注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

jjxn的博客

21世纪猪圈

 
 
 

日志

 
 

ARP欺骗简析  

2006-10-15 22:59:47|  分类: 网络技术 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
针对目前ARP欺骗病毒的危害,总结一些经验,供大家工作参考。看懂本文需要一些IP协议基础知识,以及CISCO设备操作经验。
1、ARP简析
以太网网络数据传输是以数据包为单位进行的,而数据包的源、目的地址是根据网卡MAC硬件地址进行区分,任何数据包必须包含正确的MAC地址参数。
应用软件指明的传输地址一般是域名或者IP地址,而计算机最终需要将其映射到MAC地址,才能在网络线路上传输。域名到IP的映射通过DNS服务完成,而IP到MAC的映射则需要用到ARP,这是IP协议的重要功能。
当计算机需要向某个目标IP传输数据,计算机需要首先知道目标IP的MAC地址,如果目标IP不在同一IP网段,则需要知道网关IP的MAC地址,由网关完成后续传输。MAC地址通过ARP查询、通告以及监听的方式进行。
查询:如果不知道目标MAC地址,计算机会向网络上发布ARP查询广播数据包“谁是IPXX?MAC地址多少?”,此数据包的目标MAC地址是FFFFFFFFFFFF,换成二进制也就是全“1”,这个数据包会被交换机转发到本网的所有计算机。同时,ARP查询数据包也包含的本机的IP地址和MAC地址,以便对方能正确应答。目标IP符合的计算机收到ARP查询广播后,会向查询计算机答复“我是IPXX,MAC地址XXXX”。
通告:计算机启动时以及每隔一段时间,会向网络发送ARP广播,声明自己的IP和MAC地址。
监听:网上所有ARP广播和通告信息会被其他计算机收到,其中的IPARP对应关系就会被提取出来备用。
每台计算机都维护着自己的ARPIP对应表,在WINDOWS系统下,ARP表可以使用 arp -a 命令查看。ARP表也不是一成不变的,其中的记录有自己的生存周期,超过生存周期的ARP记录会被自动清除,如果又要使用过期记录,则又要开始新的查询。所以,繁忙的网络中,ARP数据会不停的产生和消失,这也是网络自我维持的重要保障。
2、ARP欺骗原理以及症状
ARP是自动进行,这也就决定其不可靠和可信。只要有计算机声明了自己的IP和MAC,网上的其它计算机就会相信和使用,而最新的声明也会立即生效。所以,如果有计算机A声明自己具备计算机B的IP地址,网上其它计算机,比如计算机C收到声明后,会更新自己的ARP表,将本来要发送给计算机B的IP数据,错误地发送给计算机B。这就是ARP欺骗的模型。
如果计算机B本来是该网段的网关,ARP欺骗的结果会导致该网段其它计算机无法访问正确的网关,从而无法与外网连通;如果计算机B本来是服务器,ARP欺骗的结果会导致到服务器的连接中断,相应的应用程序也会出现故障。
由于ARP表的动态性,计算机B会定期重新声明自己的正确ARP数据,所以其它计算机的ARP表不断被刷新,时而正确时而错误,网络也时断时续。
3、ARP欺骗源的自查
ARP欺骗的检查很容易,依照以下几个步骤进行:
根据症状,确定被用来欺骗的IP地址,比如服务器地址,或者网关地址,此2类欺骗造成的危害最严重。同时确定该IP地址的正确MAC地址。
找1台或多台计算机,PING被监控的IP地址,并且监控本地ARP表。如果发现ARP表中关于被监控IP的条目是错误的,说明发生了ARP欺骗。
根据错误的MAC地址,找到发出欺骗数据的计算机,进行适当处置,例如断网,杀毒,修复系统等等。
继续观察,确认所有欺骗者都被找到和修复,网络恢复正常。

  评论这张
 
阅读(25)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017