用ARP -a 命令如何知道哪台机中了ARP?

用ARP -a 命令如何知道哪台机中了ARP?

我在主机用ARP -A 命令,看不到本机IP 和MAC,别的机可以看到,但30台都开着,我只能查到20多台,怎么知道哪台中了ARP了呢?这几天狂掉线啊~~掉到我头都大了

用arp -d 中断一次后再用arp -a 查看,反复几次,

有相同mac地址就是中了咯!!!(也有吴报的可能)

1　ARP协议简介   

 

ARP(Address Resolution Protocol)即地址解析协议，该协议将网络层的IP地址转换为数据链路层地址。TCP IP协议中规定，IP地址为32位，由网络号和网络内的主机号构成，每一台接入局域网或者Internet的主机都要配置一个IP地址。在以太网中，源主机和目的主机通信时，源主机不仅要知道目的主机的IP地址，还要知道目的主机的数据链路层地址，即网卡的MAC地址，同时规定MAC地址为48位。ARP协议所做的工作就是查询目的主机的IP地址所对应的MAC地址，并实现双方通信。

 

2  ARP协议的工作原理

 

 

 

 

图1 网段内ARP工作原理

[img=http://www.ahcit.com/back/20061120152951341.jpg]

[img=http://www.ahcit.com/back/2006112015305626.jpg]

 

图2 夸网段ARP工作原理

 

源主机在传输数据前，首先要对初始数据进行封装，在该过程中会把目的主机的IP地址和MAC地址封装进去。在通信的最初阶段，我们能够知道目的主机的IP地址，而MAC地址却是未知的。这时如果目的主机和源主机在同一个网段内，源主机会以第二层广播的方式发送ARP请求报文。ARP请求报文中含有源主机的IP地址和MAC地址，以及目的主机的IP地址。当该报文通过广播方式到达目的主机时，目的主机会响应该请求，并返回ARP响应报文，从而源主机可以获取目的主机的MAC地址，同样目的主机也能够获得源主机的MAC地址。如果目的主机和源主机地址不在同一个网段内，源主机发出的IP数据包会送到交换机的默认网关，而默认网关的MAC地址同样可以通过ARP协议获取。经过ARP协议解析IP地址之后，主机会在缓存中保存IP地址和MAC地址的映射条目，此后再进行数据交换时只要从缓存中读取映射条目即可。ARP协议工作原理详见图1和图2。

 

3　ARP欺骗攻击的实现过程

 

3.1　网段内的ARP欺骗攻击ARP欺骗攻击的核心就是向目标主机发送伪造的ARP应答，并使目标主机接收应答中伪造的IP与MAC间的映射对，并以此更新目标主机缓存。设在同一网段的三台主机分别为Ａ,Ｂ,Ｃ，详见表1。

 

表1：同网段主机IP地址和MAC地址对应表

 

用户主机

 IP地址

 MAC地址

 

A

 10.10.100.1

 00-E0-4C-11-11-11

 

B

 10.10.100.2

 00-E0-4C-22-22-22

 

C

 10.10.100.3

 00-E0-4C-33-33-33

 

 

 

 

 

 

 

假设Ａ与Ｂ是信任关系，Ａ欲向Ｂ发送数据包。攻击方Ｃ通过前期准备，可以发现Ｂ的漏洞，使Ｂ暂时无法工作，然后Ｃ发送包含自己MAC地址的ARP应答给Ａ。由于大多数的操作系统在接收到ARP应答后会及时更新ARP缓存，而不考虑是否发出过真实的ARP请求，所以Ａ接收到应答后，就更新它的ARP缓存，建立新的IP和MAC地址映射对，即Ｂ的IP地址10．10．100．2对应了Ｃ的MAC地址00-E0-4C-33-33-33。这样，导致Ａ就将发往Ｂ的数据包发向了Ｃ,但Ａ和B却对此全然不知，因此C就实现对A和B的监听。

 

3.2　跨网段的ARP欺骗攻击   

 

跨网段的ARP欺骗比同一网段的ARP欺骗要复杂得多，它需要把ARP欺骗与ICMP重定向攻击结合在一起。假设Ａ和Ｂ在同一网段，Ｃ在另一网段，详见表2。

 

表2：跨网段主机IP地址和MAC地址对应表

 

用户主机

 IP地址

 MAC地址

 

A

 10．10．100．1

 00-E0-4C-11-11-11

 

B

 10．10．100．2

 00-E0-4C-22-22-22

 

C

 10．10．200．3

 00-E0-4C-33-33-33

 

 

 

 

 

 

 

    首先攻击方Ｃ修改IP包的生存时间，将其延长，以便做充足的广播。然后和上面提到的一样，寻找主机Ｂ的漏洞，攻击此漏洞，使主机Ｂ暂时无法工作。此后，攻击方Ｃ发送IP地址为Ｂ的IP地址10．10．100．2，MAC地址为Ｃ的MAC地址00-E0-4C-33-33-33的ARP应答给Ａ。Ａ接收到应答后，更新其ARP缓存。这样，在主机Ａ上Ｂ的IP地址就对应Ｃ的MAC地址。但是，Ａ在发数据包给Ｂ时，仍然会在局域网内寻找10．10．100．2的MAC地址，不会把包发给路由器，这时就需要进行ICMP重定向，告诉主机Ａ到10．10．100．2的最短路径不是局域网，而是路由，请主机重定向路由路径，把所有到10．10．100．2的包发给路由器。主机Ａ在接受到这个合理的ICMP重定向后，修改自己的路由路径，把对10．10．100．2的数据包都发给路由器。这样攻击方Ｃ就能得到来自内部网段的数据包。

 

4  ARP欺骗攻击安全防范策略

4.1用户端绑定    在用户端计算机上绑定交换机网关的IP和MAC地址。

 

    1）首先，要求用户获得交换机网关的IP地址和MAC地址，用户在DOS提示符下执行 arp –a命令，具体如下：

 

C:\Documents and Settings\user>arp -a

 

Interface: 10.10.100.1 --- 0x2

 

    Internet Address  Physical Address   Type

 

    10.10.100.254   00-40-66-77-88-d7  dynamic

 

    其中10.10.100.254和00-30-6d-bc-9c-d7分别为网关的IP 地址和MAC地址，因用户所在的区域、楼体和交换机不同，其对应网关的IP地址和MAC地址也不相同。

 

    2）编写一个批处理文件arp.bat，实现将交换机网关的MAC地址和网关的IP地址的绑定，内容如下：

    @echo off

    arp -d

    arp -s  10.10.100.254  00-40-66-77-88-d7

 

    用户应该按照第一步中查找到的交换机网关的IP地址和MAC地址，填入arp –s后面即可，同时需要将这个批处理软件拖到“windows--开始--程序--启动”中，以便用户每次开机后计算机自动加载并执行该批处理文件，对用户起到一个很好的保护作用。

谁可以告诉我一些系统批处理的bat文件的编写方法啊？

把以下内容复制到记事本,然后另存为 run.bat , 双击运行.

 

@echo off

echo 我的第一个批处理

echo 耶,我会写批处理了.

echo 让我们来看看现在的时间吧

echo %time%

echo 让我们看看这个文件夹的文件吧

pause

dir

echo 哈哈,我会了

echo 停在这里

pause

 

4.2 网管交换机端绑定   

 

在核心交换机上绑定用户主机的IP地址和网卡的MAC地址，同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式。

 

    1）IP和MAC地址的绑定。在核心交换机上将所有局域网络用户的IP地址与其网卡MAC地址一一对应进行全部绑定。这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取。具体实现方法如下（以AVAYA三层交换机为例）：

 

P580(Configure)# arp 10.10.100.1  00:E0:4C:11:11:11

 

P580(Configure)# arp 10.10.100.2  00:E0:4C:22:22:22

 

P580(Configure)# arp 10.10.200.3  00:E0:4C:33:33:33

 

    2）MAC地址与交换机端口的绑定。根据局域网络用户所在的区域、楼体和用户房间所对应的交换机端口号，将用户计算机网卡的MAC地址和交换机端口绑定。此方案可以防止非法用户随意接入网络端口上网。网络用户如果擅自改动本机网卡的MAC地址，该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现上网，自然也就不会对局域网造成干扰了。具体操作如下（以AVAYA二层边缘交换机为例）：

 

console> (enable) lock port 1/1

 

console> (enable) add mac 00:E0:4C:11:11:11 1

 

Address 00:E0:4C:11:11:11 was added to the secure list !

 

console> (enable) lock port 1/2

 

console> (enable) add mac 00:E0:4C:22:22:22 2

 

Address 00:E0:4C:22:22:22 was added to the secure list !

 

console> (enable) lock port 1/3

 

console> (enable) add mac 00:E0:4C:33:33:33 3

 

Address 00:E0:4C:33:33:33 was added to the secure list !

 

console> (enable) show cam

 

VLAN  DestMAC/Route Des  Destination Port

 

1    00:E0:4C:11:11:11    1/1

 

1    00:E0:4C:22:22:22    1/2

 

1    00:E0:4C:33:33:33    1/3

 

4.3 采用VLAN技术隔离端口   

 

局域网的网络管理员可根据本单位网络的拓卜结构，具体规划出若干个VLAN，当管理员发现有非法用户在恶意利用ARP欺骗攻击网络，或因合法用户受病毒ARP病毒感染而影响网络时，网络管理员可利用技术手段首先查找到该用户所在的交换机端口，然后将该端口划一个单独的VLAN将该用户与其它用户进行物理隔离，以避免对其它用户的影响。当然也可以利用将交换机端口Disable掉来屏蔽该用户对网络造成影响，从而达到安全防范的目的。