMP转向游戏》。

ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的底层协议,对应于数据链路层,负责将某个IP地址解析成对应的MAC地址。基本功能  ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。   ARP(AddressResolutionProtocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(
  
  IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。


ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击(linux520上有一篇用bt5中间人攻击win主机的例程)。   ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。   某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则A广播一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa), 请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报 文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。


0x02::防御措施

遭受ARP攻击后现象  
ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),

治标不治本的方法:重启机器 或 在MS-DOS窗口下运行命令arp -d后,又可恢复上网。

目前比较实用的是以下方法:

ARP双绑主要针对ARP欺骗而定的
ARP双绑是指网关的MAC地址和网关IP绑定
路由器上绑定对应的IP的MAC地址

00:获得路由器的内网的MAC地址(例如HiPER网关地址192.168.1.107的MAC地址为00-22-bb-00-22-aa局域网端口MAC地址>)。
01:编写一个批处理文件
@echo off
arp -d
arp -s 192.168.1.107 00-22-bb-00-22-aa
保存 并设置让它 开机自动运行  放在  开始菜单>>  所有程序>> 启动>>


其他方法简介一下:
1.减少过期时间    2.建立静态ARP表    3.禁止ARP    4.VLAN和交换机端口绑定    5.PPPoE    6.个人用户 可以下载相关的arp防火墙防护个人的电脑





这篇帖子也比较水把。很多地方都能搜索的到  小编只不过总结综合了下,大牛们勿喷!! 
Ps.昨日在yy上见一个sb   见人就喊什么 tcp三次握手 (syn)  神马的......  好吧我承认是大黑阔    ~   


  元芳 你怎么看?



蟑螂4号积分等级:LV0 经验等级:Exp0
#2发表于 2012-10-28 17:09

@景甜

# /home/h4dex/docs/arp/arp-d.docx
/*********************************************
作者:jingtian :blog: http://2b   :mail: code#chnlanker.net
*********************************************/
参考文献来自Ut0pl4z图书馆: http://lib.l4z.org

0x00::前言部分

最近th4ck突击小组很火嘛。arp劫持了很多圈子里的网站 比如 t00ls 90sec啊  等等~~

很多工具都具有此功能  网络执法官  终结者  ....还有核攻击大牛写的一个……

好把   没豆了给点豆把    !!