作者:hacker发布时间:2022-07-08分类:破解邮箱浏览:173评论:4
ARP欺骗不是一种新技术。它已经存在了相当长的一段时间。
ARP欺骗就好像是攻击者不断地跟局域网中的其他设备说:"嘿!我是路由器!向我发送您想要在网络中交换的详细信息"。这是通过不断向该特定设备发送包含欺骗细节的ARP数据包,以便它相信它正在与它应该与之通话的设备通话。
而公共WiFi网络,使用场景恰恰能解释这一点:
假设有一家咖啡店,提供"免费WiFi",方便客人连接互联网。"免费WiFi"由本地网络中IP地址为192.168.1.1的无线路由器提供服务,无线路由器的MAC地址为5F:8B:B9:86:29:22。然后,顺序发生以下事件:
1. 合法用户连接到咖啡店提供的公共WiFi网络,并获得IP地址168.1.100。假设此用户使用的手机的MAC地址为9E:E6:85:8B:21:32。
2. 用户打开他的手机浏览器并使用公共WiFi服务连接到互联网。在这种情况下,他的手机通过ARP表知道接入点的IP地址是168.1.1,其MAC地址是5F:8B:B9:86:29:22。
3. 攻击者连接到同一公共WiFi网络,并获得IP地址168.1.101。假设此用户正在使用MAC地址为8E:9E:E2:45:85:C0的笔记本电脑。
4. 攻击者使用接入点192.168.1.1的IP地址而不是他分配的IP地址192.168.1.101来制作包含其MAC地址8E:9E:E2:45:85:C0的伪ARP数据包。然后,攻击者使用这个精心制作的数据包来泛洪(广播)给合法用户的手机,其IP为192.168.1.100,使其更新其ARP表条目:
一旦数据包被发送,移动电话的ARP表就会更新以下信息:192.168.1.1(接入点的IP) - 8E:9E:E2:45:85:C0(攻击者的MAC)而不是:192.168.1.1 (接入点的IP) - 5F:8B:B9:86:29:22(接入点的MAC)
发生这种情况时,用户每次连接到互联网时,网络流量并不是发送到无线路由器,而是会把所有的网络流量转发给攻击者的设备,因为网络中的设备的APP表中IP 192.168.1.1与攻击者的MAC地址是相关联的。然后攻击者接收到被攻击者的网络流量时是可以将接收到的网络流量转发到无线路由器(中间人攻击)再由无线路由器将这些网络流量发送到互联网上,又或者是直接不转发给路由器这样就会导致用户无法连接到互联网。
受到ARP欺骗攻击后,黑客就可以截取你所有的网络流量,再慢慢一一进行分析,这时,你所有的用网数据都变成透明公开的状态了。
那我们应该如何去防御呢?除了尽可能的不连接这些公共WiFi,还可以使用防火墙软件。除此之外最简单便捷的方式,那就是使用代理IP。这样,在用网的过程中,我们的真实数据被隐藏,并且加密传输,纵使是黑客,也很难破解你的账户与密码。因此,在不得不连接公共WIFI的情况下,记得使用代理IP,使用AES技术加密线上数据,开启数据保护。
arp攻击的原理
arp在目前看来可以分为7中之多。
1、arp欺骗(网关、pc)
2、arp攻击
3、arp残缺
4、海量arp
5、二代arp(假ip、假mac)
因为二代的arp最难解决,现在我就分析一下二代arp的问题。
现象 ARP出现了新变种,二代ARP攻击已经具有自动传播能力,已有的宏文件绑定方式已经被破,网络有面临新一轮的掉线和卡滞盗号的影响!
原理
二代ARP主要表现在病毒通过网络访问或是主机间的访问互相传播。由于病毒已
经感染到电脑主机,可以轻而易举的清除掉客户机电脑上的ARP静态绑定(首先执行的是arp -d然后在执行的是arp -s ,此时绑定的是一个错误的MAC)伴随着绑定的取消,错误的网关IP和MAC的对应并可以顺利的写到客户机电脑,ARP的攻击又畅通无阻了。
通过对arp原理的分析:
arp攻击的一般解决办法如下 :
1)部分用户采用的“双/单项绑定”后,ARP攻击得到了一定的控制。
面临问题双绑和单绑都需要在客户机上绑定。二代ARP攻击会清除电脑上的绑定,使得电脑静态绑定的方式无效。
(2)部分用户采用一种叫作“循环绑定”的办法,就是每过一段“时间”客户端自动绑定一个“IP/MAC”。
面临问题如果我们“循环绑定”的时间较长(比arp清除的时间长)就是说在“循环绑定”进行第二次绑定之前就被清除了,这样对arp的防范仍然无效。如果“循环绑定”的时间过短(比arp清除时间短)这块就会暂用更多的系统资源,这样就是“得不偿失”
(3)部分用户采用一种叫作“arp防护”,就是网关每过一段时间按照一定的“频率”在内网发送正确网关“IP/MAC”
面临问题如果发送的“频率”过快(每秒发送的ARP多)就会严重的消耗内网的资源(容易造成内网的堵塞),如果发送“频率”太慢(没有arp协议攻击发出来频率高)在arp防范上面没有丝毫的作用。
最彻底的解决办法
(4)arp是个“双头怪”要想彻底解决必须要“首尾兼顾”有两种方式可以实现
第一 采用“看守式绑定”的方法,实时监控电脑ARP缓存,确保缓存内网关MAC和IP的正确对应。在arp缓存表里会有一个静态的绑定,如果受到arp的攻击,或只要有公网的请求时,这个静态的绑定又会自动的跳出,所以并不影响网络的正确的访问。这种方式是安全与网卡功能融合的一种表现,也叫作“终端抑制”
第二就是在网络接入架构上要有“安全和网络功能的融合”就是在接入网关做NAT的时候不是按照传统路由那样根据“MAC/IP”映射表来转发数据,而是根据他们在NAT表中的MAC来确定(这样就会是只要数据可以转发出去就一定可以回来)就算ARP大规模的爆发,arp表也混乱了但是并不会给我们的网络造成任何影响。(不看IP/MAC映射表)这种方法在现有控制ARP中也是最彻底的。也被称为是“免疫网络”的重要特征。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
ARP协议主要负责将局域网中的32位IP地址转换为对应的48位物理地址,即网卡的MAC地址,比如IP地址位192.168.0.1网卡MAC地址为00-03-0F-FD-1D-2B.整个转换过程是一台主机先向目标主机发送包含有IP地址和MAC地址的数据包,通过MAC地址两个主机就可以实现数据传输了.
ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
你好,ARP病毒原理如下:arp病毒利用arp协议的漏洞进行传播,通常此类攻击的手段有两种:路由欺骗和网关欺骗。
如果中了这个病毒,建议按下面两步来处理:
1、首先开启腾讯电脑管家的ARP防火墙
2、重启计算机进入安全模式(重启按F8进入),使用腾讯电脑管家进行全盘查杀
有其他问题欢迎到电脑管家企业平台咨询,我们将竭诚为您服务!
标签:arp攻击软件原理
已有4位网友发表了看法:
访客 评论于 2022-07-08 20:06:58 回复
32位IP地址转换为对应的48位物理地址,即网卡的MAC地址,比如IP地址位192.168.0.1网卡MAC地址为00-03-0F-FD-1D-2B.整个转换过程是一台主机先向目标主机发送包含有I
访客 评论于 2022-07-09 00:03:01 回复
下二代arp的问题。现象 ARP出现了新变种,二代ARP攻击已经具有自动传播能力,已有的宏文件绑定方式已经被破,网络有面临新一轮的掉线和卡滞盗号的影响!原理 二代ARP主要表现在病毒通过网络访问或是主机间的访问互相传播。由于病毒已经感染到电脑主机,可以
访客 评论于 2022-07-09 02:03:13 回复
在执行的是arp -s ,此时绑定的是一个错误的MAC)伴随着绑定的取消,错误的网关IP和MAC的对应并可以顺利的写到客户机电脑,ARP的攻击又畅通无阻了。通过对arp原理的分析:arp攻击的一般解决办法如下 : 1)部分用户采用的“双/
访客 评论于 2022-07-09 04:26:27 回复
定方式已经被破,网络有面临新一轮的掉线和卡滞盗号的影响!原理 二代ARP主要表现在病毒通过网络访问或是主机间的访问互相传播。由于病毒已经感染到电脑主机,可以轻而易