NOVOTS KMS 词汇表 Glossary    联系我们 Contact Us
查询 Search  
   
按类别浏览 Browse by Category
NOVOTS KMS .: 病毒安全 .: 想了解的进ARP攻击的原理,现象,和解决方法是什么?

想了解的进ARP攻击的原理,现象,和解决方法是什么?

1.首先给大家说说什么是ARP ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。 ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。 ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。 2.网络执法官利用的就是这个原理! 在网络执法官中,要想限制某台机器上网,只要点击"网卡"菜单中的"权限",选择指定的网卡号或在用户列表中点击该网卡所在行,从右键菜单中选择"权限",在弹出的对话框中即可限制该用户的权限。对于未登记网卡,可以这样限定其上线:只要设定好所有已知用户(登记)后,将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC,使其找不到网关真正的MAC地址,这样就可以禁止其上网。 3.修改MAC地址突破网络执法官的封锁 根据上面的分析,我们不难得出结论:只要修改MAC地址,就可以骗过网络执法官的扫描,从而达到突破封锁的目的。下面是修改网卡MAC地址的方法: 在"开始"菜单的"运行"中输入regedit,打开注册表编辑器,展开注册表到:HKEY_LOCAL_ MACHINE/System/CurrentControl Set/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE103 18}子键,在子键下的0000,0001,0002等分支中查找DriverDesc(如果你有一块以上的网卡,就有0001,0002......在这里保存了有关你的网卡的信息,其中的DriverDesc内容就是网卡的信息描述,比如我的网卡是Intel 210 41 based Ethernet Controller),在这里假设你的网卡在0000子键。 在0000子键下添加一个字符串,命名为"NetworkAddress",键值为修改后的MAC地址,要求为连续的12个16进制数。然后在"0000"子键下的NDI/params中新建一项名为NetworkAddress的子键,在该子键下添加名为"default"的字符串,键值为修改后的MAC地址。 在NetworkAddress的子键下继续建立名为"ParamDesc"的字符串,其作用为指定Network Address的描述,其值可为"MAC Address"。这样以后打开网络邻居的"属性",双击相应的网卡就会发现有一个"高级"设置,其下存在MAC Address的选项,它就是你在注册表中加入的新项"NetworkAddress",以后只要在此修改MAC地址就可以了。 关闭注册表,重新启动,你的网卡地址已改。打开网络邻居的属性,双击相应网卡项会发现有一个MAC Address的高级设置项,用于直接修改MAC地址。 MAC地址也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。这个地址与网络无关,即无论将带有这个地址的硬件(如网卡、集线器、路由器等)接入到网络的何处,它都有相同的MAC地址,MAC地址一般不可改变,不能由用户自己设定。MAC地址通常表示为12个16进制数,每2个16进制数之间用冒号隔开,如:08:00:20:0A:8C:6D就是一个MAC地址,其中前6位16进制数,08:00:20代表网络硬件制造商的编号,它由IEEE分配,而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品(如网卡)的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。 另外,网络执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址,使其找不到网关真正的MAC地址。因此,只要我们修改IP到MAC的映射就可使网络执法官的ARP欺骗失效,就隔开突破它的限制。你可以事先Ping一下网关,然后再用ARP -a命令得到网关的MAC地址,最后用ARP -s IP 网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。 4.找到使你无法上网的对方 解除了网络执法官的封锁后,我们可以利用Arpkiller的"Sniffer杀手"扫描整个局域网IP段,然后查找处在"混杂"模式下的计算机,就可以发现对方了。具体方法是:运行Arpkiller(图2),然后点击"Sniffer监测工具",在出现的"Sniffer杀手"窗口中输入检测的起始和终止IP(图3),单击"开始检测"就可以了。 检测完成后,如果相应的IP是绿帽子图标,说明这个IP处于正常模式,如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标,就是这个家伙在用网络执法官在捣乱 近期网络中ARP病毒流行,对同一局域网内的其他用户造成了较大的影响。此病毒为木马病毒附带的一种欺骗病毒,这些计算机病毒一般都是利用ARP协议的漏洞进行危害活动。 被攻击的电脑现象   被欺骗电脑的典型症状是刚开机能上网,几分钟之后断网,过一会又能上网,或者重启一遍电脑就可以上网,一会又不好了,如此不断重复,造成校园网的不稳定,影响正常使用。重启机器或在MSDOS窗口下运行命令ARP -d后,又可恢复上网一段时间。 ARP病毒原理   电脑中毒后会向同网段内所有计算机发ARP欺骗包,从而致使同一网段地址内的其它机器误将其作为网关,导致网络内其它电脑因网关物理地址被更改而无法上网,这就是为什么掉线时内网是互通的,计算机却不能上网的原因。 ARP病毒手动处理方法   步骤一. 在能上网时,进入MS-DOS窗口,输入命令:arp –a,查看网关IP对应的正确MAC地址,将其记录下来。   步骤二. 如果已经有网关的正确MAC地址,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令:arp –s 网关IP 网关MAC   例如:假设计算机所处网段的网关为218.197.192.254,本机地址为218.197.192.1在计算机上运行arp –a后输出如下:   C:\Documents and Settings>arp -a    Interface: 218.197.192.1 --- 0x2    Internet Address Physical Address Type    218.197.192.254 00-01-02-03-04-05 dynamic   其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。   被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,如果大家希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找做准备。   手工绑定的命令为:arp –s 218.197.192.254 00-01-02-03-04-05   这时,类型变为静态(static),就不会再受攻击影响了。   但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,令其杀毒,方可解决。 ARP病毒专杀,防御工具下载 Anti ARP Sniffer的下载地址 AntiArpSniffer3.zip ARP_TSC.rar 操作系统:WINDOWS2000 与 WINDOWS XP 防毒软件:NORTON 10.0企业版,个人认为这些杀毒软件争对ARP病毒真的是毫无办法。感染范围:公司局域网内可以上网的电脑 病毒类型:ARP病毒#病毒文件:在WINDOWS,WINNT,SYSTEM32文件夹下与上述文件相近日期时间的所有文件。大部分都是隐藏属性的文件。 ARP感染过程:首先一台WINXP电脑,在上网时无意中感染了ARP病毒,然后通过发IP地址冲突包,感染其它的电脑,导致其它的电脑通过特殊的端口,在后台,从特殊的服务器上下载ARP病毒(我公司是从这个站点下载病毒的:WWW.52XMM.CN)。最后在网络上ARP表中产生很多的相同的IP地址,主要是与网关相同的IP但MAC不同,从而导致网络PING网关断续续。 下面我来总结我们公司三位工程师用了一天的时间研究(上午9:00-晚上20:00)争对ARP病毒的发现到消灭ARP病毒的全过程。现精简如下: 前提:有一份网卡MAC地址、IP地址与电脑编号的对照表(希望每一位企业与网吧网络技术人员在维护网络时必备的参照表),方便发现故障机可以最快的速度断开它的连接。第一步:发现中毒机器并隔离它 如果你发现在局域网内的电脑经常上不到网,PING网关则丢包严重,或者根本PING不通,则在局域网内肯定有APR相关的病毒存在,简单的查看方法是在CMD命令提示下:输入 arp –a 命令查看有没有相同的IP地址,如有则用 arp –d 命令清除ARP地址表,就可以上网了,但病毒还存在网络中,还会继续发作,另外这种方法并不能显示所有中毒电脑的MAC地址。 我的方法是:在自己电脑上安装网络执法官 v2.88企业版,用于监控局域网内有没有相同IP地址,主要监控网关的IP就可以了。如发现有与网关相同的IP,则对照MAC地址清单,找到非网关的MAC地址电脑,将它的网络断开,以免感染其它的电脑。 第二步:清除ARP病毒文件及删除注册表启动项 首先进入安全模式,手动删除WINDOWS、WINNT、SYSTEM32文件夹下的所有病毒文件(上面有描述)。有个别DLL类型的文件不能直接删除,必须将它的扩展文件改为BAK(也可以是其它非DLL、EXE、COM类型),再进入注册表删除相关启动项,然后重新进入安全模式再删除它。第三步:安装最新版360安全卫士,清除木马,流氓软件,恶意插件 及 修复IE因为ARP病毒还有些相关的信息存放在IE里面,一定要清除,否则一段时间后(大概5分钟),只要你连接上INTERNET,又会继续感染。个人感觉360功能比较全面,并且是免费的,特推荐使用它。在感染病毒的电脑上,安装好360安全卫士,然后查杀木马及清理恶评系统插件,最后再修复IE。 第四步:运行ARP(TSC)专杀工具 因这个专杀工具是一个过时的工具(最新的ARP病毒变种为2006-8-24),网上找了N个都是相同的,还没有发现比它更新的工具。在这里运行它主要是防止有些老的及忘记删的ARP病毒。运行它也只是过过场而己。到此,ARP病毒己经从本机清除干净。第五步:运行WINSOCKFIX.EXE 这步主要争对有些电脑删除ARP病毒后,造成无法上网及收发邮件的解决方法。运行完后,这台电脑的IP、网关、DNS都要重新设置。第六步:防止以后再中ARP病毒 跟据需要打上360 ARP防火墙。及禁止所有电脑访问,这些电脑中毒后,后台所访问的网址,肯定要一个个仔细去查找(适用于代理上网的网络,我公司禁用的网址为WWW.52XMM.CN)。电脑中所有的漏洞与补丁都要打上,可以通过360的修复漏洞功能。 本文摘自: 黑盾科技论坛(http://www.hdhacker.com) 详细出处请参考:http://www.hdhacker.com/forum.php?mod=viewthread&tid=64603&pid=615023&page=1&extra=#pid615023

这篇文章对你多有用?

相关文章

article 为什么浏览器会出现“花屏”现象?
解决方法:在浏览某些网页时,可能由于这些网页内...

(No rating)  8-17-2012    Views: 695   
article 有效解决路由器环路现象的方法
路由器发生环路的原因有很多,当然解决方法也各不...

(No rating)  5-14-2013    Views: 611   
article 为初创公司工作前,你需要先了解的五件事
  近日,由YC孵化器公司孵化的招聘公司HireArt的...

(No rating)  1-24-2013    Views: 899   

用户评语

添加评语
当前还没有评语.


.: .: .: .: .:
[ 登陆 ]
北京护航科技有限公司 2006

Novots Technologies Limited