专家防止局域网ARP协议欺骗pc软件 文章资讯 手机软件

您当前的位置→图文中心ARP文章ARP防范专家防止局域网ARP协议欺骗

专家防止局域网ARP协议欺骗


2008/10/1 6:57:05 编辑:佚名 来源:admin 
本文对ARP欺骗, 提出几点加强安全的措施。 网关是东道国或环境是基于Linux / BSD的的。

第一, 前提的理论

就在“一个好人委屈, 而不是让一个坏的原则, ”我现就在谈论的一些想法和理论。 最先是, 我们我自己将发送send给ARP协议欺骗数据信息包将是一个恶意程序全自动发送send正常的TCP / IP网络net是将不会这样的错误包发送send。 这种假设, 如果嫌疑人没有启动销毁过程, 它是正常的网络net环境, 或环境中, ARP协议的网络net是正常的, 如果我们我自己能启动嫌疑人就在刑事诉讼程序第一次现在开始, 发现他的罪行, 处理赃物, 使人们就在所有的不可抵赖性, 如前所述, 前面网络net正常的时候证据是可信和可依靠的。 好吧, 那么我们我自己谈论怎么才能时, 他发现就在第一的犯罪活动系列。

ARP协议的原则欺骗如下:

假设这样一个网络net, 那么, 集线器的3机

主机主机HostC之一

A是位于:的IP : 192.168.10.1的MAC : AA型AA型AA型AA型AA型机管局

B是位于:的IP : 192.168.10.2的MAC :体一BB一BB一BB一BB一BB

C是位于:的IP : 192.168.10.3的MAC :循环循环循环循环循环循环

就在正常情况下ç : \ ARP协议一

接口: 192.168.10.1接口0x1000003

互联网地址物理地址类型

192.168.10.3的CC -的CC -的CC -的CC -的CC -连铸动态

现就在假设现在开始刑事欺骗主机ARP协议:

A到B发送send伪造的ARP协议自身的反应, 反应中的数据信息的IP地址, 发件人是192.168.10.3 ( C的IP地址) , MAC地址的DD - DD -双刀盘差异差异差异差异( C的这应该是MAC地址的CC -连铸循环循环循环循环, 这里是一个伪造) 。 A到B伪造的, 当收到ARP协议的反应, 我们我自己将更新本地ARP超高快速缓存(甲再也不能够判断这是否是伪造的) 。 事实上, 但不知道从B发送send回来, 就在这里只有阿192.168.10.3 ( C的IP地址)和无效的差异差异差异差异差异差异MAC地址, 也没有相关的犯罪证据向B , 河公顷, 使犯罪分子将莱西。

一部是ARP超高快速缓存的更新:

ç : \ “ ARP协议一

接口: 192.168.10.1接口0x1000003

互联网地址物理地址类型

192.168.10.3差异差异差异差异差异差异动态

这是不小的问题。 局域网络net基础上的IP地址是不容谈判的, 但根据记录MAC地址的传递时间。 192.168.10.3现就在就在A的MAC地址发生了变化的MAC地址不存就在。 现就在现在开始192.168.10.3平提交的MAC地址卡的DD - DD -双刀盘差异差异差异差异, 其结果是什么呢?互联网接入, 一个不能够平碳! !

因此, 局域网中一台机器反复向其他机器, 特别是向网关, 发送send这样无效假冒ARP协议响应数据信息包, NND , 严重堵塞就在网络net上现在开始了!网吧管理员的噩梦现在开始了。 我的目标和任务是第一次, 抓住他。 但早先的声明罪犯一样完美的使用以太网的缺陷, 以掩盖他们的罪行。 但事实上, 上述方法已经离开的线索。 尽管, ARP协议数据信息包主机没有留下地址, 但是, 对ARP包带有以太网帧, 但主机包含源地址。 此外, 就在正常情况下, 以太网的帧, 标题中的MAC地址的源/目的地址和帧应就在ARP协议的信息包匹配, 因此对ARP包是对的的。 如果不对的, 肯定是伪造的封装, 可以能够提醒!但是, 如果比赛中, 这并不一定意味着对的的有可能伪造这样一个步骤已经考虑到, 并伪造出符合格式, 但内容的数据信息包地址解析协议假。 然而, 这并不重要, 只要网关本王有一个部分, 所有的MAC地址的信用卡数据信息库, 如果苹果不匹配数据信息库中的数据信息也是伪造的数据信息包地址解析协议。 也提醒手中的罪犯。

其次, 预防措施

1 。 DHCP服务器的布置设置(就在主张建立网关的DHCP , 因为人数的CPU , 以及ARP欺骗攻击一般总是第一个网关, 我们我自己真的希望让他第一次攻击网关, 网关, 因为有监测程序, 网关地址主张选择中192.168.10.2 , 就在192.168.10.1留空, 如果犯罪程序这么笨, 让他地址栏和空中袭击) , 和所有客户端的IP地址和主机有关联的信息, 才能取得就在这里网关, 网关这里开幕DHCP服务, 但给每个信用卡, 唯一的具有约束力的固定IP地址。 就一定要保持一直网络net的机器的IP / MAC的一个映射。 这是客户端的DHCP地址, 但每次开机是相同的IP地址。

2 。 陆委会建立一个数据信息库, 以网吧的所有网卡的MAC地址记录, 每个MAC和知识产权, 所有的地理详细位置到数据信息库, 以便查询记录及时。

3 。 网关机器关闭ARP协议动态刷新过程中, 使用静态路由, 这种情况下, 即便嫌疑人使用ARP欺骗网关, 这个网关是没有用的, 确保主机安全。

网关建立静态IP / MAC的捆绑起来:的/ etc /醚文件程序, 其中包含对的的IP / Mac的信件格式如下:

192.168.2.32 8时00分04秒电子邮件:本B0 : 24:47

之后的/ etc / rc.d / rc.local最后添加:

ARP协议口才能生效

4 。 网关监听网络net安全。 网关TCPDUMP使用上述程序截取每个ARP协议包, 得到一个脚本分析软件分析这些ARP协议的协议。 ARP协议欺骗攻击的包一般有以下特点的两个, 以满足一个包可以能够被看作是攻击警察:第一以太网包头源地址, 目的地地址和ARP协议包不匹配的地址协议。 或者, ARP协议和发送send数据信息包的目的地地址是不是我自己的数据信息库网络net卡的MAC , MAC或网络net数据信息库有我自己的MAC / IP协议不相符。 所有这些最先是向警方报案, 调查这些数据信息包(以太网数据信息包)源地址(有可能是伪造的) , 或多或少知道我自己的电脑中的攻击。

5 。 偷偷来的机器, 看看是否使用故意或任意一个释放什么木马了。 如果是后者, 悄悄地, 他要寻找的借口恺, 掏出电缆(而不是关闭, 特别是看该计划的使命Win98下) , 看看就在目前使用的机械和创纪录的业绩, 看是否是就在这一次袭击中。
相关文章
  • 音频编辑专家教程:分割音乐方法介绍
  • 中国挖出5000年前巨人遗骸!考古专家解答史前1米9巨人族真相
  • 专家们无法解释秘鲁的火山形金字塔
  • 专家警告: 致命的热浪只会越来越多!
  • 实拍:机场现UFO,专家解释惊呆国人!【头条视频】
  • 安全专家警告:继勒索病毒后WinXP将迎来第2波攻击
  • 专家宣称三角形UFO是美国政府用外星科技建造的!
  • 婴儿手握避孕环出生 专家:多种因素都会让女性“带环受孕”
  • 发表评论
    阅读排行
    网站帮助 - 广告合作 - 下载声明 - 网站地图