ARP欺骗:先认识再防御
近年来,随着信息技术的不断发展,网络已深入到人们的日常生活工作中。由于局域网具有网络资源共享、易统一管理等诸多优点,因此得到了越来越多的重视和普及。但不得不说的是,网络资源的开放性、共享性和互联性在给人们带来生活便利的同时也潜伏着许多安全隐患,针对局域网的病毒种类日益增多,其中以ARP攻击现象最为突出。本文将对ARP欺骗及其防御措施的相关知识点做简单梳理,并选取一种具有代表性的ARP病毒进行行为分析并给出手工处理方案。
时常听说ARP欺骗,那么到底什么是ARP欺骗呢?
局域网的通信不是根据IP地址进行的,而是按照MAC地址进行传输的,而ARP(Address Resolution Protocol)就是一种将IP地址转化成物理地址的协议。ARP攻击通过伪造MAC地址实现ARP欺骗,下面举例说明。
主机名 |
IP地址 |
MAC地址 |
A |
192.168.0.1 |
AA-AA-AA-AA-AA-AA |
B |
192.168.0.2 |
BB-BB-BB-BB-BB-BB |
C |
192.168.0.3 |
CC-CC-CC-CC-CC-CC |
表1:IP-MAC对照表
表1显示的是局域网中A、B、C三台计算机的IP地址和MAC地址,我们假设B感染了ARP病毒,由黑客后台操控。黑客会发送伪装的ARP reply包告诉A说“C的MAC地址是B的MAC地址”,再发送伪装的ARP reply包告诉C说“主机A的MAC地址是B的MAC地址”。这样A与C之间的通讯都将先经过B,然后由B进行转发。于是黑客就可以通过B窃取到所有A与C之间的数据传输,并造成A与C的通信失败,这就是一个简单且具有代表性的ARP欺骗实例。
如何防御ARP欺骗?
了解了ARP欺骗攻击原理后,大致可以从以下三个方面进行防范:
1) 提高客户端本机的安全性
及时更新本机的操作系统和应用程序补丁,防止黑客利用这些漏洞来攻击用户。安装和更新杀毒软件,开启主动防御和实时监控,并定期杀毒。
2) 利用交换机防止ARP攻击
在交换机上绑定MAC地址与IP地址,为每台主机添加一条IP地址和MAC地址对应的关系静态地址表,用户发送数据包时,若交换机获得的IP和MAC地址与之前建立的映射表匹配,则发送的包能通过,否则将丢弃该数据包,从而有效地防止ARP欺骗。
3) 借助第三方软硬件
防火墙是一种协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件,也可以是一套软件,通过防火墙可以设置相关网络规则,强化网络安全策略,提高局域网数据流的安全性。
感染ARP病毒后的解决方法
尽管做了各种防御措施,但仍有可能百密一疏被病毒钻了漏洞。如果网络安全管理员发现局域网表现出网速时快时慢、频繁性区域或整体掉线等典型的ARP病毒现象时,就要警醒了,这很有可能是感染了ARP病毒,接下来就要开展一系列的“与病毒作斗争”的工作了。
1) 首先要在局域网中定位病毒源。定位方法有很多,这里只介绍一种最简单的,不借助第三方工具的“命令行法”。由于感染ARP病毒的电脑会不断向全网发送ARP欺骗广播,使局域网其他电脑动态更新自身的ARP缓存表,将网关的MAC地址更新成染毒机的MAC地址,所以只要在已经受到ARP攻击的计算机上查看当前网关的MAC地址,就能获得染毒机的MAC地址了。在cmd命令行提示符窗口中输入“ARP -a”后回车便可返回当前网关的MAC地址,也就是染毒机的MAC地址。这时我们再根据网络正常时的IP-MAC对照表就能定位到染毒机的IP地址了。
2) 将染毒机断网隔离出来,单独进行病毒的清除。一般会借助杀毒软件和一些ARP专杀工具,但如果杀毒软件不能正确识别病毒的话,就需要手动清除了。
下面通过对某一ARP病毒的分析,简要介绍其手动处理方法。
Trojan.DL.Win32.Undef.snc病毒行为分析及手动处理方法
病毒运行后会Sleep 30秒钟没有任何行为,借此躲避一些杀毒软件的主动防御和启发式扫描。然后向系统System32目录下释放npf.sys、Packet.dll、WanPacket.dll、wpcap.dll和360smty.exe五个文件。其中npf.sys、Packet.dll、WanPacket.dll和wpcap.dll是winpcap(windows packet capture)抓包工具的正常文件,并且都有合法的数字签名。360smty.exe才是Arp欺骗病毒,该病毒是从网络中一款开源ARP工具(ARP cheat and sniffer)修改过来的,会在文件的末尾附加8M的垃圾数据,从而达到防止云上传查杀的目的。随后病毒调用特殊参数启动360smty.exe,使局域网中所有的机器在访问网页的时候,会在返回的页面数据中插入挂马语句,导致没有及时更新微软安全补丁的机器中木马,并有可能使整个局域网网络异常。
图1:病毒释放的5个文件,只有360smty.exe是病毒程序
由于该病毒对本机影响并不大,所以处理过程很简单。首先结束360smty.exe进程,然后手工删除病毒释放到系统目录下的5个文件即可。
ARP病毒是目前局域网中较为广泛传播的病毒之一,它严重威胁着局域网的稳定性和安全性,发作时会导致局域网频繁中断甚至最终瘫痪,并盗取局域网用户私密信息,危害十分严重。所以作为网络安全管理人员对ARP病毒要有一定的认知,方能有效地防御ARP攻击,希望本文能对大家有所帮助。
ARP欺骗:先认识再防御相关推荐
- ARP欺骗攻击原理及其防御
一.概述 1.ARP协议 地址解析协议,将IP地址转换为对应的mac地址,属链路层协议 数据包分为: 请求包(广播):本机IP地址.mac地址+目标主机IP地址 应答包(单播):本机IP地址.mac地 ...
- ARP欺骗泛洪攻击的防御——DAI动态ARP监控技术
目录 一.DAI动态ARP监控技术(具备DHCP SNOOPING环境下): 二.非DHCP SNOOPING环境下: 三.扩展:自动打开err-disable接口方法: arp欺骗详细过程前往一下连 ...
- 无ARP欺骗嗅探技术
文/图 刘志生 ARP欺骗的攻击和防御技术都比较成熟了,杂志以前的文章也介绍得比较详细,这里就不再细述了.本文重点讲解如何不使用ARP欺骗进行嗅探以及会话劫持的技术原理,实际的攻击方法是进行MAC欺骗 ...
- 第五天 01-ftp服务器使用及arp欺骗获取ftp账号密码
windows ftp服务器使用 概述 FTP:File Transfor Protocol,文件传输协议. 端口号: 主动模式:当FTP服务开启时,TCP21端口号开启,该端口号称为控制端口. TC ...
- ARP欺骗攻击与防御
本次实验采用虚拟机完成,虚拟机须在同一网段 一.虚拟机 kali2022,Windows7 攻击方:kali2022 靶机方:Windows7 二.下载driftnet软件 直接输入driftnet, ...
- ARP欺骗防御工具arpon
ARP欺骗防御工具arpon ARP欺骗是局域网最为常见的中人间攻击实施方式.Kali Linux提供一款专用防御工具arpon.该工具提供三种防御方式,如静态ARP防御SARPI.动态ARP防御DA ...
- Linux下防御ARP欺骗
文章目录 1 ARP 欺骗攻击简介 2 ARP 欺骗攻击方法 3 ARP 欺骗攻击如何防御 4 防御 ARP 欺骗的具体方案 5 是否防御成功 1 ARP 欺骗攻击简介 又称中间人攻击. ARP 欺骗 ...
- ARP欺骗攻击的检测和防御
以太网构建由 1500 个字节的块组成的数据帧.每个以太网数据帧头包括源 MAC 地址和 目的 MAC 地址.建造以太网数据帧,必须从 IP 数据包中开始.但在构建过程中,以太网并 不知道目标机器的M ...
- ARP的欺骗泛洪攻击的防御——DAI动态ARP监控技术、
目录 一.DAI动态ARP监控技术(具备DHCP SNOOPING环境下): 二.非DHCP SNOOPING环境下: 扩展:自动打开err-disable接口方法: arp欺骗详细过程前往一下连接: ...
最新文章
- c 传入易语言字节,易语言字节集参数传递详解
- python实现mysql事务_python连接mysql并提交mysql事务示例
- Python 越被黑越红?2 万程序员这么说......
- Underscore.js 入门
- Codeforces Round #529 (Div. 3) F. Make It Connected(最小生成树)
- 记录 之 Argparse 中的 可选参数 action 用法
- 搭建K8s集群(kubeadm方式)-部署node节点和集群测试
- 网页中,列表数据的分页加载、自动加载
- 创建dqn的深度神经网络_深度Q网络(DQN)-III
- apache log分析
- 计算机启动dos,开机怎么进入dos_开机怎么进入dos界面
- 笔记:复旦IC卡专用芯片型号 -用于替代进口同类产品 - 草稿
- 计算机桌面截图怎么截,电脑怎么截图?电脑截图的五大方法
- web端内嵌二维码进行微信登陆
- 51单片机学习笔记(郭天祥版)(5)——作业讲解、独立键盘、矩阵键盘
- android手机微信收藏功能实现,微信小程序实现收藏功能
- 攻防世界----confusion1
- Ubuntu系统中文输入法配置安装(谷歌拼音)
- python 网络培训班费用具体是多少?
- 北华航天工业学院计算机如何,北华航天工业学院的实力怎么样?如何评价这所学校?...