最近,
网络中
经常有断开
连接的主机,但它们刚刚开始正常。但经过一段时间,有一个断开连接。有时它会很快
恢复,但有时会花上几分钟,这会对
工作产生很大的
影响。最初怀疑它是否是身体上的
错误,从最容易开始的事情开始
检查,检查后
发现没有异常!认为当前比较流行的在线ARP攻击突然出现,
故障ARP攻击发生,这与ARP攻击非常相似!常规
方法很难
识别和确定需要。捕获分析。
1。原理知识
在我们
解决这个问题之前,我们首先要了解ARP的相关原理。
ARP原理:
首先,每个主机都会在自己的ARP缓冲区
设置一个ARP表(arpcache)为代表的IP
地址和MAC地址之间的对应关系。当源主机需要一个数据包要发送到目的主机时,会首先检查IP地址和MAC地址,如果有你的ARP名单,只是将数据包发送到MAC地址;如果没有,它推出了一个ARP请求的广播包,
本地网络
查询MAC地址对应到目的主机的ARP请求包,包括源主机的IP地址,
硬件地址和目的主机的IP地址。
当网络中所有主机收到这个ARP请求,它会检查是否在数据包的目的IP是自己的IP地址一致,如果不一样,这个包被忽略;如果相同,主机首先将发送端的MAC地址和IP地址添加到自己的ARP表,如果在ARP表信息已经存在的IP将被覆盖,然后给源主机发送一个ARP响应数据包,告诉对方自己需要找到MAC地址;源主机收到ARP响应数据包,
目标主机的IP地址和MAC地址添加到您的ARP列表,并使用这个信息数据
传输。如果源主机一直没有收到ARP响应包,它表明ARP查询失败。
欺骗原理:
让我们首先
模拟环境:
网关:192.168.1.1的MAC地址:00:11:22:33:44:55
欺骗:192.168.1.100主机MAC地址:00:11:22:33:44:66
B:对欺骗的主机MAC地址:00:11:22:33:44:77 192.168.1.50
发送欺骗主机ARP响应一直包到网关,网关是192.168.1.50主机B告诉他,所以在ARP缓存表的网关主机欺骗网关,并有相应的192.168.1.50 MAC MAC 00:11:22:33:44:66地址欺骗主机,到真正的主机B通信网关转发到另一个主机;同时不停主机主机B主机B发送ARP请求,相信主人在网关缓存,主机B有192.168.1.1对应00:11:22:33:44:66记录,所以主机B发送到真正的数据流将被转发到网关主机;意味着主机和主机之间的通信网关,主机作为一个中间人,彼此之间的转发,这是ARP欺骗。
2。解决方案
看来,只有捕获,首先,我会做交换机端口
镜像设置,然后
安装计算机接入网络分析端口镜像
系统,对所有数据捕获网络进行分析。通过几点我得到的分析结果:诊断视图
提示有太多ARP不响应;
在诊断中,我发现几乎所有的ARP响应由00:20:艾德:AA:0d:04.it还建议,有可能是在
参考信息ARP欺骗。看来我的方向是
正确的,但进一步的决心,我要结合其他信息。看看协议视图了解了ARP协议的细节,
ARPResponse和ARPRequest之间的差别太大了。这不正常。接下来,看看包的细节。
我已经从数据包信息的问题,看到00:20:艾德:AA:0d:04在这段192.168.17.0欺骗网络主机,应该告诉你,它是网关,作为身份的一个中介,交通被欺骗主机跟他走了。核;。
现在确定基本的ARP欺骗攻击,现在我需要检查主机的MAC地址是00:20:艾德:AA:0d:04主机,幸运的是我在一个记录所有常见的主机的MAC地址和主机表,终于找到了主人的凶手。可在ARP
病毒,立即破净杀下毒。网络的正常
运行,唉!整个世界和安静!
三.总结(失败的原则)
让我们回顾一下上面的ARP攻击的主机的MAC地址:艾德:00:20 AA:0d:04,所有主机扫描攻击192.168.17.0这段,并认为它是网关被欺骗主机的数据发送到MAC地址的主机00:20:艾德:AA:0d:04,但从包我爬,MAC为00:20:艾德:AA:0d:04主机不欺骗真正的网关,所以我们将网络断网。
4。补充内容
我们仍然可以防范ARP攻击的失败,以下三种方法是常用的方法:
方法1:每次对每个主机进行MAC地址记录时,当出现这种
情况时,可以使用MAC地址扫描
工具扫描当前网络中主机的相应MAC地址。参考以前的记录,我们也可以找出问题所在。
方法二:arpndash;可以MS-DOS窗口下运行以下
命令:arpndash;手工绑定的网关IP和网关MAC的静态绑定,你可以尽可能地减少攻击。需要说明的是,手动绑定将失败在计算机重新
启动后,需要再次绑定。但是我们可以制作一个批
处理文件,这样可以减少一些繁琐的手工绑定。
方法三:使用软件(antiarp)使用AntiARPSniffer可以防止数据截取利用ARP技术防止ARP技术发送地址冲突的数据包的使用。