网络故障案例、解决方案-黑客攻防技术入门之ARP风暴篇

黑客攻防技术入门之ARP篇ARP(AddressResolutionProtocol),即地址解析协议。所谓地址解析,也就是将IP地址转换为MAC地址的过程。在局域网中,任何两台计算机之间进行通信前,都必须知道对方的MAC地址,所以ARP这个协议就非常重要。但如果该协议被恶意用于对网络进行攻击,会对局域网产生重大影响,甚至导致网络瘫痪。下面就将对ARP攻击的原理,类型以及如何用科来对ARP攻击进行定位,排除等。ARP欺骗攻击的类型大致分为两种:一种是对路由器ARP表的欺骗,另一种是对内网电脑的网关进行欺骗。对路由器进行ARP表的欺骗:对路由器发送一系列错误的内网MAC地址,长时间不断发送,冲刷路由器的ARP表,使得路由器ARP表中都是错误信息,转发数据的时候都发向错误的MAC地址,造成正常的电脑无法收取信息,而假冒者可以窃取相关的信息。对内网电脑的网关进行欺骗:主要是通过建立假网关,让被他欺骗的电脑向这个假网管发送数据,而不是通过正常的路由器途径上网,这种欺骗造成的结果就是网络掉线。那么攻击者是如何来进行ARP攻击的呢?在这里向大家介绍一款软件,名称为WinArpAttacker,我们可以用这个来做一下实验。在使用WinArpAttacker之前,首先需要安装Winpcap,用于为应用程序提供访问网络低层的能力的软件。然后我们打开winarpattacker。其界面如此。在实行攻击之前,我们首先要对整个局域网内的计算机进行扫描,以确定要攻击的主机。---本文来源于网络,仅供参考,勿照抄,如有侵权请联系删除---单击扫描以后,我们可以看到,整个局域网192.168.9.0/24内的所有计算机的IP地址、主机名和MAC地址都显示出来了。在扫描的时候,打开科来软件……我们瞬间捕捉下来了扫描的过程,见下图:双击打开诊断事件,我们观察一下数据包的内容---本文来源于网络,仅供参考,勿照抄,如有侵权请联系删除---其中9.66就是我试验用的主机,可以很明显看到,时间差几乎在1微秒,大量持续的扫描在一秒不到的时间内,发送了254个ARP包进行扫描,最终得出了整个局域网的情况。在平时,我们在诊断中发现有ARP请求风暴的时候,可能就是黑客正在利用ARP扫描来进行对局域网内主机信息的分析,我们就要当心,及时做好防范措施。在扫描完了之后,我们可以选中其中一台主机,来进行攻击。在这里,笔者设定flood是1000次,进行攻击后,用科来软件进行分析---本文来源于网络,仅供参考,勿照抄,如有侵权请联系删除---几乎是在瞬间,完成了攻击,这样的攻击,如果硬件性能不够好,可能会在瞬间崩溃,直至宕机等严重的情况。---本文来源于网络,仅供参考,勿照抄,如有侵权请联系删除---可以看到,攻击用的MAC地址完全是假冒的01:01:01:01:01:01,在科来软件的诊断中,就出现了ARP格式违规。查看源IP地址就可以找出攻击。再尝试禁止网关的攻击。我们可以在数据包中分析:由于不断在误导计算机错误的网关,导致了该计算机的数据转发向了一个虚假的地址,最终导致无法正常上网。最后,我们来尝试下IP地址冲突的攻击。从科来软件的诊断功能中,我们可以看到:---本文来源于网络,仅供参考,勿照抄,如有侵权请联系删除---在几秒钟之内,就出现了57次的IP地址冲突,在诊断事件中打开详细的数据包内容:我们可以通过解码看到,9.66不停地再宣告自己在01:01:01:01:01:01和F0:4D:A2:95:A5:F7,很明显产生了冲突,造成了原本发送向9.66的数据可能会被丢弃的这种情况,用户就会感受到网速变慢,甚至无法上网等。更有甚者可以用自己的MAC地址来假冒正常用户的MAC地址,以达到窃取信息的目的。通过前面的分析,我们大致上了解了,如何用科来软件对ARP攻击做出快速的定位分析。那么,当我们查出了攻击,受到攻击的机群,我们如何来防御ARP攻击呢?1、我们可以使用ARP病毒专杀工具来对ARP病毒进行查杀。2、使用ARP防火墙,这也是在企业中比较常用的软件。3、绑定MAC地址。前面两种方法都是通过自动的方式进行的,而绑定MAC地址则需要手动来进行,在本机上绑定,我们可以使用arp-sIPMAC的命令来进行。而在路由器上的设置则比较简单,大家可以自行去路由器...

1、当您付费下载文档后,您只拥有了使用权限,并不意味着购买了版权,文档只能用于自身使用,不得用于其他商业用途(如 [转卖]进行直接盈利或[编辑后售卖]进行间接盈利)。
2、本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供参考,付费前请自行鉴别。
3、如文档内容存在侵犯商业秘密、侵犯著作权等,请点击“举报”。

常见问题具体如下:

1、问:已经付过费的文档可以多次下载吗?

      答:可以。登陆您已经付过费的账号,付过费的文档可以免费进行多次下载。

2、问:已经付过费的文档不知下载到什么地方去了?

     答:电脑端-浏览器下载列表里可以找到;手机端-文件管理或下载里可以找到。

            如以上两种方式都没有找到,请提供您的交易单号或截图及接收文档的邮箱等有效信息,发送到客服邮箱,客服经核实后,会将您已经付过费的文档即时发到您邮箱。

注:微信交易号是以“420000”开头的28位数字;

       支付宝交易号是以“2024XXXX”交易日期开头的28位数字。

客服邮箱:

biganzikefu@outlook.com

所有的文档都被视为“模板”,用于写作参考,下载前须认真查看,确认无误后再购买;

文档大部份都是可以预览的,笔杆子文库无法对文档的真实性、完整性、准确性以及专业性等问题提供审核和保证,请慎重购买;

文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为依据;

如果您还有什么不清楚的或需要我们协助,可以联系客服邮箱:

biganzikefu@outlook.com

常见问题具体如下:

1、问:已经付过费的文档可以多次下载吗?

      答:可以。登陆您已经付过费的账号,付过费的文档可以免费进行多次下载。

2、问:已经付过费的文档不知下载到什么地方去了?

     答:电脑端-浏览器下载列表里可以找到;手机端-文件管理或下载里可以找到。

            如以上两种方式都没有找到,请提供您的交易单号或截图及接收文档的邮箱等有效信息,发送到客服邮箱,客服经核实后,会将您已经付过费的文档即时发到您邮箱。

注:微信交易号是以“420000”开头的28位数字;

       支付宝交易号是以“2024XXXX”交易日期开头的28位数字。

笔杆子文秘
机构认证
内容提供者

为您提供优质文档,供您参考!

确认删除?