IT资讯/综合软件下载站!┆ 最新软件 最新文章 最新手机 UFO外星人 网站分类

您当前的位置→图文中心ARP文章ARP欺骗ARP欺骗解决方案(一)

ARP欺骗解决方案(一)


2009/1/14 1:26:30 编辑:佚名 来源:本站整理 
今天给大家分享ARP欺骗解决方案(一)ARP欺骗文章。喜欢的可以分享ARP欺骗解决方案(一)给你的好友。

一、 什么是ARP
  
   ARP(Address Resolution Protocol, 地址解析协议)是一个位于TCP/IP协议栈中的低层协议, 负责将某个IP地址解析成对应的MAC地址。
在局域网中, 网络中实际传输的是“帧”, 帧里面是有目标主机的MAC地址的。 在以太网中, 一个主机要和另一个主机进行直接通信, 必须要知道目标主机的MAC地址。 但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。 所谓‘地址解析“就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。 ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。

二、 ARP的工作原理

   在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表, 表里的IP地址与MAC地址是一一对应的, 在命令提示符下, 输入“arp -a”就可以查看ARP缓存表中的内容了:



   注:用“arp -d”命令可以删除ARP表的内容;用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应。

   我们以主机A(192.168.1.5)向主机B(192.168.1.1)发送数据为例。 当发送数据时, 主机A会在自己的ARP缓存表中寻找是否有目标IP地址。 如果找到了, 也就知道了目标MAC地址, 直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址, 主机A就会在网络上发送一个广播, 目标MAC地址是“FF.FF.FF.FF.FF.FF”, 这表示向同一网段内的所有主机发出这样的询问:“192.168.1.1的MAC地址是什么?”网络上其他主机并不响应ARP询问, 只有主机B接收到这个帧时, 才向主机A做出这样的回应:“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。 这样, 主机A就知道了主机B的MAC地址, 它就可以向主机B发送信息了。 同时它还更新了自己的ARP缓存表, 下次再向主机B发送信息时, 直接从ARP缓存表里查找就可以了。

   ARP缓存表采用了老化机制, 在一段时间内如果表中的某一行没有使用, 就会被删除, 这样可以大大减少ARP缓存表的长度, 加快查询速度。

喜欢ARP欺骗的网友不妨去看看下面的文章:
  •    作为攻击源的主机伪造一个ARP响应包, 此ARP响应包中的IP与MAC地址对与真实的IP与MAC对应关系不同, 此伪造的ARP响应包广播出去后, 网内其它主机ARP缓存被更新, 被欺骗主机ARP缓存中特定IP被关联到错误的MAC地址, 被欺骗主机访问特定IP的数据包将不能被发送到真实的目的主机, 目的主机不能被正常访问。

    四、 ARP欺骗的症状

       网络时断时通
       网络中断, 重启网关设备, 网络短暂连通
       内网通讯正常、网关不通;
       频繁提示IP地址冲突;
       硬件设备正常, 局域网不通;
       特定IP网络不通, 更换IP地址, 网络正常;
       禁用-启用网卡, 网络短暂连通;
       网页被重定向。
    ……………………
    五、 ARP欺骗解决方案:

       方案A:IP-MAC绑定

       通过双向IP-MAC绑定可以抵御ARP欺骗, 解决由于ARP欺骗造成的网络掉线、IP冲突等问题, 保证网络畅通。

       1、客户机绑定网关IP-MAC:在客户机设置网关IP与MAC为静态映射,
    将如下内容复制到记事本中并保存为staticarp.reg, (网关IP、网关MAC根据实际情况填写, 例:"staticarp"="arp –s 192.168.0.1 00-01-02-03-04-05")
         
        Windows Registry Editor Version 5.00
        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
        CurrentVersion\Run]
        "staticarp"="arp –s 网关IP 网关MAC "


       将如下内容复制到记事本并保存到与staticarp.reg相同的文件夹位置, 文件名为run.bat, (网关IP、网关MAC根据实际情况填写, 例:"staticarp"="arp –s 192.168.0.1 00-01-02-03-04-05")

         @each off
        regedit /s .\runstaticarp.reg
        arp -s网关IP 网关MAC

     
       双击运行run.bat

       2、利用APC的软件分发功能给客户机分发IP-MAC绑定程序
    将staticarp.reg、run.bat保存到同一文件夹下, 登录Ahnlab Plicy Center Admin, 服务器管理—登录分发软件—添加, <要分发的文件夹>选中保存staticarp.reg、run.bat的文件夹, <执行压缩文件名>中输入对所选择的文件夹压缩后生成的压缩文件的名称, <登录包名称>中输入应用程序名称, <说明>中输入简单说明, <解压缩后执行文件>中输入run.bat, 单击<确定>。

       Ahnlab Plicy Center Admin—策略管理中选中需要分发的群组或客户机, 点右键, 紧急安全指令-分发, 选中<一般软件>, 选中要分发的软件, 点击<确认>。

       3、网关绑定客户机IP-MAC:使用支持IP/MAC绑定的网关设备, 在网关设备中设置客户机的静态IP-MAC列表。
    注:方案A可以抵御ARP欺骗, 保证网络正常运行, 但不能定位及清除ARP攻击源。

       方案B:利用ARP命令及nbtscan定位ARP攻击源

       1、确定ARP攻击源MAC地址

       ARP欺骗发作时, 在受到ARP欺骗的计算机命令提示符下输入arp –a, APP缓存中网关IP对应的MAC地址如果不是真实的网关MAC地址, 则为ARP攻击源的MAC地址, 一个MAC地址对应多个IP地址的为ARP攻击源的MAC地址;在网关ARP缓存中一个MAC对应多个IP的为ARP攻击源的MAC地址。

       2、定位ARP攻击源计算机

       已全网面署APC2.5的环境:在Policy Center Admin 2.5中, 查找agent, 查找ARP攻击源的MAC地址, 定位攻击源计算机。
    未布署APC2.5的环境:运行Nbtscan MAC扫描器gui.exe, 输入局域网IP地址范围, 点击开始, 显示局域网内IP、计算机名与MAC对应关系, 查找ARP攻击源MAC对应的IP地址及计算机名, 根据IP地址及计算机名定位攻击源计算机。

    12下一页

    相关文章
  • 三星I9100连上电脑的Kies,提示"Your device's current firmware version is not supp...
  • flipboard怎么注册 Flipboard注册方法
  • VMware安装CentOS图文教程
  • Spark开箱尝鲜
  • 《最终幻想7》重制版将由Square Enix团队亲自操刀
  • 这项 AR 技术将你活生生地“解剖”给别人看
  • 直播成为了陌陌的王者荣耀 人均ARPU值高达51.8美元
  • 苹果safari浏览器滚动速度太慢的具体解决办法
  • 相关推荐
  • 缺少vmwarestring.dl解决方法 vmwarestring.dll 最新版
  • (AR 2348d驱动)夏普AR 2348d打印机驱动 v1.0 官方版
  • 桌面地球实时动态壁纸(Earth Live Sharp) v2.0 最新版
  • SmartQQ群发软件(QQ好友群发) v1.0 官方版
  • ArtMoney SE(小型游戏修改工具) v8.00.0 最新版
  • 求生之路2战地4Scar-H模型(求生之路2步枪武器模型) 最新版
  • Article填词工具(Article古诗填词软件) v6.6 最新版
  • 找不到GearNtKe.Dll错误修复文件_GearNtKe.dll 最新版
  • 发表评论
    栏目列表
    阅读排行
    网站帮助 - 广告合作 - 下载声明 - 网站地图