ARP欺骗技术及防范技术
关键词:arp;欺骗;原理;危害;防范
arp是一个位于tcp/ip协议栈中的低层协议,负责将某个ip地址解析成对应的mac地址。当一个基于tcp/ip的应用程序需要从一台主机发送数据给另一台主机时,它把信息分割并封装成包,附上目的主机的ip地址。然后,寻ip地址到实际mac地址的映射,这需要发送arp广播消息。当arp到目的主机mac地址后,就可以形成待发送帧的完整以太网帧头。最后,协议栈将ip包封装到以太网帧中进行传送。
一、什么是“arp欺骗”以及“arp欺骗”的原理
什么是arp欺骗:从影响网络连接通畅的方式来看,arp欺骗分为二种,一种是对路由器arp表的欺骗;另一种是对内网pc的网关欺骗。
arp欺骗的原理:1、对路由器arp表的欺骗——原理是截获网关数据。它通知路由器一系列错误的内网mac地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的mac地址,造成正常pc无法收到信息。2、对
内网pc的网关欺骗——原理是伪造网关。它的原理是立假网关,让被它欺骗的pc向假网关发数据,而不是通过正常的路由器途径上网。在pc看来,就是上不了网了,即“网络掉线了”。
二、检查 “ arp 欺骗”
检查本机的“arp欺骗”木马染毒进程
按住键盘上的ctrl+alt+del打开“任务管理器”,选择“进程”标签。查看其中是否有一个名为“ mir0.dat ”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。检查网内感染“ arp 欺骗”木马染毒的计算机
(1)下载anti arp sniffer软件保护本地计算机正常运行。同时把此软件设为“自动启动”,步骤:先把生成桌面快捷方式->选”开始”->“程序”->双击”启动”->再把桌面快捷键拷到”启动”中,以保证下次开机自动运行,起到保护的作用。
(2)在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令:
ipconfig 记录网关 ip 地址,即“ default gateway ”对应的值,例如“192.168.10.55 ”。再输入
并执行以下命令:arp –a在“ internet address ”下到上步记录的网关 ip 地址,记录其对应的物理地址,即“ physical address ”值,例如“00-11-2f-02-29-e3”。在网络正常时这就是网关的正确物理地址,而在网络受到“ arp 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。还可以扫描本子网内的全部 ip 地址,然后再查 arp 表。如果有一个 ip 对应的物理地址与网关的相同,那么这个 ip 地址和物理地址就是中毒计算机的 ip 地址和网卡物理地址。
三、防范及应对“arp欺骗”
1.防范“arp欺骗”
(1)增强安全意识,不要浏览一些缺乏可信度的网站;
(2)不要轻易下载和安装盗版的、不可信任的软件或者程序;
(3)不要随便打开不明来历的,尤其是邮件附件;
(4)不要随便点击打开qq、msn等聊天工具上发来的链接信息;
(5)不要随便共享文件,如果确实需要最好设置权限,指定访问,建议不可写入;
(6)禁用系统的自动播放功能,防止病毒从u盘、移动硬盘、mp3等移动存储设备进入到计算机。
(7)及时修补系统漏洞(比如,打上arp补丁kb842168等等);
(8)修复不安全的设置(比如,为系统设置强密码,即长度不少于七位,使用大写字母、小写字母、阿拉伯数字和特殊符号三种以上的组合);
(9)关闭不必要的系统服务;
(10)安装正版的杀毒软件网络版,经常更新病毒库
2.处理病毒对策
(1)步骤一:在能上网时,(如图三)进入ms-dos窗口,输入命令:arp –a 查看网关ip对应的正确mac地址,将其记录下来。 注:如果已经不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立
即将网络断掉(禁用网卡或拔掉网线),再运行arp –a。
步骤二:如果已经有网关的正确mac地址,在不能上网时,手工将网关ip和正确mac绑定,可确保计算机不再被攻击影响。
手工绑定可在ms-dos窗口下运行以下命令: arp –s 、网关ip、受到arp攻击 网关mac。 例如:假设计算机所处网段的网关为218.197.192.254,本机地址为218.197.192.1在计算机上运行arp –a后输出如下: c:\documents and settings>arp -a interface: 218.197.192.1---0x2internet address physical address type 218.197.192.254 00-01-02-03-04-05 dynamic 其中00-01-02-03-04-05就是网关218.197.192.254对应的mac地址类型是动态(dynamic)的,因此是可被改变。被攻击后,再用该命令查看,就会发现该mac已经被替换成攻击机器的mac,如果大家希望能出攻击机器,彻底根除攻击,可以在此时将该mac记录下来,为以后查做准备。 手工绑定的命令为:arp –s 218.197.192.254 00-01-02-03-04-05 绑定完,可再用arp –a查看arp缓存,c:\documents and settings>arp -a interface: 218.197.192.1 --- 0x2 internet address physical address type 218.197.192.254 00-01-02-03-04-05 static 这时,类型变为静态(static),就不会再受攻击影响了。
(2)如果已有病毒计算机的mac地址,可使用nbtscan或anti arp sniffer软件出网段内与该mac地址对应的ip,即病毒计算机的ip地址,然后可报告校网络中心对其进行查封。 nbtscan的使用方法:下载nbtscan.rar到硬盘后解压,然后将cygwin1.dll和两文件拷贝到c:\windows\system32(或system)下,进入msdos窗口就可以输入命令: nbtscan -r 218.197.192.0/24 (假设本机所处的网段是218.197.192,掩码是255.255.255.0;实际使用该命令时,应将斜体字部分改为正确的网段) 。注:使用nbtscan时,有时因为有些计算机安装防火墙软件,nbtscan的输出不全,但在计算机的arp缓存中却能有所反应,所以使用nbtscan时,还可同时查看arp缓存,就能得到比较完全的网段内计算机ip与mac的对应关系。
四、总结
此次网络出现的木马病毒不仅会影响自己的上网和信息安全,还会波及整个政务信息网,对政务信息网的网络运行和信息安全是严重的威胁。发现网络时断时续的现象请及时采取行动。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论