防御ARP攻击和ARP欺骗并查找攻击主机

最新推荐文章于 2025-05-01 08:20:19 发布
最新推荐文章于 2025-05-01 08:20:19 发布
阅读量4.5k 收藏 5
点赞数 2
文章标签: 网络 服务器 tcp/ip 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_79294878/article/details/132139135
版权

  

目录

1.防御ARP攻击和ARP欺骗并查找攻击主机

    1.防御ARP攻击和ARP欺骗

2.查找进行ARP攻击或ARP欺骗的主机

2 使用Sniffer软件分析ARP协议

1.使用SnifferPro捕获数据包

2.ARP协议原理分析

3.ARP协议:

  网络管理员在网络维护阶段需要处理各种各样的故障,出现最多的就是网络通信故障。除物理原因外,这种现象一般是ARP攻击或ARP欺骗导致的。

       无论是ARP攻击还是ARP欺骗,它们都是通过伪造ARP应答来实现的。

1.防御ARP攻击和ARP欺骗并查找攻击主机

下面介绍防御ARP攻击和ARP欺骗并查找攻击主机的方法。
   

    1.防御ARP攻击和ARP欺骗


        防御ARP攻击和ARP欺骗最有效的方法是进行ARP绑定,即分别在主机和网关进行ARP绑定,这样ARP表将不会受到虚假的ARP应答信息的影响而出现网络故障。如果网络中的主机较多,
进行ARP绑定的工作量十分大,并且主机ARP绑定后重启系统就需要重新绑定,所以,可以使用
ARP防火墙自动抵御。
                   如果网关是路由器而不是主机,则需要在网关设备上手动绑定
                   ARP。这是因为ARP攻击是双向的,只攻击网关就可以导致网络通信
                   瘫痪。

2.查找进行ARP攻击或ARP欺骗的主机


        当网络出现故障时,可通过ARP协议查到有问题主机的MAC地址,但是如果MAC地址没有记
录或攻击者使用的是虚假的MAC地址,那么应该如何找到问题主机呢?
        在网络出现ARP病毒时,可以知道中病毒主机的MAC地址(MAC地址可能是虚假的)。经查表
没有发现对应的主机,这说明ARP病毒可能伪造了一个虚假的MAC地址,这时要查找出问题主机
就要查看交换机的MAC地址表。
        由干交换机学习数据帧中的源MAC地址,因此使用show mac address-table命令可查看端口学习到的MAC 地址。从MAC 地址表中找到问题的MAC地址,从而判断发出此MAC地址数据帧的主机下挂在此端口;再查看下挂交换机的MAC地址表,最终确定一个端口下所有问题的主机。
       例如,出现问题的MAC地址是001fcaff1003,查找此MAC地址对应的端口。

        可以找到此MAC地址对应的端口。如果网络结构比较复杂,可能会有多个端口对应此MAC地
址,这时就要对接口下挂设备进行逐个查找。


2 使用Sniffer软件分析ARP协议


        上一节中我们对ARP引起的安全性问题进行了详细说明,也通过相关软件验证了结论。本节将通过Sniffer抓包工具软件对其底层原理进行深入剖析。

1.使用SnifferPro捕获数据包


        Sniffer Pro是一个能够在网络中捕获数据包的软件,通过它可以学习并理解TCP/IP的各种协议。那么如何使用Sniffer Pro抓包呢?
        启动Sniffer Pro后,单击图中的》按钮,出现如图所示的界面。

        当图中的曲按钮可用时,表示已捕获到数据。单击编按钮,再选择“解码”选项,出现
如图所示的界面,即可看到捕获到的数据包。

 Sniffer Pro抓包界面

2.ARP协议原理分析

       ARP分组直接封装在数据链路层的帧中

 ARP分组的封装

      下面通过抓包来看一下ARP分组和帧的结构。
      实验环境如图所示,在PC2上安装SnifferPro软件,以确保两台主机通信正常。

       首先在主机PC1上使用arp-d命令清除ARP缓存表,然后向主机PC2发送一个ICMP包。

      在 PC2 上用 Sniffer 抓到了两个ARP分组,分别如图

 这里重点介绍几个字段。

       (1)操作代码(Opcode):1表示ARP请求,2表示ARP应答。

       (2)发送端硬件地址(Sender's hardware address):图中表示主机PC1的网卡地址。
       (3)发送端协议地址(Sender's protocoladdress):图中表示主机PC1的IP地址,
       (4)目标端硬件地址(Target hardware address):图中的000000000000表示主机PC1不
知道PC2的网卡地址,而图中表示主机PC1的网卡地址。
       (5)目标端协议地址(Targetprotocoladdress):图中表示主机PC2的IP地址。
       可以看到,主机PC2在ARP应答分组中已经包含了自己的物理地址,这样PC1就获得了PC2的
物理地址,下一步PC1就可以向PC2发送IP数据报文。
       接下来看一下数据链路层帧头的结构。
查看如图所示的ARP分组的DLC(数据链路层),看一下它的帧头结构,如图所示。

        这是PC2回应PC1的帧,其字段说明如下。
               目的地址(Destination):这里是指主机PC1的网卡地址。
               源地址(Source):这里是指主机PC2的网卡地址。
               类型(Ethertype):0806表示此帧所携带的数据是ARP分组。
        回顾之前讲的ARP攻击,那么如何通过Sniffer抓包来分析ARP攻击的原理呢?如图所示,攻击方主机(100.0.12)运行长角生网络监控机软件给网络中的主机发送网关的虚假MAC地址。现在其中一台“受害”主机(10.0.0.95)安装 Sniffer Pro,通过Sniffer抓包来分析ARP攻击的原理。

推荐步骤如下。
(1)捕获并查看报文。
        单击▶按钮,将开始捕获所有收到和发出的数据报文,等待一段时间之后,单击的按钮,查看分析结果。
(2)分析验证ARP攻击的原理。
        如图所示,ARP数据包来自MAC地址为005056C00002的主机。

 

        选中一个报文查看其具体内容,该数据报文属于ARP的回应包(ARPReply),其内容是网关
10.0.0.178的IP 地址对应的 MAC 地址为000C29943155,这个地址显然和真实的网关MAC
(000C29288DE9)不同。因此,如果本机将这个地址存入ARP缓存,就无法和网关通信。

3.ARP协议:

地址解析协议,就是根据ip地址获取局域网中主机的MAC地址

 

bug处理器
关注
详解ARP攻击原理、类型、机制、欺骗主机、仿冒网关、泛洪攻击,以及网络攻击中如何快速判断客户端是否存在恶意连接?
代码讲故事
03-27 545
详解ARP攻击原理、类型、机制、欺骗主机、仿冒网关、泛洪攻击,以及网络攻击中如何快速判断客户端是否存在恶意连接?ARP攻击(Address Resolution Protocol attack)是一种网络攻击技术,它利用了ARP协议的设计缺陷来实施攻击ARP网络协议中用于将网络层的IP地址解析为链路层的MAC地址的协议。在局域网中,当一个设备想要与另一个设备通信时,它需要知道对方的MAC地址,这就是ARP协议的作用。
用命令行方法查找ARP地址欺骗病毒
10-24
面对着局域网中成百台电脑,一个一个地检测显然不是好办法。其实我们只要利用ARP病毒的基本原理:发送伪造的ARP欺骗广播,中毒电脑自身伪装成网关的特性,就可以快速锁定中毒电脑。可以设想用程序来实现以下功能:在网络正常的时候,牢牢记住正确网关的IP地址MAC地址,且实时监控着来自全网的ARP数据包,当发现有某个ARP数据包广播,其IP地址是正确网关的IP地址,但是其MAC地址竟然是其它电脑的MAC地址的时候,这时,无疑是发生了ARP欺骗。对此可疑MAC地址报警,在根据网络正常时候的IP-MAC地址对照表查询该电脑,定位出其IP地址,这样就定位出中毒电脑了。下面详细说一下如何利用命令行方式检测ARP中毒电脑的方法。
如何快速定位网络中哪台主机发起ARP攻击
最新发布
m0_60797416的博客
05-01 990
快速定位:优先使用Wireshark抓包或XArp监控,结合交换机日志缩小范围。根除攻击:找到攻击主机后,重装系统、查杀恶意软件或封锁其网络访问。长期防护:通过静态ARP绑定、交换机安全策略避免二次攻击。通过上述方法,可高效识别处理ARP攻击,保障网络稳定性。
ARP欺骗攻击的7种解决方案,我最推荐你用这种
Python84310366的博客
04-12 1074
ARP欺骗是**一种常见攻击方式,**常常发生在局域网之内,产生的危害比较大,可以导致被攻击者流量丢失、中间人攻击、连接不上互联网甚至会被网络监听。在局域网中,网络以“帧”的形式传输数据。一个主机另一个主机进行直接通信,必须要知道目标主机的MAC地址,目标主机的MAC地址应当包含在数据帧中。显然在双方通信之初,发送方是无法知道目标MAC地址的,它的获得就是通过地址解析这个过程。 所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。 ARP协议的基本功能就是通过目标设备的IP地址,
防护arp攻击软件最终版-Antiarp安全软件
05-07
防护arp攻击软件最终版-Antiarp安全软件 使用方法: 1、填入网关IP地址,点击〔获取网关地址〕将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意:如出现这种欺骗提示,这说明攻击者发送了对于此种欺骗数据包来获取网卡的数据包,如果您想追踪攻击请记住攻击者的MAC地址,利用MAC地址扫描器可以找出IP 对应的MAC地址. 2、IP地址冲突 如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP冲突的警告,利用Anti ARP Sniffer可以防止此类攻击。 3、您需要知道冲突的MAC地址,Windows会记录这些错误。查看具体方法如下: 右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来为[TcpIP]---双击事件可以看到显示地址发生冲突,记录了该MAC地址,请复制该MAC地址填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使M地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的地址相符,如果更改失败请与我联系。如果成功将不再会显示地址冲突。 注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使地址生效请禁用本地网卡然后再启用网卡。 有关ARP病毒问题的处理说明: 故障现象 :机器以前可正常上网的,突然出现可认证,不能上网的现象(无法ping通网关),重启机器或在MSDOS窗口下运行命令ARP -d后,又可恢复上网一段时间。 故障原因:这是APR病毒欺骗攻击造成的。 引起问题的原因一般是由传奇外挂携带的ARP木马攻击。当在局域网内使用上述外挂时,外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP包,从而致使同一网段地址内的其它机器误将其作为网关,这就是为什么掉线时内网是互通的,计算机却不能上网的原因。 临时处理对策: 步骤一. 在能上网时,进入MS-DOS窗口,输入命令:arp –a 查看网关IP对应的正确MAC地址,将其记录下来。 注:如果已经不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp –a。 步骤二. 如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令: arp –s 网关IP 网关MAC 例如:假设计算机所处网段的网关为218.197.192.254,本机地址为218.197.192.1在计算机上运行arp –a后输出如下: C:\Documents and Settings>arp -a Interface: 218.197.192.1 --- 0x2 Internet Address Physical Address Type 218.197.192.254 00-01-02-03-04-05 dynamic 其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。 被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,如果大家希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找做准备。 手工绑定的命令为: arp –s 218.197.192.254 00-01-02-03-04-05 绑定完,可再用arp –a查看arp缓存, C:\Documents and Settings>arp -a Interface: 218.197.192.1 --- 0x2 Internet Address Physical Address Type 218.197.192.254 00-01-02-03-04-05 static 这时,类型变为静态(static),就不会再受攻击影响了。但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,令其杀毒,方可解决。找出病毒计算机的方法: 如果已有病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址,然后可报告校网络中心对其进行查封。
ARP ARP攻击查找
zs12344444的专栏
12-25 1712
ARP是地址转换协议(Address Resolution Protocol)的英文缩写,它是一个链路层协议,工作在OSI模型的第二层,在本层硬件接口间进行联系,同时对上层(网络层)提供服务。     二层的以太网交换设备不能识别32位的IP地址,它们是以48位以太网地址(就是我们常说的MAC地址)传输以太网数据包的。也就是说IP数据包在局域网内部传输时不是靠IP地址而是靠MAC地址来识别
ARP渗透与攻防(八)之ARP攻击防御
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
01-27 3490
ARP攻击的原理是向网关靶机不停的发送ARP欺骗报文,我们的计算机或者网关就会实时更新ARP缓存表,从而出现安全漏洞。假如对这种欺骗报文的处理是不相信或者不接受的话,就不会出现问题了。处理这种的欺骗的行为我们没办法提前在攻击端进行操作,因为敌人躲在暗处,而我们处明处。针对这种情况我们可以从以下两方面入手:1.让我们的电脑不接收欺骗包2.即使接收到欺骗的包也不要相信目前网络安全行业现有的ARP防御方案,基本都是基于上面两个方法实现的。
针对ARP攻击的基本防御
流云追风
10-21 930
        ARP攻击近年来非常流行,不断能造成局域网的上网掉线,而且厉害的还携带盗号木马,盗取用户的资料。。。针对这些可恶的ARP攻击比较常用的方法是:建立静态ARP表(即ARP绑定)     这是一种很有效的方法,而且对系统影响不大。缺点是破坏了动态ARP协议。可以建立如下的文件。       IP1   08:00:20:ba:a1:f2       IP2   08:00:20
查找网内arp攻击
cuiqiang1269的博客
04-05 626
今天早上无聊自己做测试,发动了下ARP攻击,学着找攻击。 下面记录一下主要思路吧。首先,在系统中用arp -a查到仿冒路由的那个mac地址,记录下来。登陆到上层的路由,sh arp。查看改mac地址对应的接口。 用sh c...
ARP协议-arp协议-ARP协议的初步认识、ARP 协议的介绍、常见的ARP攻击方法、防ARP攻击的方法
10-18
ARP欺骗是指攻击者向目标主机发送伪造的ARP应答包,使得目标主机更新其ARP缓存中的条目,将错误的MAC地址与IP地址关联起来,从而导致无法正确通信。ARP洪水攻击则是攻击者向局域网内发送大量的ARP请求包或应答包,...
彻底防御ARP攻击查找定位攻击IP
但是,ARP协议的设计存在一些安全缺陷,使得它容易受到ARP欺骗攻击ARP攻击是一种常见的网络攻击手段,攻击者通过发送伪造的ARP响应来干扰正常的ARP解析过程,使目标主机错误地更新其ARP缓存,导致数据包被发送到...
ARP地址欺骗实验报告.doc
03-27
- ARP欺骗的关键在于伪造的ARP响应报文,通过改变报文中的IPMAC地址,使目标主机误以为攻击者的MAC地址是期望通信的主机的MAC地址。 - ARP缓存的动态更新特性使得这种欺骗能够生效,因为主机通常会信任接收到的...
arp攻击防御软件合集
05-13
包括p2p(多个) 反p2p 反聚生网管 antiarp skiller.7
获取arp攻击的几种方法
01-10
获取arp攻击的几种方法
如何使用Anti ARP Sniffer防御ARP欺骗攻击
通过ARP欺骗攻击者可以实现多种攻击目的,比如中间人攻击(Man-In-The-Middle,简称MITM),通过截获修改通信双方的数据包,可以进行数据窃取、篡改拒绝服务攻击等。此外,ARP欺骗也可能引起网络拥塞断网...
查找ARP攻击
weixin_30376163的博客
05-29 1807
问题: 内网有电脑中了ARP病毒,但是网络拓扑比较复杂、电脑数量较多,排查起来很困难。有什么方法可以找出ARP攻击?【推荐3】排查方法: 1.使用Sniffer抓包。在网络内任意一台主机上运行抓包软件,捕获所有到达本机的数据包。如果发现有某个IP不断发送请求包,那么这台电脑一般就是病毒。 原理:无论何种ARP病毒变种,行为方式有两种,一是欺骗网关,二是欺骗网内的所...
ARP攻击原理简析及防御措施
weixin_30736301的博客
04-28 502
0x1简介 网络欺骗攻击作为一种非常专业化的攻击手段,给网络安全管理者,带来严峻的考验。网络安全的战场已经从互联网蔓延到用户内部的网络, 特别是局域网。目前利用ARP欺骗的木马病毒在局域网中广泛传播,导致网络随机掉线甚至整体瘫痪,通讯被窃听,信息被篡改等严重后果。 0x2ARP协议概述 ARP协议(addressresolutionprotocol)地址解析协议 一台主机...
ARP欺骗防御工具arpon
12-22 339
ARP欺骗防御工具arpon ARP欺骗局域网最为常见的中人间攻击实施方式。Kali Linux提供一款专用防御工具arpon。该工具提供三种防御方式,如静态ARP防御SARPI、动态ARP防御...
day14、4 - ARP攻击防御
Edimade的博客
05-10 1679
一、ARP攻击防御(1.易于被ARP攻击的原因>2.常见的几种防御方法>3.ARP相关命令)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值