最新ARP攻击和防范措施
A (192.168.0.1)
B (192.168.0.2)
2020/10/14
06计科系本科班 卢欣
9
主机与主机之间的通信
• 主机A的缓存表中没有主机B的IP和MAC地 址。
• 主机A向整个局域网中发送广播,获得主机 B的MAC地址,最终实现通信,并将其添加 到自己的缓存表中。
A (192.168.0.1)
B (192.168.0.2)
2020/10/14
06计科系本科班 卢欣
10
从上面两台机器之间的通信过程可 以看出:整个数据传送是建立在对 局域网中电脑全部信任的基础上的, 也就是说它的假设前提是:无论局 域网中那台电脑,其发送的ARP数 据包都是正确 的。
2020/10/14
06计科系本科班 卢欣
ARP攻击和防范措施
ARP病毒发作时的现象
➢ 使用校园网时会突然掉线,过一段时间后又恢复 正常。
➢ 用户频繁断网,IE浏览器频繁出错。 ➢ 一些常用软件出现故障。 ➢ 使用身份认证上网的用户,出现能够通过认证,
但是无法上网的情况。 网络掉线,但网络连接正 常,内网的部分PC机不能上网,或者所有电脑不 能上网,无法打开网页或打开网页慢,局域网时 断时续并且网速较慢等。
地址之后,再点击红色框内的“枚举MAC”按钮, 即可获得正确网关的MAC地址。
2020/10/14
06计科系本科班 卢欣
15
2020/10/14
06计科系本科班 卢欣
16
2.接着点击“自动保护”按钮,即可保护当前网卡 与网关的正常通信。
2020/10/14
06计科系本科班 卢欣
17
3.当局域网中存在ARP欺骗时,该数据包会被防火 墙Anti ARP Sniffer记录,该软件会以气泡的形式报 警。
ARP协议
2020/10/14
06计科系本科班 卢欣
7
ARP缓存表
• 保存这网络中各个电脑的IP地址和MAC地 址的对照关系。
• 特点:能够不断更新缓存表,添加原来没 有的IP和MAC地址,以便下次访问。
2020/10/14
06计科系本科班 卢欣
8
主机与主机之间的通信
• 主机A的缓存表中有主机B的IP和MAC地址, 这种情况可以直接完成通信。
2020/10/14
06计科系本科班 卢欣
2
ARP病毒的危害
• 导致网络大面积瘫痪 • 盗取用户的QQ密码 • 盗取 卢欣
3
ARP病毒的原理
• 通过伪造IP地址和MAC地址实现ARP欺骗, 能够在网络中产生大量的ARP通信量使网 络阻塞。
窗口下运行以下命令: arp –s 网关IP 网关 MAC
2020/10/14
06计科系本科班 卢欣
21
例如:假设计算机所处网段的网关为 192.168.0.1,MAC地址为06-50-4306-35-68
• 在MS-DOS窗口下运行以下命令:arp –s 192.168.0.1 06-50-43-06-35-68
2020/10/14
06计科系本科班 卢欣
4
ARP协议
• ARP(AddressResolutionProtocol)地址 解析协议用于将计算机的网络IP地址转化为 物理MAC地址。
• ARP协议的基本功能就是通过目标设备的 IP地址,查询目标设备的MAC地址,以保 证通信的顺利进行。
2020/10/14
2020/10/14
06计科系本科班 卢欣
13
ARP病毒电脑的定位方法
• 命令行法
方法:在MS-DOS下输入arp –a命令然后回 车,输入后的返回信息如下:
Internet Address Physical Address Type
192.168.0.1
00-50-56-e6-49-56 dynamic
2020/10/14
06计科系本科班 卢欣
18
ARP病毒电脑的定位的其他方法
• 抓包嗅探法 原理:当局域网中有ARP病毒欺骗时,往 往伴随着大量的ARP欺骗广播数据包,这 时,流量检测机制应该能够很好的检测出 网络的异常举动
• ARP病毒KV解决方案 KV新版防火墙特增加了ARP病毒防御功能, 可以拦截来自局域网中的ARP欺骗数据包, 保护本机联网安全 。
06计科系本科班 卢欣
5
主机与主机之间的通信
• 我们以主机A(192.168.0.1)向主机B (192.168.0.2)发送数据为例。
A (192.168.0.1)
B (192.168.0.2)
2020/10/14
06计科系本科班 卢欣
6
完成通信的必备条件
• 一台主机要和另一台主机进行通信,必须 要知道目标主机 的IP地址,但是最终负责 在局域网中传送数据的网卡等物理设备是 不识别IP地址的,只能识别其硬件地址即 MAC地址。
11
ARP欺骗的过程
假设局域网中有三台机器,其中一 个电脑名叫A, 代表攻击方;一台电脑叫S,代表源主机,即发 送数据的电脑;令一台电脑名叫D,代表目的主 机,即接收数据的电脑
2020/10/14
06计科系本科班 卢欣
12
ARP病毒电脑的定位方法
• 命令行法
原理:当局域网中发生ARP欺骗的时候, ARP病毒电脑会向全网不停地发送ARP欺 骗广播,这时局域网中的其它电脑就会动 态更新自身的ARP缓存表,将网 关的MAC 地址记录成ARP病毒电脑的MAC地址,这 时候我们只要在其它受影响的电脑中查询 一下当前网关的MAC地址,就知道中毒电 脑的MAC地址了
由于这个电脑的ARP表是错误的记录,因此,该MAC地址不是真正网 关的MAC地址, 而是中毒电脑的MAC地址!这时,再根据网络正常 时,全网的IP—MAC地址对照表,查找中毒电脑的IP地址就可以了。
2020/10/14
06计科系本科班 卢欣
14
ARP病毒电脑的定位方法
• 工具软件法 (ARP防火墙 Anti ARP Sniffer ) 1.首先打开Anti ARP Sniffer 软件,输入网关的IP
2020/10/14
06计科系本科班 卢欣
19
ARP病毒的解决方法
• 绑定IP和MAC 1.在能够上网的情况下,进入命令提示符,
然后输入arp –a来查询默认网关和MAC地 址(如图所示)
默认网关
MAC地址
动态类型
2020/10/14
06计科系本科班 卢欣
20
ARP病毒的解决方法
• 绑定IP和MAC 2.手工将网关IP和正确MAC绑定.在MS-DOS
