專家防范局域網(wǎng)ARP協(xié)議欺騙

第一， 前提的理論

在“一個好人委屈， 而不是讓一個壞的原則， ”我現(xiàn)在談?wù)摰囊恍┫敕ê屠碚摗? 首先， 我們將發(fā)送給ARP協(xié)議欺騙數(shù)據(jù)包將是一個惡意程序自動發(fā)送正常的TCP / IP網(wǎng)絡(luò)是不會這樣的錯誤包發(fā)送。 這種假設(shè)， 如果嫌疑人沒有啟動銷毀過程， 它是正常的網(wǎng)絡(luò)環(huán)境， 或環(huán)境中， ARP協(xié)議的網(wǎng)絡(luò)是正常的， 如果我們能啟動嫌疑人在刑事訴訟程序第一次開始， 發(fā)現(xiàn)他的罪行， 處理贓物， 使人們在所有的不可抵賴性， 如前所述， 前面網(wǎng)絡(luò)正常的時候證據(jù)是可信和可依靠的。 好吧， 那么我們談?wù)撊绾螘r， 他發(fā)現(xiàn)在第一的犯罪活動。

ARP協(xié)議的原則欺騙如下：

假設(shè)這樣一個網(wǎng)絡(luò)， 那么， 集線器的3機

主機主機HostC之一

A是位于：的IP ： 192.168.10.1的MAC ： AA型AA型AA型AA型AA型機管局

B是位于：的IP ： 192.168.10.2的MAC ：體一BB一BB一BB一BB一BB

C是位于：的IP ： 192.168.10.3的MAC ：循環(huán)循環(huán)循環(huán)循環(huán)循環(huán)循環(huán)

在正常情況下ç ： \ ARP協(xié)議一

接口： 192.168.10.1接口0x1000003

互聯(lián)網(wǎng)地址物理地址類型

192.168.10.3的CC -的CC -的CC -的CC -的CC -連鑄動態(tài)

現(xiàn)在假設(shè)開始刑事欺騙主機ARP協(xié)議：

A到B發(fā)送偽造的ARP協(xié)議自身的反應(yīng)， 反應(yīng)中的數(shù)據(jù)的IP地址， 發(fā)件人是192.168.10.3 （ C的IP地址） ， MAC地址的DD - DD -雙刀盤差異差異差異差異（ C的這應(yīng)該是MAC地址的CC -連鑄循環(huán)循環(huán)循環(huán)循環(huán)， 這里是一個偽造） 。 A到B偽造的， 當收到ARP協(xié)議的反應(yīng)， 我們將更新本地ARP高速緩存（甲無法判斷這是否是偽造的） 。 事實上， 但不知道從B發(fā)送回來， 在這里只有阿192.168.10.3 （ C的IP地址）和無效的差異差異差異差異差異差異MAC地址， 也沒有相關(guān)的犯罪證據(jù)向B ， 河公頃， 使犯罪分子將萊西。

一部是ARP高速緩存的更新：

ç ： \ “ ARP協(xié)議一

接口： 192.168.10.1接口0x1000003

互聯(lián)網(wǎng)地址物理地址類型

192.168.10.3差異差異差異差異差異差異動態(tài)

這是不小的問題。 局域網(wǎng)絡(luò)基礎(chǔ)上的IP地址是不容談判的， 但根據(jù)MAC地址的傳遞時間。 192.168.10.3現(xiàn)在在A的MAC地址發(fā)生了變化的MAC地址不存在。 現(xiàn)在開始192.168.10.3平提交的MAC地址卡的DD - DD -雙刀盤差異差異差異差異， 其結(jié)果是什么呢？互聯(lián)網(wǎng)接入， 一個不能平碳！ ！

因此， 局域網(wǎng)中一臺機器反復向其他機器， 特別是向網(wǎng)關(guān)， 發(fā)送這樣無效假冒ARP協(xié)議響應(yīng)數(shù)據(jù)包， NND ， 嚴重堵塞在網(wǎng)絡(luò)上開始了！網(wǎng)吧管理員的噩夢開始了。 我的目標和任務(wù)是第一次， 抓住他。 但早先的聲明罪犯一樣完美的使用以太網(wǎng)的缺陷， 以掩蓋他們的罪行。 但事實上， 上述方法已經(jīng)離開的線索。 盡管， ARP協(xié)議數(shù)據(jù)包主機沒有留下地址， 但是， 對ARP包帶有以太網(wǎng)幀， 但主機包含源地址。 此外， 在正常情況下， 以太網(wǎng)的幀， 標題中的MAC地址的源/目的地址和幀應(yīng)在ARP協(xié)議的信息包匹配， 因此對ARP包是正確的。 如果不正確， 肯定是偽造的封裝， 可以提醒！但是， 如果比賽中， 這并不一定意味著正確的可能偽造這樣一個步驟已經(jīng)考慮到， 并偽造出符合格式， 但內(nèi)容的數(shù)據(jù)包地址解析協(xié)議假。 然而， 這并不重要， 只要網(wǎng)關(guān)本王有一個部分， 所有的MAC地址的信用卡數(shù)據(jù)庫， 如果蘋果不匹配數(shù)據(jù)庫中的數(shù)據(jù)也是偽造的數(shù)據(jù)包地址解析協(xié)議。 也提醒手中的罪犯。

其次， 預防措施

1 。 DHCP服務(wù)器的設(shè)置（在建議建立網(wǎng)關(guān)的DHCP ， 因為人數(shù)的CPU ， 以及ARP欺騙攻擊一般總是第一個網(wǎng)關(guān)， 我們希望讓他第一次攻擊網(wǎng)關(guān)， 網(wǎng)關(guān)， 因為有監(jiān)測程序， 網(wǎng)關(guān)地址建議選擇192.168.10.2 ， 在192.168.10.1留空， 如果犯罪程序這么笨， 讓他地址欄和空中襲擊） ， 和所有客戶端的IP地址和主機有關(guān)的信息， 才能取得在這里網(wǎng)關(guān)， 網(wǎng)關(guān)這里開幕DHCP服務(wù)， 但給每個信用卡， 唯一的具有約束力的固定IP地址。 必須保持網(wǎng)絡(luò)的機器的IP / MAC的一個映射。 這是客戶端的DHCP地址， 但每次開機是相同的IP地址。

2 。 陸委會建立一個數(shù)據(jù)庫， 以網(wǎng)吧的所有網(wǎng)卡的MAC地址記錄， 每個MAC和知識產(chǎn)權(quán)， 所有的地理位置到數(shù)據(jù)庫， 以便查詢記錄及時。

3 。 網(wǎng)關(guān)機器關(guān)閉ARP協(xié)議動態(tài)刷新過程中， 使用靜態(tài)路由， 這種情況下， 即使嫌疑人使用ARP欺騙網(wǎng)關(guān)， 這個網(wǎng)關(guān)是沒有用的， 確保主機安全。

網(wǎng)關(guān)建立靜態(tài)IP / MAC的捆綁起來：的/ etc /醚文件， 其中包含正確的IP / Mac的信件格式如下：

192.168.2.32 8時00分04秒電子郵件：本B0 ： 24:47

然后的/ etc / rc.d / rc.local最后添加：

ARP協(xié)議口才能生效

4 。 網(wǎng)關(guān)監(jiān)聽網(wǎng)絡(luò)安全。 網(wǎng)關(guān)TCPDUMP使用上述程序截取每個ARP協(xié)議包， 得到一個腳本分析軟件分析這些ARP協(xié)議的協(xié)議。 ARP協(xié)議欺騙攻擊的包一般有以下特點的兩個， 以滿足一個包可以被看作是攻擊警察：第一以太網(wǎng)包頭源地址， 目的地地址和ARP協(xié)議包不匹配的地址協(xié)議。 或者， ARP協(xié)議和發(fā)送數(shù)據(jù)包的目的地地址是不是自己的數(shù)據(jù)庫網(wǎng)絡(luò)卡的MAC ， MAC或網(wǎng)絡(luò)數(shù)據(jù)庫有自己的MAC / IP協(xié)議不相符。 所有這些首先向警方報案， 調(diào)查這些數(shù)據(jù)包（以太網(wǎng)數(shù)據(jù)包）源地址（可能是偽造的） ， 或多或少知道自己的電腦中的攻擊。

5 。 偷偷來的機器， 看看是否使用故意或任何釋放什么木馬了。 如果是后者， 悄悄地， 他要尋找的借口愷， 掏出電纜（而不是關(guān)閉， 特別是看該計劃的使命Win98下） ， 看看目前使用的機械和創(chuàng)紀錄的業(yè)績， 看是否是在這次襲擊中。