1、ARP攻击与防御指导ARP攻击与防御创建时间:2010-01-02文章属性:原创文章来源:Longhai文章提交:Longhai 我们还是用这个拓扑图。我们来做第一个攻击试验,是攻击积最大,也是最好防止的一种。让我们来想一下,如何才能影响最大呢,(在这说的最大就是指 不能正常访问INTERNET的机器数量)。网关坏了,对吧网关坏了。那怎么才能坏呢?咳咳过去拔电源。这叫攻击,不叫攻击,其实我们实现起来不是让网关真正的坏了,而是让所有的机器去往网关的是错误呢,那就好了,好了说干就干。这些工具可以在工具下载区找的到。如何实现呢,广播,不错我们用广播,广播错误的网关地址。看我现在的网络状态是正常的。看
2、看 PC3 上的ARP缓存表。(我在这说明下,我用的和拓扑上的有点变化,上面的192.168.0.0/24 这个段换成了172.16.0.0/24。还有HACK的MAC地址我也没有修改成AAAA.4444.4444这么也很清楚那个很乱的MAC就是攻击者的MAC)在看看R1 也就是网关的ARP缓存(我这是CISCO的设备)R1分别PING通下面的主机。说明网络还是正常的。好开始攻击了,我们构建出第一种攻击的攻击包。看图:这是抓到的包,意外出现了,在我们发出的包后面紧接着网关也发了一个ARP广播包, 这时候一直PING 着网关的PC2 出现丢了一个包的情况。 可为什么之后又通了呢,这个和上面的那个
3、神秘的广播有关,看MAC地址可以发现那是网关发出来的,也就是说,你发广播的时候,路由器也收到了这个欺骗包,但是网关认为自己才是真正的网关啊,收到的这个分明是欺骗么,所以它就自己广播正确的网关加以更正。那我们的攻击失败了。这是CISCO ROUTE的一个特性不知道其他的设备是否这样。 那这样,就没有办法了,答案是有,我们可以加大发包的速度,只要快过网关,看攻击设置:下面是抓包的情况很明显ARP欺骗包超过了网关的正确广播。所以PING出现了下面的问题。这个网络基本就不能用了。再来个狠的。看这样子的发包速度 是什么情况?我可以完全肯定这个网络不能用了。 那怎么防护呢,由于它的攻击对象是PC所以我们在
4、PC上绑定静态的就可以。再来发攻击包看看PING的情况:完全没有问题,攻击被解决了。这种攻击你要有防火墙,一般看到的是网关发送的欺骗。攻击者很是苦恼,终于攻击者又构建一包: 看图给网关发送虚假的主机信息看抓包情况:看PC3PING的情况虽然是绑定了静态的,可网络还是坏了。WHY?我们都知道PING是发送出一个请求包,目标收到请求后再发送应答包给你,那这个包R1 受到了么?我们在R1 上开DEBUG看看上面说明R1 也就是网关收到了这个PING包,并且发送了回应,那为什么PC3收不到回应呢,我们来看下R1 的ARP缓存。R1 到PC3 的MAC地址是错误的。所以PC3 是收不到的。那这个错误的P
5、ing 回应报文去哪了呢?首先这个包到了交换机,交换机是靠什么转发的阿?MAC-PORT表阿那目标MAC是1010.1010.1010 是谁的呢? 我们之前说过交换机的一个口可以学习多个MAC地址,那我们的情况是每个口都接了一台PC哪来的2个MAC地址呢。很明显。这个MAC就是HACK发包被交换机记录的原MAC地址这个MAC地址是下面图片圈红线的MAC而不是HACKER本身的MAC。也就是说HACK机器现在正常上网就是它自己的MAC 。而发送攻击的MAC是自己乱写的。该说下防御了,当然我们先讲解一种最简单的,我想大家早已经想到了。对在R1 上绑定静态的,也就是实现双向绑定。看看这个172.16
6、.0.3 后面已经是小短线了,说明是静态的了。我们再来攻击我多攻击几个包,大家看看攻击包看看攻击后的PC3 还能正常访问么很好。不收影响了。那攻击者就。束手无策了么?看下面这个包这个包的目标不重要,什么类型也不重要,重要的是源MAC地址和速度。看看效果这是为什么呢。?两边也都绑定了静态的MAC和ip对应关系。那问题只能出在中间的环节上,对就是交换机。还记得交换机的MAC学习功能吧,一个口可以学习很多没MAC地址,但是同一个MAC地址只能同时被一个交换机端口学习到。我们来看看攻击前后交换机的MAC表 大家也就明白了。本来R1 是插在交换机F0/1 口上的,现在R1 的MAC去了哪?对0/14 H
7、ACER的端口。那所有通往网关的数据都到了HACKER那 所以他可以尽情地抓包看你的通讯内容。但是现在黑客也不能正常访问网络的,原因很简单,他的包到了交换机后,也会被交换机错误的处理。回到了HACKER自己的口。(上面的图可能有点疑惑,我PC3 和HACKER是同时接在交换机的F0/14 口上的这样就明白了吧)那HACER如何上网呢。同时还能欺骗主机(上面的方法。全网都掉线)可以这样,不过这样只能同时欺骗一台PC。把源MAC改为受害主机的MAC就OK了。然后往外发包。我们这次攻击PC2(PC2 和R1 上也作了相应的静态绑定我就不上图了)我们看看PC2 在交换机MAC表项这个时候PC2 就掉线
8、了而黑客也一样上网,并且之前我也在PC2 和R1 的静态绑定,图太多我也没有上图。看看PC2 PING这样看你和HACKER和PC2 的发包速度,谁快。那个MAC便跑向哪个端口。那解决办法也简单。在交换机上起 交换机安全就可以,每个口只允许最多一个MAC 。然后再静态绑定。MAC和PORT的邦定。我就不上图了。违规后就SHUDDOWN这个口。Arp数据包 那个OP选项,常用的是ARP请求和ARP回应。那你把攻击包改称ARP请求可以么,答案是Okok的,因为你发送一个请求包,主机就会记学习的ARP包里的ip MAC对应关系。不关这个条目是否主机需要,是否ARP缓存表里有,而回应包只能更新主机的ARP缓存表,如果主机ARP缓存表里没有,则无法更新。虚假的MAC-IP也不会出现在主机的ARP缓存里。好了做好这三个地方的安全。你的网络就OK了。缺一不可!我可以给你举个例子,如果你只作了交换机安全,只允许一个MAC,那么我完全可以,把我的源MAC地址改为交换机绑定的合法MAC,因为欺骗主机靠的是ARP包不是前面的以太网帧,而交换机的学习是靠的以太网头的源MAC地址。前面我们对ARP整个数据帧做了分解。OK这是解决方案一,就是静态绑定,这个方法可以让你很透彻的学习ARP的攻击原理。防止ARP攻击的解决方案还有其他的 我以后将慢慢上传。
copyright@ 2008-2023 冰点文库 网站版权所有
经营许可证编号:鄂ICP备19020893号-2