广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 4288 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
superwisely
个人文章 个人相簿 个人日记 个人地图
小有名气
级别: 小有名气 该用户目前不上站
推文 x6 鲜花 x22
分享: 转寄此文章 Facebook Plurk Twitter 版主评分 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x1
[资讯教学] ARP技术资料
早期出现的ARP攻击在网路的示显情况如下:
ping路由器的LAN IP出现Packets loss
然后又连上
这很有可能是中了ARP攻击
显示如下图。

Pinging 192.168.0.1 with 32 bytes of data:
Reply from 192.168.0.1: bytes=32 time=2ms TTL=64
Reply from 192.168.0.1: bytes=32 time=1ms TTL=64
Request timed out.
Request timed out
Reply from 192.168.0.1: bytes=32 time=1ms TTL=64
Reply from 192.168.0.1: bytes=32 time=1ms TTL=64

为了进一步确认
我们可以通过查找ARP表来判断。

输入ARP -a命令,显示如下图。

C:\WINDOWS>arp -a
Interface: 192.168.0.100 --- 0x2
Internet Address Physical Address Type
192.168.0.1 00-11-95-f1-08-38 dynamic
192.168.0.100 00-0e-35-ff-6f-54 static
192.168.0.111 00-11-95-f1-08-38 dynamic

在上述出现的IP资料中
192.168.0.1 and 192.168.0.111所出现的MAC Address
都是00-11-95-f1-08-38
这就是标准的ARP攻击会出现的MAC Address重覆问题。

在上述的ARP攻击模式主要是那该单机的MAC Address
改成跟ROUTE一样的MAC Address
以便将其原本导向ROUTE的封包导至该单机以达到ARP攻击效果。

其简易解决的方式就是将其ROUTE的MAC Address
在单机上直接设定成静态ARP即可。
指令如下:

RouteIP MAC Address
arp -d
arp -s 192.168.0.111 00-11-95-f1-08-38。


在新型ARP攻击一样是出现在PING的过程中出现Packets loss。

Pinging 192.168.0.1 with 32 bytes of data:
Reply from 192.168.0.1: bytes=32 time=2ms TTL=64
Reply from 192.168.0.1: bytes=32 time=1ms TTL=64
Request timed out.
Request timed out
Reply from 192.168.0.1: bytes=32 time=1ms TTL=64
Reply from 192.168.0.1: bytes=32 time=1ms TTL=64

但是在检查arp table却找不到有相同MAC Address
而且就算是指定的静态arp也是一样无法改善Packets loss的问题,

检查发现这是因为ARP攻击并没有将单机自身的MAC Address
改成ROUTE MAC Address而是将ROUTE所接收到的IP对映的MAC Address
都改成该单机本身的MAC Address

故在arp -a的清单中找不到重覆的MAC Address。
请在Route中执行输入show arp命令,显示如下图。

Protocol Address Age (min) Hardware Addr Type Interface
Internet 210.242.221.197 133 0015.f29b.8165 ARPA FastEthernet0/0
Internet 210.242.221.196 132 0015.f29b.8165 ARPA FastEthernet0/0
Internet 210.242.221.199 188 0015.f29b.8165 ARPA FastEthernet0/0
Internet 210.242.221.193 4 0017.31c4.3cdf ARPA FastEthernet0/0
Internet 210.242.221.195 119 0015.f29b.8165 ARPA FastEthernet0/0
Internet 210.242.221.194 0 0015.f299.a270 ARPA FastEthernet0/0

上述Hardware Addr就是MAC Address
在上述资料中会发现不同的IP却出现相同的MAC Address
请依MAC Address与arp -a所出现的MAC Address进行比对

就会出现其对映MAC Address的正确IP为何
在一般的ARP攻击与新型出现的ARP攻击

最大的差别在于一般的ARP攻击
是针对单机的MAC Address修改成ROUTE的MAC Address

所以当出现断线是是全场的大断线
而新型出现的ARP攻击
由于不一定修改了所有的IP对映的MAC Address
故在断线时也是只有在MAC Address有修改的单机

防治新型方式:
最简易的方式就是进行ARP的双向静态设定
所谓的双向静态设定是指在单机及ROUTE or 频宽管理器上
同时将全场的单机MAC Address静态设定

但针对ROUTE进行ARP静态设定维护不易
在单机换IP或换网卡都必须重新设定故建议采购频宽管理器以利维护

限制:
对进行ARP的双向静态设定时
并不是设定了双向静态设定就是所有的单机都不会被攻击
双向静态设定主要的功能是可以避免区网内有人在进行ARP攻击而产生影响
但对于在攻击的那一台单机一样还是有可能出现LAG及断线的情形

此文章被评分,最近评分记录
财富:50 (by upside) | 理由: 感谢提供资讯 数位男女因你而丰富



Hello~
献花 x1 回到顶端 [楼 主] From:台湾中华电信 | Posted:2006-11-13 17:40 |
YukiPhoenix 手机
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x1 鲜花 x301
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

就是这个!
最近挂BT常常被这"阻断式封包"攻击...
难怪我老是断线

以下三套软体可以预防:
Necut (原本用来攻击别人的,2.0版以后可以预防攻击)
Anti-Netcut (只要一个按键就可以预防只要一个按键就可以预防,小巧简单)
AntiArpSniffer (这套软体除可以预防还可以反击攻击你的人...)


[ 此文章被雪‧凤凰在2006-11-13 22:03重新编辑 ]


献花 x0 回到顶端 [1 楼] From:台湾数位联合 | Posted:2006-11-13 21:57 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.069312 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言