|
說(shuō)解決辦法之前還是先說(shuō)說(shuō)ARP欺騙的原理
看看他們的數(shù)據(jù)發(fā)送方式,如果A要給B發(fā)送數(shù)據(jù),,那么A會(huì)先在ARP緩存表中查找B的,,找到的話就 解決辦法: 2.欺騙是通過(guò)ARP的動(dòng)態(tài)實(shí)時(shí)的規(guī)則欺騙內(nèi)網(wǎng)機(jī)器,所以我們把ARP全部設(shè)置為靜態(tài)可以根本解決對(duì)內(nèi)網(wǎng) 3.有些人說(shuō)減小ARP緩存老化時(shí)間可以防止ARP欺騙,我認(rèn)為是不行的所以就沒(méi)加這功能,。因?yàn)榫退憧s短
了緩存老化時(shí)間,,只要ARP主機(jī)還存在他就會(huì)繼續(xù)廣播,所以我認(rèn)為不能阻止電腦生成一個(gè)錯(cuò)誤的緩存 表,。也就不能防止ARP欺騙,。 要想解決ARP受攻擊的問(wèn)題,你先分析ARP病毒 查殺防范ARP全攻略
電腦中毒后會(huì)向同網(wǎng)段內(nèi)所有計(jì)算機(jī)發(fā)ARP欺騙包,由于ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞,,用戶會(huì)感覺(jué)上網(wǎng)速度越來(lái)越慢,,掉線;甚至無(wú)法上網(wǎng),同時(shí)造成整個(gè)局域網(wǎng)的不穩(wěn)定,,這種現(xiàn)象就是我們常見(jiàn)的ARP病毒,。 ARP病毒入侵 首先讓看看網(wǎng)絡(luò)病毒在網(wǎng)絡(luò)中如何實(shí)現(xiàn) ARP欺騙.看看這樣一個(gè)例子:一個(gè)入侵者想非法進(jìn)入某臺(tái)主機(jī),他知道這臺(tái)主機(jī)的防火墻只對(duì)192.168.0.111(假設(shè))這個(gè)ip開(kāi)放23口 (telnet),而他必須要使用telnet來(lái)進(jìn)入這臺(tái)主機(jī),,所以他要這么做以下幾步: 1,、他先研究192.168.0.111這臺(tái)主機(jī),發(fā)現(xiàn)這臺(tái)windowsxp的機(jī)器使用一個(gè)oob就可以讓他死掉,。 2,、于是,他發(fā)送一個(gè)洪水包給192.168.0.111的139端口,,于是,,該機(jī)器接到數(shù)據(jù)包而死。 3,、這時(shí),,主機(jī)發(fā)到192.168.0.111的ip包將無(wú)法得到響應(yīng),系統(tǒng)開(kāi)始更新自己的arp對(duì)應(yīng)表,。將192.168.0.111的項(xiàng)目除去,。 4、這段時(shí)間里,,入侵者把自己的ip改成192.168.0.111,。 5、他再發(fā)一個(gè)ping(icmp 0)給主機(jī),,要求主機(jī)更新主機(jī)的arp轉(zhuǎn)換表,。 6、主機(jī)找到該ip,,然后在arp表中加入新的ip-->mac對(duì)應(yīng)關(guān)系,。 7、防火墻失效了,,入侵的ip變成合法的mac地址,,可以telnet了。 ARP病毒原理:arp是一種將ip轉(zhuǎn)化成以ip對(duì)應(yīng)的網(wǎng)卡的物理地址的一種協(xié)議,,或者說(shuō)ARP協(xié)議是一種將ip地址轉(zhuǎn)化成MAC地址的一種協(xié)議,。它靠維持在內(nèi)存中保存的一張表來(lái)使ip得以在網(wǎng)絡(luò)上被目標(biāo)機(jī)器應(yīng)答。 為什么要將ip轉(zhuǎn)化成mac呢?簡(jiǎn)單的說(shuō),,這是因?yàn)樵趖cp網(wǎng)絡(luò)環(huán)境下,,一個(gè)ip包走到哪里,要怎么走是靠路由表定義,。但是,,當(dāng)ip包到達(dá)該網(wǎng)絡(luò)后,,哪臺(tái)機(jī)器響應(yīng)這個(gè)ip包卻是靠該ip包中所包含的mac地址來(lái)識(shí)別。也就是說(shuō),,只有機(jī)器的mac地址和該ip包中的mac地址相同的機(jī)器才會(huì)應(yīng)答這個(gè)ip 包,。因?yàn)樵诰W(wǎng)絡(luò)中,每一臺(tái)主機(jī)都會(huì)有發(fā)送ip包的時(shí)候,。所以,,在每臺(tái)主機(jī)的內(nèi)存中,都有一個(gè) arp--> mac 的轉(zhuǎn)換表,。通常是動(dòng)態(tài)的轉(zhuǎn)換表(注意在路由中,,該arp表可以被設(shè)置成靜態(tài))。也就是說(shuō),,該對(duì)應(yīng)表會(huì)被主機(jī)在需要的時(shí)候刷新,。這是由于以太網(wǎng)在子網(wǎng)層上的傳輸是靠48位的mac地址而決定的。 目前局域網(wǎng)主要流行有兩種方式:DHCP(動(dòng)態(tài)主機(jī)配置)固定的ip地址 DHCP(動(dòng)態(tài)主機(jī)配置) 使網(wǎng)絡(luò)管理員能夠集中管理和自動(dòng)分配 IP 網(wǎng)絡(luò)地址的通信協(xié)議,。在 IP 網(wǎng)絡(luò)中,,每個(gè)連接 Internet 的設(shè)備都需要分配唯一的 IP 地址。DHCP 使網(wǎng)絡(luò)管理員能從中心結(jié)點(diǎn)監(jiān)控和分配 IP 地址,。當(dāng)某臺(tái)計(jì)算機(jī)移到網(wǎng)絡(luò)中的其它位置時(shí),,能自動(dòng)收到新的 IP 地址。DHCP 使用了租約的概念,,或稱為計(jì)算機(jī) IP 地址的有效期,。租用時(shí)間是不定的,主要取決于用戶在某地聯(lián)接 Internet 需要多久,, DHCP 能夠在一個(gè)計(jì)算機(jī)比可用 IP 地址多的環(huán)境中動(dòng)態(tài)地重新配置網(wǎng)絡(luò),。 如果這種網(wǎng)絡(luò)感染了這種病毒,可想而知,,因?yàn)樗械挠?jì)算機(jī)沒(méi)有固定的ip地址,,計(jì)算機(jī)的重啟,重新獲取了新的ip地址,。只有通過(guò)Tracert和固定ip沖突來(lái)查找病毒計(jì)算機(jī),。 我們假設(shè)在這樣局域網(wǎng)中增加一臺(tái)機(jī)器,操作系統(tǒng)均為WINDOWSXP,,該計(jì)算機(jī)的IP地址和網(wǎng)卡硬件地址分別為192.168.10.100和00- 00-0D-50-EE-B1,。該局域網(wǎng)內(nèi)網(wǎng)網(wǎng)關(guān)為192.168.10.1;外網(wǎng)網(wǎng)關(guān)為222.*.*.1.當(dāng)網(wǎng)絡(luò)出現(xiàn)斷流時(shí), 通過(guò)Tracert www.it168.com 你可以觀察出路由變化情況,正常的第一跳為 192.168.10.1, 不正常為該病毒計(jì)算機(jī).雖然判斷出哪個(gè)固定ip地址的計(jì)算機(jī)在出問(wèn)題,由于固定ip地址隨意行,不好判斷是那臺(tái)計(jì)算機(jī); 利用IP沖突方式來(lái)判斷(一個(gè)局域網(wǎng)中不可以同時(shí)有兩個(gè)相同的ip,否則就會(huì)發(fā)生沖突,結(jié)果必然是其 |
|
|
