陈彬朋友同学交流论坛
朋友你好!欢迎进入陈彬朋友同学交流论坛!

电脑网络《ARP攻击》技术

向下

电脑网络《ARP攻击》技术

帖子  陈彬 于 周五 十月 01, 2010 10:03 pm

ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。最早探讨ARP攻击的文章是由Yuri Volobue所写的《ARP与ICMP转向游戏》。
ARP定义
  ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的底层协议,负责将某个IP地址解析成对应的MAC地址。   ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。   ARP(AddressResolutionProtocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。
ARP攻击原理
  ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。   ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。   某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
ARP攻击的演化
  初期:   这种有目的的发布错误ARP广播包的行为,被称为ARP欺骗。ARP欺骗,最初为黑客所用,成为黑客窃取网络数据的主要手段。黑客通过发布错误的ARP广播包,阻断正常通信,并将自己所用的电脑伪装成别人的电脑,这样原本发往其他电脑的数据,就发到了黑客的电脑上,达到窃取数据的目的。   中期:ARP恶意攻击   后来,有人利用这一原理,制作了一些所谓的“管理软件”,例如网络剪刀手、执法官、终结者等,这样就导致了ARP恶意攻击的泛滥。往往使用这种软件的人,以恶意破坏为目的,多是为了让别人断线,逞一时之快。   特别是在网吧中,或者因为商业竞争的目的、或者因为个人无聊泄愤,造成恶意ARP攻击泛滥。   随着网吧经营者摸索出禁用这些特定软件的方法,这股风潮也就渐渐平息下去了。   现在:综合的ARP攻击   最近这一波ARP攻击潮,其目的、方式多样化,冲击力度、影响力也比前两个阶段大很多。   首先是病毒加入了ARP攻击的行列。以前的病毒攻击网络以广域网为主,最有效的攻击方式是DDOS攻击。但是随着防范能力的提高,病毒制造者将目光投向局域网,开始尝试ARP攻击,例如最近流行的威金病毒,ARP攻击是其使用的攻击手段之一。   相对病毒而言,盗号程序对网吧运营的困惑更大。盗号程序是为了窃取用户帐号密码数据而进行ARP欺骗,同时又会影响的其他电脑上网。
遭受ARP攻击后现象
  ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。   ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。   基于ARP协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的ARP数据包,数据包内包含有与当前设备重复的Mac地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下,受到ARP攻击的计算机会出现两种现象:   1.不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。   2.计算机不能正常上网,出现网络中断的症状。   因为这种攻击是利用ARP请求报文进行“欺骗”的,所以防火墙会误以为是正常的请求数据包,不予拦截。因此普通的防火墙很难抵挡这种攻击。   对ARP攻击的防护   防止ARP攻击是比较困难的,修改协议也是不大可能。但是有一些工作是可以提高本地网络的安全性。   首先,你要知道,如果一个错误的记录被插入ARP或者IP route表,可以用两种方式来删除。   a. 使用arp –d host_entry   b. 自动过期,由系统删除   这样,可以采用以下的一些方法:   1). 减少过期时间   #ndd –set /dev/arp arp_cleanup_interval 60000   #ndd -set /dev/ip ip_ire_flush_interval 60000   60000=60000毫秒 默认是300000   加快过期时间,并不能避免攻击,但是使得攻击更加困难,带来的影响是在网络中会大量的出现ARP请求和回复,请不要在繁忙的网络上使用。   2). 建立静态ARP表   这是一种很有效的方法,而且对系统影响不大。缺点是破坏了动态ARP协议。可以建立如下的文件。   test.nsfocus.com 08:00:20:ba:a1:f2   user. nsfocus.com 08:00:20:ee:de:1f   使用arp –f filename加载进去,这样的ARP映射将不会过期和被新的ARP数据刷新,除非使用arp –d才能删除。但是一旦合法主机的网卡硬件地址改变,就必须手工刷新这个arp文件。这个方法,不适合于经常变动的网络环境。   3).禁止ARP   可以通过ipconfig inte***ce –arp 完全禁止ARP,这样,网卡不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表,如果不在ARP表中的计算机 ,将不能通信。这个方法不适用与大多数网络环境,因为这增加了网络管理的成本。但是对小规模的安全网络来说,还是有效可行的。   但目前的ARP病毒层出不穷,已经不能单纯的依靠传统的方法去防范,比如简单的绑定本机ARP表,我们还需要更深入的了解ARP攻击原理,才能够通过症状分析并解决ARP欺骗的问题。
avatar
陈彬
统治者
统治者

帖子数 : 401
积分 : 11032
威望 : 0
注册日期 : 10-03-16
年龄 : 25
地点 : 江西九江武宁横路

http://chenbin.long-luntan.net

返回页首 向下

最强的ARP攻击软件:《WinArpAttacker》版本有很多这里介绍3.5版本的

帖子  陈彬 于 周五 十月 01, 2010 10:35 pm

WinArpAttacker3.5中文教学手册


今天我们来学习一下WinArpAttacker这个ARP攻击软件的使用方法。

WinArpAttacker的界面分为四块输出区域。
第一个区域:主机列表区,显示的信息有局域网内的机器IP、MAC、主机名、是否在线、是否在监听、是否处于被攻击状态。
另外,还有一些ARP数据包和转发数据包统计信息,如
ArpSQ:是该机器的发送ARP请求包的个数
ArpSP:是该机器的发送回应包个数
ArpRQ:是该机器的接收请求包个数
ArpRQ:是该机器的接收回应包个数
Packets:是转发的数据包个数,这个信息在进行SPOOF时才有用。
Traffic:转发的流量,是K为单位,这个信息在进行SPOOF时才有用。

第二个区域是检测事件显示区,在这里显示检测到的主机状态变化和攻击事件。能够检测的事件列表请看英文说明文档。
主要有IP冲突、扫描、SPOOF监听、本地ARP表改变、新机器上线等。当你用鼠标在上面移动时,会显示对于该事件的说明。

第三个区域显示的是本机的ARP表中的项,这对于实时监控本机ARP表变化,防止别人进行SPOOF攻击是很有好处的。

第四个区域是信息显示区,主要显示软件运行时的一些输出,如果运行有错误,则都会从这里输出。

好,软件界面就讲到这里。

下面我们来说明一下几个重要功能。

一、扫描。

当点击“Scan”工具栏的图标时,软件会自动扫描局域网上的机器。并且显示在其中。

当点击“Scan checked"时,要求在机器列表中选定一些机器才扫描,目的是扫描这些选定机器的情况。

当点击"Advanced"时,会弹出一个扫描框。这个扫描框有三个扫描方式。

第一个是扫描一个主机,获得其MAC地址。

第二个方式是扫描一个网络范围,可以是一个C类地址,也可以是一个B类地址,建议不要用B类地址扫描,因为太费时间,对网络有些影响。
可设为本地的C类地址扫描,也可设为另一个C类地址,如192.168.0.1-254。也可以扫描成功。

第三个方式是多网段扫描,如果本机存在两个以上IP地址,就会出现两个子网选项。下面有两个选项,一个是正常扫描,扫描在不在线,另一个是反监听扫描,可以把
正在监听的机器扫描出来。

好,扫描功能就这些。下面我们讲攻击。

二、攻击

攻击功能有六个:
FLOOD:不间断的IP冲突攻击
BANGATEWAY:禁止上网
IPConflict:定时的IP冲突
SniffGateway:监听选定机器与网关的通讯
SniffHosts:监听选定的几台机器之间的通讯
SniffLan:监听整个网络任意机器之间的通讯,这个功能过于危险,可能会把整个网络搞乱,建议不要乱用。

所有的攻击在你觉得可以停止后都要点击STOP停止,否则将会一直进行。

FLOOD:选定机器,在攻击中选择FLOOD攻击,FLOOD攻击默认是一千次,你可以在选项中改变这个数值。
FLOOD攻击可使对方机器弹出IP冲突对话框,导致当机,因而要小心使用。
BANGATEWAY:选定机器,选择BANGATEWAY攻击。可使对方机器不能上网。
IPConflict:会使对方机器弹出IP冲突对话框。这次用本机来演示。
SniffGateway:监听对方机器的上网流量。发动攻击后用抓包软件来抓包看内容。我们可以看到Packets、
Traffic两个统计数据正在增加。我们现在已经可以看到对方机器的上网流量。
SniffHosts和SniffLan也类似,因而不再演示。

在选项中可以对攻击时间和行为进行控制。除了FLOOD是次数外,其他的都是持续的时间,如果是0则不停止。
下面的三个选项,一个是攻击后自动恢复ARP表,其他两个是为了保证被监听机器能正常上网因而要进行数据转发。建议都保持选择。

在检测事件列表中,我们刚才进行的攻击已经在检测事件列表中被检测出来。你在这里可以看到是否有人对你
进行攻击,以便采取措施。

好,攻击功能介绍到这里。

三、选项

Adapter是选择要绑定的网卡和IP地址,以及网关IP、MAC等信息。有时一个电脑中有许多网卡,你要选择正确的以太网网卡。
一个网卡也可以有多个IP地址,你要选择你要选择的那个IP地址。网关也是一样。

如果你在Gateway Mac中看到的是全0的MAC,那么可能没有正确获得网关MAC。你可以刷新一下来重新获得。

UPDATE是针对机器列表的更新来说的,其中有两个选项,

第一个是定时扫描网络来更新机器列表。

第二个是被动监听,从过往的数据包中获取新机器的信息。定时扫描可设定扫描间隔时间。
被动监听可以选择数据包类型,因为一些数据包可以是假的,因而获得的IP和MAC对可能是错误的。
所以要仔细选择。

DETECT第一个选项是说是不是要一运行就开始检测,第二个数据包个数是指每秒达到多少个数据包时才被认为是扫描,这个是与检测事件输出有关的。
第三个是在多少的时间内我们把许多相同的事件认为是一个事件,如扫描,扫描一个C网段时要扫描254个机器,会产生254个事件,当这些事件都在一定时间内
(默认是5分钟时,只输出一个扫描事件。)

ANALYSIS:只是一个保存数据包功能,供高级用户分析。

ARP代理:当你启用代理功能之后,这些选项才会有效。在Arp Packet Send Mode中,是要选择当谁发送ARP请求包时我要回应,
在Mac address中是要选定回应什么MAC地址,可以是本机、网关或者一个任意的MAC。
当局域网内的机器要访问其他机器或网关时,它会发出ARP请求询问包,如果你启用了该功能,軟件就会自动回应你设定的MAC地址,因而你如果设的是错误的MAC,则许多机器可能都上不了网。

PROTECT:这是一个保护功能,当有人对你或者局域网内的机器进行ARP监听攻击时,它可以自动阻止。
其中有两个选项,一个是本机防护,防护本机不被SPOOF,第二是远程防护,也就是防护其它机器。不过估计第二个功能实现得不会好,因而SPOOF另外两机器时,
ARP包是不大可能到达本机的。但是本机防护还是较为实用。当你对本机进行禁止上网攻击时,软件能正确地检测到四个事件:
两个禁止访问事件,说0.0.0.0发送特别ARP包禁止本机和网关192.168.253.1通讯,第三个事件说一个IP-MAC对加入到本机ARP表中,且是错误的IP-MAC对,
最后一个事件说01-01-01-01-01-01已经被修改成正确的MAC:00-11-22-33-44-54,这就是PROTECT起作用了,软件根据机器列表中的MAC地址修改了ARP中的错误MAC。

下面的软件运行信息也证实了这一点。

四、手动发送ARP包

再讲一下手动发送ARP包的功能,这是给高级用户使用的,要对ARP包的结构比较熟悉才行。如果你知道ARP攻击原理,你可以在这里手工制作出任何攻击包。

按照以下步骤制作一个IP冲突包,冲突的对象是本机。
目标MAC是本机,源MAC可以是任意的MAC,目标IP和源IP都是本机IP,做完后发送试试。
如果操作正确你会看到IP冲突报警,软件也有检测出来,这是IP冲突包。
大家可以试试多种组合来测试一下,看看检测效果。

好了,WinArpAttacker的基本功能介绍就到这里,其他功能大家可以自己去试试,BYEBYE!

下载地址自己到百度去搜,原文留下的地址听说有毒
avatar
陈彬
统治者
统治者

帖子数 : 401
积分 : 11032
威望 : 0
注册日期 : 10-03-16
年龄 : 25
地点 : 江西九江武宁横路

http://chenbin.long-luntan.net

返回页首 向下

快速发现局域网内狂发ARP攻击包的机器

帖子  陈彬 于 周五 十月 01, 2010 10:39 pm

我现在在外地出差做网络安全的实施,住的这个宾馆到处时感染ARP欺骗病毒的机器,他们狂发ARP攻击包,导致正常用户无法上网。

我上次说了,可以使用诸如AntiArpSniffer3.1单机版软件,防御ARP攻击的。但我想问题总的解决呀,我们作为网管或喜欢信息安全的网友们,遇到这样的问题应当如何解决呢,下面我就谈一下自己的一些想法:

1、对于类似宾馆或小型网络环境,一般是只有一个VLAN的,在这样的情况下,可以通过一台接入网络的主机,定期查看自己的ARP表,看看在定期删除ARP缓存后,有哪些机器的IP/MAC对应表马上又到你的机器上了。

举例:

C:\>arp -a

Inte***ce: 192.168.1.236 --- 0x10004
Internet Address Physical Address Type
192.168.1.1 00-0a-eb-c1-d8-60 dynamic
192.168.1.22 00-e0-4c-c2-7e-50 dynamic
192.168.1.144 00-e0-4c-f0-e1-33 dynamic
192.168.1.233 00-e0-4c-a9-35-72 dynamic



这样就可以直接发现感染主机了。

2、对于大型的网络环境,一般是有多个VLAN的,在这样的情况下,可以通过专门的网管系统对交换机的ARP缓存的变化来查看整个网络ARP攻击情况,也可以通过AntiArpSniffer1.2网络版软件来查看攻击者的IP和真实MAC了。

注:对于某些ARP攻击是采取骗取网关的合法MAC或使用其他随意伪造的MAC进行攻击的手段,只能靠管理员手动的进行认真细致的排除了。

谢谢大家,一点经验和感悟的共享。欢迎跟大家随时交流!!

avatar
陈彬
统治者
统治者

帖子数 : 401
积分 : 11032
威望 : 0
注册日期 : 10-03-16
年龄 : 25
地点 : 江西九江武宁横路

http://chenbin.long-luntan.net

返回页首 向下

更详细的解决方法

帖子  陈彬 于 周五 十月 01, 2010 10:52 pm

采取的措施
一、用户要增强网络安全意识,不要轻易下载、使用盗版和存在安全隐患的软件;或浏览一些缺乏可信度的网站(网页);不要随便打开不明来历的电子邮件,尤其是邮件附件;不要随便共享文件和文件夹,即使要共享,也得设置好权限,一般指定特定帐号或特定机器才能访问,另外不建议设置可写或可控制,以免个人计算机受到木马病毒的侵入给网络的安全带来隐患。
二、计算机用户要及时下载和更新操作系统的补丁程序,安装正版的杀毒软件,增强个人计算机防御计算机病毒的能力。
三、用户检查和处理“ ARP 欺骗”木马的方法。
  1、检查本机是否中的“ ARP 欺骗”木马染毒
同时按住键盘上的“ CTRL + ALT +DEL ”键,选择“任务管理器”,点选“进程”标签。查看其中是否有一个名为“ MIR0.dat ”之类的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。
  2、在受到ARP欺骗木马程序(病毒)攻击时,用户可选择下列方法的一种处理。
方法一:
下载Anti ARP Sniffer软件保护本地计算机正常运行。同时把此软件设为自动启动,步骤:先把Antiarp.exe生成桌面快捷方式->选"开始"->"程序"->双击"启动"->再把桌面上Antiarp.exe快捷键拷到"启动"中,以保证下次开机自动运行,起到保护的作用。
方法二:
  在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令:ipconfig
  记录网关 IP 地址,即“ Default Gateway ”对应的值,例如“ 10.1.4.1 ”。再输入并执行以下命令:
arp ?Ca
  在“ Internet Address ”下找到上步记录的网关 IP 地址,记录其对应的物理地址,即“ Physical Address ”值,例如“ 00-e0-fc-0f-8f-4d”。在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。 也可以扫描本子网内的全部 IP 地址,然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同,那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。 本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地址和网关物理地址,然后在 “命令提示符”窗口中输入并执行以下命令:
  arp ?Cs 网关 IP 网关物理地址 。
方法三:(只适用时出现故障时的临时解决办法)
在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令:
arp -d
方法四:
局域网ARP攻击免疫器,网上有得下。(1)将这里面3个dll文件复制到windows\system32 里面,将npf 这个文件复制到 windows\system32\drivers 里面。(2)将这4个文件在安全属性里改成只读。也就是不允许任何人修改。
四、以下程序带有此类ARP病毒(传奇杀手等),请不要使用:
  传奇2冰橙子1.44版
  传奇2及时雨PK版
  "网吧传奇杀手"的木马软件进行传奇帐号和密码的扫描
  网络执法官等类似程序
五、趋势科技提供的ARP病毒清除工具
引用地址:http://web.cup.edu.cn/nic/wljs/27085.htm
avatar
陈彬
统治者
统治者

帖子数 : 401
积分 : 11032
威望 : 0
注册日期 : 10-03-16
年龄 : 25
地点 : 江西九江武宁横路

http://chenbin.long-luntan.net

返回页首 向下

返回页首


 
您在这个论坛的权限:
不能在这个论坛回复主题