利用Lns防范Arp欺骗pc软件 文章资讯 手机软件

您当前的位置→图文中心ARP文章ARP防范利用Lns防范Arp欺骗

利用Lns防范Arp欺骗


2008/8/10 18:03:44 编辑:佚名 来源:admin 

为了便于说明, 我们我自己先假设一个子网环境:
网关 : IP = IP-1, MAC = 11:11:11:11:11:11
本机 : IP = IP-2, MAC = 22:22:22:22:22:22
主机A: IP = IP-A, MAC = AA:AA:AA:AA:AA:AA
主机B: IP = IP-B, MAC = BB:BB:BB:BB:BB:BB
主机C: IP = IP-C, MAC = CC:CC:CC:CC:CC:CC

子网内的任意两台主机(网关也可看作一台主机)要正常通讯, 有请求需要互相知道对方的网卡地址MAC。 如果一方不知道对方的MAC, 就要来进行ARP查询。

ARP 查询过程

就在一个正常的子网内, 一次完整的 ARP 查询有请求需要一次查询广播和一次点对点的应答。 查询广播中包含了要查询主机的IP, 此广播可以能够被子网内的每一台主机的网卡收到, 网卡会检查要查询的IP是否与我自己的IP相等, 不等则直接丢弃, 相等则将此数据信息包提交给系统system内核(一个中断), 内核调用网卡驱动解析收到的数据信息包, 之后构建一个应答数据信息包回送到查询的主机, 查询主机收到应答后更新我自己的ARP缓存表。

对应 LnS 的布置设置, 此通讯过程有请求需要两条规则,以本机查询主机B的MAC为例
① 22:22:22:22:22:22 => FF:FF:FF:FF:FF:FF (允许本机广播出站)
② 22:22:22:22:22:22 <= BB:BB:BB:BB:BB:BB (允许主机B应答本机入站)

规则说明方式:=> 表示传出, <= 表示传入, == 表示双向。
提醒一定要注意按此布置设置 LnS 规则时, 有方向规定的始终要将源放就在左手边, 目标放就在右手边, 对方向为双向的始终将本机放就在左手边, 远端放就在右手边。

只要将此查询过程中的任意一个一步掐断, 则该查询过程就一定会失败。 比如有人找您公司的讨债, 总经理秘书可以能够想各种理由使债主见不到总经理, 即便见到了, 总经理也可以能够找财务不就在或就在目前实就在没钱为由不付钱, 讨债就失败了。 这两个方法就好比拦截广播和拦截应答。

子网内的两台主机要能够完整的通讯(双方都可收发数据信息)就一定要互知对方的MAC地址, 比如本机要跟主机B完整通讯, 还就一定要让主机B也能查询到我自己的 MAC。
① 22:22:22:22:22:22 => FF:FF:FF:FF:FF:FF (允许本机广播出站)
② 22:22:22:22:22:22 <= BB:BB:BB:BB:BB:BB (允许主机B应答本机入站)
③ FF:FF:FF:FF:FF:FF <= BB:BB:BB:BB:BB:BB (允许主机B广播入站)
④ 22:22:22:22:22:22 => BB:BB:BB:BB:BB:BB (允许本机应答主机B出站)

显然规则②④就在LnS中是可以能够合并的, 则两台机器完整通讯只须 3 条规则:
① 22:22:22:22:22:22 => FF:FF:FF:FF:FF:FF (允许本机广播出站)
② FF:FF:FF:FF:FF:FF <= BB:BB:BB:BB:BB:BB (允许主机B广播入站)
③ 22:22:22:22:22:22 == BB:BB:BB:BB:BB:BB (允许本机与主机B互相一起应答)

不复杂的 ARP 欺骗

前面说了, 一次查询过程有请求需要一次广播和一次应答, 但 ARP 协议中并一定不要求广播与应答成对出现, 也就是可以能够没有广播, 任意一个一台主机都可以能够主动发送send应答数据信息包, 如果目标主机没有使用静态MAC, 则只要收到应答广播就一定会更新我自己的ARP缓存表。 因此, 我们我自己可以能够人为的构建一个错误的应答数据信息包让目标主机更新我自己的ARP缓存。
比如从本机控制, 不让主机A与主机B通讯:
本机向主机A发送send应答数据信息包, 告诉它 IP-B 的 MAC 是 XX:XX:XX:XX:XX:XX
本机向主机B发送send应答数据信息包, 告诉它 IP-A 的 MAC 是 YY:YY:YY:YY:YY:YY
此时主机A和主机B的 ARP 缓存中有关联于对方的MAC都错误的, 他们互发数据信息时就一定会发到一个错误或都根本不存就在(取决于伪造的MAC)的网卡, A、B 间的通讯自然失败。 (其实只要其中一台的ARP缓存错误, A、B 间的通讯就一定会表现不正常)
想想, 如果伪造的应答数据信息包是告诉主机B:IP-1 的 MAC 是 ZZ:ZZ:ZZ:ZZ:ZZ:ZZ 会怎么样?则主机B与网关通讯会不正常, 就一定会表现为断网。 如果同一个时间对网关欺骗, 告诉它主机B的MAC为一个错误值, 且这种欺骗会一直不断持续, 则主机B再也不能够上网了。

大家常说的网络net执法官就是利用ARP欺骗来踢人的。 执法官运行时最先是会大量发送send广播, 获得所有主机的MAC地址, 之后, 想欺骗谁, 就向谁发送send伪造的应答数据信息包。

当然, ARP欺骗决不只止于此, 比如还可以能够使目标主机断线后将我自己的MAC伪造成被欺骗主机的MAC达到特殊目的, 或者同一个时间欺骗网关与目标主机, 但是用我自己的MAC代替伪造应答数据信息包中的随机MAC并启动本机的数据信息转发功能, 插入到网关与目标主机通讯中充当代理, 达到监听目标主机的目的。 但本文的目是要说明LnS中的ARP规则怎么才能布置设置, ARP欺骗不是重点。

ARP 防范

说到这样, 大家肯定已经发现一个问题:欺骗者就一定要能与被欺骗者通讯, 以便发送send伪造的应答数据信息包, 否则欺骗过程就不能够完成。 基于这点, 我们我自己可以能够从几个地方来防止 ARP 欺骗:
一、不让非信任的主机查询我自己的MAC, 欺骗者不能够与本机通讯, 自然无从欺骗了
可以能够拦截它的查询广播(要钱的一律不许进门)
可以能够拦截本机对它的应答(都来要吧, 我就一句话, 没钱, 死猪不怕开水烫)

二、使用静态MAC, 拒绝更新ARP缓存。
即便有仿造应答到达本机, 但本机不使用该包更新我自己的ARP缓存, 欺骗失败。 那么为什么使用变种二方法的网友实际中“可行”了?说可行是因为过滤太严格, 能防止绝大数大ARP欺骗, 加引号是因为可行是暂时的, 连续的长时间测试, 很有可能会断网的。
这跟具体的网络net环境有关联系, 有可能的原因比较多。 一种有可能的原因是LnS有BUG, 过滤起作用就在本机与网关建立连载之后, 或者使用了静态MAC、指定IP避免DHCP租约失效之类, 具体的我也分析不清楚。 但从原理上说, 这方法是错误的。

安全是相对的
防止ARP欺骗最好的办法就在网关和各子机上均采用静态MAC绑定。 防火墙只能增加安全系数, 不能够保证绝对完全, 一是因为防火墙有可能有BUG或者功能本身不完善又或者布置设置不善, 二是现实中的妥协有可能存就在漏洞。 比如本机为了上网信任了网关, 同一个时间为了共享信任了主机B, 但主机B是没有任意一个安全防护, 攻击者可以能够从主机B下手, 迫使主机B当机后将我自己伪造主机B的IP与MAC, 获得与本机通讯的能力后再用其它办法攻击, 更严重的情况是如果网关本身不安全, 那么就在本机上怎么才能防护都不能够取得较好的效果。

相关文章
  • Excel2016中如何利用6大公式查询
  • PHP利用Socket获取网站的SSL证书与公钥
  • 五角大楼开发“战争算法”,利用人工智能争夺未来战争优势
  • 医学大突破: 科学家成功利用人造子宫生长小羊!
  • excel中如何利用ABS函数计算绝对值
  • 网赚新手如何利用网络挣钱
  • 如何有效利用电脑里收集的资料
  • 廉江|一男子利用QQ骗取少女裸照威胁实施强奸
  • 发表评论
    阅读排行
    网站帮助 - 广告合作 - 下载声明 - 网站地图