ARP攻击与防御指导.docx
《ARP攻击与防御指导.docx》由会员分享,可在线阅读,更多相关《ARP攻击与防御指导.docx(16页珍藏版)》请在冰点文库上搜索。
ARP攻击与防御指导
ARP攻击与防御
创建时间:
2010-01-02
文章属性:
原创
文章来源:
Longhai
文章提交:
Longhai
我们还是用这个拓扑图。
我们来做第一个攻击试验,是攻击积最大,也是最好防止的一种。
让我们来想一下,如何才能影响最大呢,
(在这说的最大就是指不能正常访问INTERNET的机器数量)。
网关坏了,对吧网关坏了。
那怎么才能坏呢?
咳咳…过去拔电源。
。
这叫DOS攻击,不叫ARP攻击,
其实我们实现起来不是让 网关真正的坏了,而是让所有的机器去往网关的MAC是错误呢,那就好了,
好了说干就干。
<设备就上面的拓扑,攻击软件用的WinArpAttacker.exe抓包用的Wireshark>。
这些工具可以在工具下载区找的到。
如何实现呢,广播,不错我们用广播,广播错误的网关地址。
看我现在的网络状态是正常的。
看看PC3上的ARP缓存表。
(我在这说明下,我用的IP和拓扑上的有点变化,
上面的192.168.0.0/24这个段换成了172.16.0.0/24。
还有HACK的MAC地址我也没有修改成AAAA.4444.4444
这么也很清楚那个很乱的MAC就是攻击者的MAC)
在看看R1也就是网关的ARP缓存(我这是CISCO的设备)
R1分别PING通下面的主机。
说明网络还是正常的。
好开始攻击了,我们构建出第一种攻击的攻击包。
看图:
这是抓到的包,意外出现了,在我们发出的包后面紧接着网关也发了一个ARP广播包,
这时候一直PING着网关的PC2出现丢了一个包的情况。
可为什么之后又通了呢,这个和上面的那个神秘的广播有关,看MAC地址可以发现那是网关发出来的,也就
是说,你发广播的时候,路由器也收到了这个欺骗包,但是网关认为自己才是真正的网关啊,收到的这个分
明是欺骗么,所以它就自己广播正确的网关加以更正。
那我们的攻击失败了。
这是CISCOROUTE的一个特性不知道其他的设备是否这样。
那这样,就没有办法了,答案是有,我们可以加大发包的速度,只要快过网关,看攻击设置:
下面是抓包的情况
很明显ARP欺骗包超过了网关的正确广播。
所以PING出现了下面的问题。
这个网络基本就不能用了。
再来个狠的。
看这样子的发包速度是什么情况?
我可以完全肯定这个网络不能用了。
那怎么防护呢,由于它的攻击对象是PC所以我们在PC上绑定静态的就可以。
再来发攻击包
看看PING的情况:
完全没有问题,攻击被解决了。
这种攻击你要有防火墙,一般看到的是网关发送的欺骗。
攻击者很是苦恼,终于攻击者又构建一包:
看图
给网关发送虚假的主机信息
看抓包情况:
看PC3PING的情况
虽然是绑定了静态的,可网络还是坏了。
WHY?
我们都知道PING是发送出一个请求包,目标收到请求后再发送应答包给你,那这个包R1受到了么?
我们在R1上开DEBUG看看
上面说明R1也就是网关收到了这个PING包,并且发送了回应,那为什么PC3收不到回应呢,
我们来看下R1的ARP缓存。
R1到PC3的MAC地址是错误的。
所以PC3是收不到的。
那这个错误的Ping回应报文去哪了呢?
首先这个包到了交换机,交换机是靠什么转发的阿?
MAC-PORT表阿那目标MAC是1010.1010.1010是谁的呢?
我们之前说过交换机的一个口可以学习多个MAC地址,那我们的情况是每个口都接了一台PC哪来的2个MAC地址呢。
很明显。
这个MAC就是HACK发包被交换机记录的原MAC地址这个MAC地址是下面图片圈红线的MAC而不是HACKER
本身的MAC。
也就是说HACK机器现在正常上网就是它自己的MAC。
而发送攻击的MAC是自己乱写的。
该说下防御了,当然我们先讲解一种最简单的,我想大家早已经想到了。
对在R1上绑定静态的,也就是实现双向绑定。
看看这个172.16.0.3后面已经是小短线了,说明是静态的了。
我们再来攻击
我多攻击几个包,大家看看攻击包
看看攻击后的PC3还能正常访问么
很好。
不收影响了。
那攻击者就。
束手无策了么?
看下面这个包
这个包的目标不重要,什么类型也不重要,重要的是源MAC地址和速度。
看看效果
这是为什么呢。
?
两边也都绑定了静态的MAC和ip对应关系。
那问题只能出在中间的环节上,对就是交换机。
还记得交换机的MAC学习功能吧,一个口可以学习很多没MAC地址,但是同一个MAC地址只能同时被一个交换机端口学习到。
我们来看看攻击前后交换机的MAC表大家也就明白了。
本来R1是插在交换机F0/1口上的,现在R1的MAC去了哪?
对0/14HACER的端口。
那所有通往网关的数据都到了HACKER那所以他可以尽情地抓包看你的通讯内容。
但是现在黑客也不能正常访问网络的,
原因很简单,他的包到了交换机后,也会被交换机错误的处理。
回到了HACKER自己的口。
(上面的图可能有点疑惑,
我PC3和HACKER是同时接在交换机的F0/14口上的这样就明白了吧)
那HACER如何上网呢。
同时还能欺骗主机(上面的方法。
全网都掉线)可以这样,不过这样只能同时欺骗一台PC。
把源MAC改为受害主机的MAC就OK了。
然后往外发包。
我们这次攻击PC2(PC2和R1上也作了相应的静态绑定我就不上图了)
我们看看PC2在交换机MAC表项
这个时候PC2就掉线了而黑客也一样上网,并且之前我也在PC2和R1的静态绑定,图太多我也没有上图。
。
看看PC2PING
这样看你和HACKER和PC2的发包速度,谁快。
那个MAC便跑向哪个端口。
那解决办法也简单。
在交换机上起交换机安全就可以,每个口只允许最多一个MAC。
然后再静态绑定。
MAC和PORT的邦定。
我就不上图了。
违规后就SHUDDOWN这个口。
Arp数据包那个OP选项,常用的是ARP请求和ARP回应。
那你把攻击包改称ARP请求可以么,答案是Okok的,
因为你发送一个请求包,主机就会记学习的ARP包里的ipMAC对应关系。
不关这个条目是否主机需要,
是否ARP缓存表里有,而回应包只能更新主机的ARP缓存表,如果主机ARP缓存表里没有,则无法更新。
虚假的MAC-IP也不会出现在主机的ARP缓存里。
好了
做好这三个地方的安全。
你的网络就OK了。
缺一不可!
!
!
!
!
我可以给你举个例子,如果你只作了交换机安全,只允许一个MAC,那么我完全可以,
把我的源MAC地址改为交换机绑定的合法MAC,因为欺骗主机靠的是ARP包不是前面的以太网帧,
而交换机的学习是靠的以太网头的源MAC地址。
前面我们对ARP整个数据帧做了分解。
OK
这是解决方案一,就是静态绑定,这个方法可以让你很透彻的学习ARP的攻击原理。
防止ARP攻击的解决方案还有其他的我以后将慢慢上传。
升级会员 