ARP***

百科名片

  

ARP***示意图

ARP***,是针对以太网地址解析协议ARP)的一种***技术。此种***可让***者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。最早探讨ARP***的文章是由Yuri Volobue所写的《ARPICMP转向游戏》。

目录

ARP定义

ARP***原理

FAQ

ARP***的演化

遭受ARP***后现象

  

  

  

编辑本段ARP定义

  ARPAddress Resolution Protocol地址解析协议)是一个位于TCP/IP协议栈中的底层协议,对应于数据链路层,负责将某个IP地址解析成对应的MAC地址。

  ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。

  ARPAddre***esolutionProtocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。

编辑本段ARP***原理

  ARP***就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,***者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人***。

  ARP***主要是存在于局域网网络中,局域网中若有一台计算机感染ARP***,则感染该ARP***的系统将会试图通过“ARP欺骗手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。

  某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到BIP地址对应的MAC地址后,就会进行数据传输。如果未找到,则A广播一个ARP请求报文(携带主机AIP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有BMAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。

编辑本段FAQ

  1) 什么是ARP欺骗?

  在局域网中,***经过收到ARP Request广播包,能够偷听到其它节点的 (IP, MAC) 地址***就伪装为A,告诉B (受害者一个假地址,使得B在发送给的数据包都被***截取,而A, B 浑然不知。,

  2) 为什么***能够进行ARP欺骗? ARP 是个早期的网络协议,RFC826在 1980就出版了。早期的互联网采取的是信任模式,在科研、大学内部使用,追求功能、速度,没考虑网络安全。尤其以太网的洪泛特点,能够很方便的用来查询。但这也为日后的***开了方便之门。***只要在局域网内阅读送上门来的ARP Request就能偷听到网内所有的 (IP, MAC)地址。而节点收到ARP Reply时,也不会质疑。***很容易冒充他人,

  3) 能够防止欺骗吗? 不能。但这种伤害的伤害已经很小。因为局域网的工作环境有了改变, 服务器通常不会和终端主机在同一个局域网。

编辑本段ARP***的演化

  初期:

  这种有目的的发布错误ARP广播包的行为,被称为ARP欺骗。ARP欺骗,最初为***所用,成为***窃取网络数据的主要手段。***通过发布错误的ARP广播包,阻断正常通信,并将自己所用的电脑伪装成别人的电脑,这样原本发往其他电脑的数据,就发到了***的电脑上,达到窃取数据的目的。

  中期:ARP恶意***

  后来,有人利用这一原理,制作了一些所谓的管理软件,例如网络剪刀手、执法官、终结者等,这样就导致了ARP恶意***的泛滥。往往使用这种软件的人,以恶意破坏为目的,多是为了让别人断线,逞一时之快。

  特别是在网吧中,或者因为商业竞争的目的、或者因为个人无聊泄愤,造成恶意ARP***泛滥。

  随着网吧经营者摸索出禁用这些特定软件的方法,这股风潮也就渐渐平息下去了。

  现在:综合的ARP***

  最近这一波ARP***潮,其目的、方式多样化,冲击力度、影响力也比前两个阶段大很多。

  首先是病毒加入了ARP***的行列。以前的病毒***网络以广域网为主,最有效的***方式是DDOS***。但是随着防范能力的提高,病毒制造者将目光投向局域网,开始尝试ARP***,例如最近流行的威金病毒,ARP***是其使用的***手段之一。

  相对病毒而言,盗号程序对网吧运营的困惑更大。盗号程序是为了窃取用户帐号密码数据而进行ARP欺骗,同时又会影响的其他电脑上网

编辑本段遭受ARP***后现象

  ARP欺骗***的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。

  ARP欺骗***只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该***发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是***的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。

  基于ARP协议的这一工作特性,***向对方计算机不断发送有欺诈性质的ARP数据包,数据包内包含有与当前设备重复的Mac地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下,受到ARP***的计算机会出现两种现象:

  1.不断弹出本机的0-255段硬件地址与网络中的0-255段地址冲突的对话框。

  2.计算机不能正常上网,出现网络中断的症状。

  因为这种***是利用ARP请求报文进行欺骗的,所以防火墙会误以为是正常的请求数据包,不予拦截。因此普通的防火墙很难抵挡这种***。

  对ARP***的防护

  防止ARP***是比较困难的,修改协议也是不大可能。但是有一些工作是可以提高本地网络的安全性。

  首先,你要知道,如果一个错误的记录被插入ARP或者IP route表,可以用两种方式来删除。

  a. 使用arp –d host_entry

  b. 自动过期,由系统删除

  这样,可以采用以下的一些方法:

  1减少过期时间

  #ndd –set /dev/arp arp_cleanup_interval 60000

  #ndd -set /dev/ip ip_ire_flush_interval 60000

  60000=60000毫秒 默认是300000

  加快过期时间,并不能避免***,但是使得***更加困难,带来的影响是在网络中会大量的出现ARP请求和回复,请不要在繁忙的网络上使用。

  2建立静态ARP

  这是一种很有效的方法,而且对系统影响不大。缺点是破坏了动态ARP协议。可以建立如下的文件。

  test.nsfocus.com 08:00:20:ba:a1:f2

  user. nsfocus.com 08:00:20:ee:de:1f

  使用arp –f filename加载进去,这样的ARP映射将不会过期和被新的ARP数据刷新,除非使用arp –d才能删除。但是一旦合法主机的网卡硬件地址改变,就必须手工刷新这个arp文件。这个方法,不适合于经常变动的网络环境。

  3).禁止ARP

  可以通过ipconfig interface –arp 完全禁止ARP,这样,网卡不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表,如果不在ARP表中的计算机 ,将不能通信。这个方法不适用与大多数网络环境,因为这增加了网络管理的成本。但是对小规模的安全网络来说,还是有效可行的。

  但目前的ARP病毒层出不穷,已经不能单纯的依靠传统的方法去防范,比如简单的绑定本机ARP,我们还需要更深入的了解ARP***原理,才能够通过症状分析并解决ARP欺骗的问题,

  对ARP***我有办法:一个就是防止别人***,第二个就是***别人。

  好,我们先讲防手,第一你先安装ARP防火墙,第二删除C:\WINDOWS\system32\ NPPTools.dll 系统文件。不想说为什么了。这个是独门一招。

  二就是***别人。让他知道你不是好惹的。使用P2P软件就行了