最近被一个朋友arp攻击了,妖。。。。
arp攻击的原理是什么呢?首先要讲讲,局域网中的arp协议,早前设计局域网的时候,是认为局与网里面的主机,都是可以信任的。正是因为这个设计,导致了arp攻击的出现。
先说说什么是arp吧。arp就是地址转换协议。当局域网中的主机要和别的主机通讯的时候,必须和要知道别的主机的ip地址和物理地址.arp表就是记录局域网内你通讯过的主机的ip和相应物理地址的一张表。当你要和B主机通信是,就是查B主机的ip地址在你的缓存表里面对应的物理地址,然后和B进行通信。你可以在你的电脑上打开cmd.输入arp -a 查看arp缓存。但是如果你本地电脑里面没有B主机的缓存项,应该怎么办呢?局域网里面的做法是给全部主机发送arp广播包。跟局域网中的全部主机说,"我是ip1.1.1.1的主机,我要访问ip为1.1.1.2的主机,那么那个主机的物理地址是多少呢?"
这时候,局域网中的全部主机都会接受到这个广播包,如果ip地址和自己的不一致,则忽略。如果和自己一致,也就是B主机收到这个广播包,他就是给我发送一个arp响应包。“我是主机B,我的物理地址是xx-xx-xx-xx-xx-x1。”然后我和主机B就可以进行通信的。
但是这个arp协议,是建立在信任的基础上的,所以只要有arp响应包,我的电脑就会接受。如果C主机给我伪造一个arp响应包,说B的物理地址是xx-xx-xx-xx-xx-x2。那么我的电脑也会修改我的本地缓存,然后把发给B的信息包发到错误的地方,这就是arp欺诈了。
一般arp欺诈分两种。第一,给网关发送arp广播包。比如C主机给网关说,B的物理地址是我的物理地址。然后网关那边修改缓存。把发给B的数据包全部发给C,导致B上不了网,这就是影响网关给被攻击电脑通信的arp欺骗。
第二种,给被攻击电脑发送arp广播包,比如C给我说,我这边是网关哦,你把数据包发给我就好。然后我的电脑就修改本地缓存,然后把发给网关的数据包全部发给主机C。从而上不了网,或者能上网,但是经过C主机,C主机这时候相当于路由,这样我的数据包全部能被C主机给拦截到。
然而,说了这么多,怎么预防呢?
很简单,在本地电脑上绑定网关的ip地址和网关的物理地址,那么攻击者就不能修改我电脑的arp表中关于网关的物理地址,于是,我给网关发送的数据包仍然发送给网关,这里可以用命令绑定。也可以用360里面的局域网防护。
但是这只是防御了第二种攻击。网关那边怎么办呢?如果是比较小的局域网,可以在网关那边设置绑定。也就是在路由那边把我的电脑Ip地址和物理地址绑定。攻击者就不能欺骗网关了。但是如果是比较大的局域网。维护静态表又要很大的开销。这就要把局域网升级为免疫网络了。这点大家百度一下吧。
那么,作为像我这种,校园网,根本没有权限修改网关的设置。然后攻击者攻击网关让我上不了网的,该怎么办呢?第一,可以打开360或者类似的软件,里面有防御arp攻击选项,可以给网关发送广播包,广播包里面是正确的数据。从而达到抵制arp攻击的效果。但是,360只能每秒发送50个包。如果攻击者每秒发送的个数远超50个,你仍然无可奈何。这时候只能出动终极杀招。打电话给网管,让他揪出那个bitch。然后胖揍一顿。断网一年,以儆效尤!!!
1078
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
