来源:蜘蛛抓取(WebSpider)
时间:2012-05-10 08:22
标签:
无法清除arp缓存
您现在的位置: &
剖析ARP缓存感染攻击(1)
剖析ARP缓存感染攻击(1)
对人们撒谎,即所谓的&社会工程&,还包含了策略(已获罪的黑客Kevin Mitnick有具体实施),例如假扮成一个公司的雇员这样就可以和真正的雇员交换公司机密。要骗过计算机则包括许多不同的技术,一个常用的是&&ARP缓存中毒(ARP Cache Poisoning)&&这是本文的核心。ARP中毒能让局域网内的黑客在其网内造成巨大的网络破坏。由于它通常是&不可治愈&的,因此每一个网络管理员都应该明白这种攻击究竟是如何进行的。
回顾ARP
在&计算机网络基础:什么是NIC, MAC和ARP?& ( 参见译者的这篇译文 ) 一文中,我们解释了地址解析协议 (ARP, Address Resolution Protocol) 是如何将网络设备的MAC地址和其IP地址关联起来的,这样在同一个局域网内的设备就能相互知道彼此的存在。ARP基本上就是一种网络上的点名。
ARP,一个十分简单的协议,仅仅只包含了4种消息类型:
1.& ARP请求。计算机A询问整个局域网,&Who has this IP address?& (&谁的IP地址是这个?&,英文为本来报文里的ASCII码消息,译者注)
2.& ARP响应。计算机B告诉计算机A,&I have that IP. My MAC address is [whatever it is].& (我的IP地址是那个。我的MAC地址是[XX:XX:XX:XX:XX:XX])
4.& 反向ARP请求。和ARP请求的概念一样,但是计算机A询问,&Who has this MAC address?& (谁的MAC地址是这个?)
4.& 反向ARP响应。计算机B告诉计算机A,&I have that MAC. My IP address is [whatever it is]& (我的MAC地址是那个。我的IP地址是XXX. XXX. XXX. XXX)
所有的网络设备都有一个ARP映射表,就是内存里的一小段存储着目前该设备已经匹配的IP地址和MAC地址对。ARP映射表确保该设备不会向它已经通讯过的设备重复发送ARP请求。
这里是一次常规的ARP通信的例子。Jessica,一个接待员,告诉Word(指我们使用的微软文档编辑器,译者注)打印最新的公司通信录。这是她今天的第一个打印任务。她的计算机 (IP地址是192.168.0.16) 希望发送这个打印任务到办公室的惠普LaserJet打印机 (IP地址是192.168.0.45)。所以Jessica的计算机就会像整个局域网广播一个ARP请求去询问,&Who has the IP address, 192.168.0.45?& (谁的IP地址是192.168.0.45?),如图1.
局域网内所有的设备都会忽略这个ARP请求,除了惠普LaserJet打印机。这台打印机发现它的IP地址就是请求里的IP地址,于是它发送一个ARP响应:&嘿,我的IP地址是192.168.0.45. 这是我的MAC地址:00:90:7F:12:DE:7F&,如图2.
现在Jessica的计算机知道了这台打印机的MAC地址。它现在能将这个打印任务发给正确的设备(打印机,译者注),并且在它的ARP映射表里将打印机的MAC地址00:90:7F:12:DE:7F和它的IP地址192.168.0.45关联起来。
嘿ARP,你知道哪个骗你的设备不在你的字典中吗?
网络的设计者可能出于高效的考虑将ARP的对话过程设计得如此简单。不幸的是,这种简单也带来了巨大的安全隐患。知道为什么在我对ARP的简短描述中没有提到任何形式的认证方法吗?答案是,ARP根本就没有。
ARP认为通信双方都是安全可信的,实际上就是好骗的。当一个网络中的设备发出去一个广播ARP请求时,它只是简单的相信当收到一个ARP响应时,这个响应真的是来自正确的设备 (因为按照协议只有IP地址对应的设备才会发出相应报文,译者注)。ARP没有提供任何方法去认证响应的设备就真是如它报文里所说的那台。实际上,许多操作系统实现ARP时都是尽管没有发出任何ARP请求但仍然接受来自其他设备的ARP响应。
好了,想象自己是一个恶意的黑客。你刚刚才知道ARP协议没有任何认证ARP响应的方法。你已经知道了很多设备在没有发出任何请求的情况下仍然接受响应。嗯,我为什么不能制造一个完美有效但是恶意的,包含任何我自己选择的IP地址和MAC地址的ARP响应报文?由于受害者的计算机会盲目地接受这个ARP响应并添加到它的ARP映射表中,因此让受害者那极易受骗的计算机将任何我选的IP地址关联到任何MAC地址。更进一步,我能广播我做的假冒ARP响应到受害者的整个网络中,欺骗网络中所有的计算机。哇哈哈哈哈!
回到现实中来。现在你可能知道了为什么这种常用技术叫做ARP缓存中毒 (或者叫ARP中毒):攻击者欺骗你的局域网中的设备,误导或者 &毒害& 它所知道其他设备的位置。这种恐怖而又简单的攻击使攻击者给网络带来了巨大的危害,后面将会描述到。
你的所有ARP报文都是我们的!
这种使攻击者能关联任何IP地址和MAC地址的能力让其可以进行很多种攻击,包括拒绝服务攻击(DoS, Denial of Service),中间人攻击(Man in the Middle)和MAC洪泛(MAC Flooding)。
拒绝服务
一个黑客可以只做简单的操作就将一个重要的IP地址和一个错误的MAC地址绑定。例如,黑客可以发送一个ARP响应报文 (到你的计算机) 将你所在网络的路由器 (即我们常说的网管,译者注) IP地址和一个根本不存在的MAC地址绑定起来。你的计算机一位它知道默认网关在哪,但是事实上它的所有数据包,其目的地址都不在这个网络的网段上 (因为那个不存在的MAC不在此局域网的网段上,译者注) ,它们最后消逝在了无尽的比特流中 (即因数据包的生命周期到了而信号消失,译者注)。仅仅这一下,黑客就能阻止你连上因特网。
中间人攻击
黑客利用ARP缓存中毒来截获你的局域网中两台设备之间的网络信息。例如,我们假象黑客想要窃听你的计算机,192.168.0.12,和你的网络路由器 (即网关,译者注) ,192.168.0.1,之间的通信信息。黑客先发送一个恶意的ARP &响应& ( 因为在此之前根本没有请求) 到你的路由器,将他的计算机的MAC地址和192.168.0.12绑定 (如图3).
现在你的路由器以为这个黑客的计算机就是你的计算机了。
然后,黑客在发送一个恶意的ARP响应到你的计算机,将他的MAC地址和192.168.0.1绑定起来。(如图4).
现在你的机器以为黑客的计算机是你的路由器了。
最后,黑客开启一个叫IP转发的系统功能。这个功能让黑客能将所有来自你的计算机的网络信息转发到路由器 (如图5).
现在,只要你尝试上网,你的计算机就会将网络信息发送到黑客的机器上,然后黑客再将其转发到路由器。由于黑客仍然将你的信息转发到网络路由器,所以你并不会察觉到他已经截获了所有你的网络信息,或许还窃听了你的明文密码或者劫持了你曾经安全的网络会话。
MAC洪泛
MAC洪泛是一种旨在网络交换机的ARP缓存中毒技术。当这些交换机流量超载时它们常常进入到 &集线器& 模式。在 &集线器& 模式中,交换机由于太过繁忙而不能执行它的端口安全检测功能,而是仅仅向网络中的每一台计算机广播所有的网络数据。利用大量的假冒ARP响应数据包去洪泛一台交换机的ARP映射表,黑客能使大多数制造商的交换机超载,然后当交换机进入 &集线器& 模式时,就可以发送 (恶意的) 包去嗅探你的局域网。
害怕了?好,现在冷静下来!
这是可怕的东西。ARP缓存中毒能够利用一些微不足道的手段却造成网络的巨大危害。但是,当你进入到高度戒备状态时,注意到一个重要的缓解因素:只有也在局域网中的攻击者才能利用ARP的缺陷 (因为ARP协议只会在局域网(子网)中进行) 。黑客他要不是在你的网络中找个接口插入而连接上你的局域网,要不就是控制一个局域网内的机器,这样才能进行ARP缓存中毒攻击。ARP的缺陷不能在被远程利用。
那就是说,黑客会被知道他接入了这个网络。优秀的网络管理员应该能意识到ARP缓存中的技术。
由于ARP缓存中毒源于一个协议的缺陷,但是这个协议对于TCP/IP网络的运转又是必须的,你不能去修改它。但是你可以运用以下技术来防止ARP攻击。
面向小型网络
如果你管理着一个小型网络,你或许可以试试使用静态IP地址和静态ARP映射表。用命令行输入,比如在Windows中是 &ipconfig/all& ,在NIX中是 &ifconfig& ,你就可以查看在你的网络中的所有设备的IP地址和MAC地址了。然后使用 &arp-s& 命令,你可以为你所知道的设备添加静态ARP映射。&静态& 就是不会变化;这可以防止黑客的欺骗ARP进入你的网络设备中。你甚至可以创建一个登录脚本当它们启动时自动添加这些静态ARP到你的计算机中。
然而,静态ARP很难被维护;在大型网络中更是不可能。那是因为你每加入一台设备到你的网络中都需要你手动地编写ARP脚本或输入每台设备的ARP映射表。但是如果你是管理一个少于两打的设备,这个技术或许适合于你。
面向大型网络
如果你是管理着一个大型网络,好好去研究一下你的网络交换机的 &端口安全& 功能。有一个 &端口安全& 功能是允许你强制使你的交换机在每个端口只允许 (IP地址对应的) 一个MAC地址通过。这个功能会阻止黑客改变他机器的MAC地址或试图映射多个MAC地址到他的机器上。这种技术常常用于帮助防御基于ARP的中间人攻击。
面向所有网络
你最好的防御方法就是掌握ARP中毒的机制并监视它。我强烈建议安装一个ARP监视工具,比如ARPwatch,当有不正常的ARP通信时它会提醒你。这种警惕也是对付所有类型攻击的最有力武器&&就如Robert Louis Stevenson所写的,&最残酷的谎言常常是悄无声息地说出来的&。
【编辑推荐】
通经络 拒绝服务不可怕
当拒绝服务攻击遇到云:4个教训
Look'n'Stop防火墙与ARP终极防御
动态ARP检测 引发上网&不连续&
&&&主编推荐
&&&热门试卷
&&&最新视频
&&&热门阅读
&&&最新问答
&&&&&&&&&&&&&&&
希赛网 版权所有 & &&&&湘教QS2-164&&增值电信业务经营许可证湘B2-ARP攻击,攻击类型是网关欺骗,他攻击我有什么意思啊?
ARP攻击,攻击类型是网关欺骗,他攻击我有什么意思啊? 20
怎么解决?具体点
首先给大家说说什么是ARP (看不懂的请继续往下看) ARP(Address ResolutionProtocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。 ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个 ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。 ARP攻击是什么原理 有什么影响?(看不懂的请继续往下看) 您的网络是否经常断线,是否经常发生IP冲突? 您是否担心通讯数据受到监控(如MSN、QQ、EMAIL)? 您的服务器是否经常遭受ARP欺骗,被黑客植入木马? 您是否深受各种ARP攻击软件之苦(如网络执法官、网络剪刀手、局域网终结者)? 以上各种问题的根源都是ARP欺骗(ARP攻击)。在没有ARP欺骗之前,数据流向是这样的:网关&-&本机。ARP欺骗之后,数据流向是这样的:网关&-&攻击者(“网管”)&-&本机,本机与网关之间的所有通讯数据都将流经攻击者(“网管”),所以“任人宰割”就在所难免了。 说了那么多 我还是不懂啊? 上面都是技术术语,如果不懂可以简单的这么理解: 局域网内,一个中了ARP木马的电脑,把自己伪装成路由器,告诉所有的电脑“我是路由器 大家都来”,结果大家的电脑相信了他,他就可以随意的把改装过的网络数据送给所有电脑,在这个数据里可以插入能盗号的程序。 ARP攻击就是想盗我号 想给我中木马 想给我发广告,可为什么总是掉线呢? 简单的比喻的说: 中木马的电脑伪装自己的路由器,暂时把真正的路由器给“打晕”了骗了大家,真路由过一会“苏醒了”大家又重新回到真路由的怀抱中,这个网络切换的过程中 就会掉线。ARP攻击越强烈 掉线越频繁 两个真假路由在打架 呵呵 那么 360ARP防火墙能阻止上面的攻击吗?他和其他防火墙冲突吗? 360ARP防火墙通过在系统内核层拦截ARP攻击数据包,确保网关正确的MAC地址不被篡改,可以保障数据流向正确,不经过第三者,从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制,完美的解决局域网内ARP攻击问题。 * 内核层拦截ARP攻击 在系统内核层拦截外部ARP攻击数据包,保障系统不受ARP欺骗、ARP攻击影响,保持网络畅通及通讯安全 采用内核拦截技术,本机运行速度不受任何影响 * 追踪攻击者 发现攻击行为后,自动定位到攻击者IP地址和攻击机器名(有些网络条件下可能获取不成功) * ARP缓存保护 防止恶意攻击程序篡改本机ARP缓存 =============================================== 360ARP防火墙,目前是演示测试版,供有需要的360卫士用户朋友抵挡ARP攻击,目的是把大家从ARP攻击的痛苦中解救出来哦~ 不具有其他传统防火墙的功能,仅为抗ARP攻击服务,因此 不和其他任何防火墙冲突 且可完美的配合! 到这里,您已经了解了足够的ARP网络知识了,如果您是局域网用户还等什么?快点永久免费下载使用小巧精悍的360ARP防火墙吧! 下载页面 /360safebox_install.exe 下载仅需几秒钟 ----------------------------------------------- 请把ARP防火墙带走 装到您的 电脑上 把您对她的建议留下,以便我们改进。 谢谢。 小凝 于 19:06:05 编辑过该帖
其他回答 (4)
ARP定义 ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的底层协议,负责将某个IP地址解析成对应的MAC地址。 ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。 ARP攻击原理 ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。 ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。 遭受ARP攻击后现象 ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。 ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。 基于ARP协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的ARP数据包,数据包内包含有与当前设备重复的Mac地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下,受到ARP攻击的计算机会出现两种现象: 1.不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。 2.计算机不能正常上网,出现网络中断的症状。 因为这种攻击是利用ARP请求报文进行“欺骗”的,所以防火墙会误以为是正常的请求数据包,不予拦截。因此普通的防火墙很难抵挡这种攻击。 对ARP攻击的防护 防止ARP攻击是比较困难的,修改协议也是不大可能。但是有一些工作是可以提高本地网络的安全性。 首先,你要知道,如果一个错误的记录被插入ARP或者IP route表,可以用两种方式来删除。 a. 使用arp –d host_entry b. 自动过期,由系统删除 这样,可以采用以下的一些方法: 1). 减少过期时间 #ndd –set /dev/arp arp_cleanup_interval 60000 #ndd -set /dev/ip ip_ire_flush_interval 60000 毫秒 默认是300000 加快过期时间,并不能避免攻击,但是使得攻击更加困难,带来的影响是在网络中会大量的出现ARP请求和回复,请不要在繁忙的网络上使用。 2). 建立静态ARP表 这是一种很有效的方法,而且对系统影响不大。缺点是破坏了动态ARP协议。可以建立如下的文件。 08:00:20:ba:a1:f2 user.
08:00:20:ee:de:1f 使用arp –f filename加载进去,这样的ARP映射将不会过期和被新的ARP数据刷新,除非使用arp –d才能删除。但是一旦合法主机的网卡硬件地址改变,就必须手工刷新这个arp文件。这个方法,不适合于经常变动的网络环境。 3).禁止ARP 可以通过ipconfig interface –arp 完全禁止ARP,这样,网卡不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表,如果不在ARP表中的计算机 ,将不能通信。这个方法不适用与大多数网络环境,因为这增加了网络管理的成本。但是对小规模的安全网络来说,还是有效可行的。 但目前的ARP病毒层出不穷,已经不能单纯的依靠传统的方法去防范,比如简单的绑定本机ARP表,我们还需要更深入的了解ARP攻击原理,才能够通过症状分析并解决ARP欺骗的问题,这里引用一篇关于分析最新ARP病毒:黑金的文章.通过文章,大家可以更好的了解先进ARP欺骗的发展趋势:/viewthread.php?tid=72&extra=page%3D1
很有可能是你的防护软件误报了 是你系统的某个程序访问网络规则跟防护软件出现冲突才这样的
以前我也有过。..挺郁闷的 现在的人老是说自己被ARP了..哪有这么多ARP..谁没事攻击他做什么
华军软件园下载地址:http://www.onlinedown.net/soft/37369.htm 木马清道夫介绍: 《Windows木马清道夫》是一款专门查杀并可辅助查杀木马的专业级反木马信息安全产品,是全新一代的木马克星!《Windows木马清道夫》可自动查杀近10万种木马,配合手动分析可近100%对未知木马进行查杀!它不仅可以查木马,还可以分析出后门程序,黑客程序等等。它专业的分析功能,完美的升级功能,使您不再惧怕木马,让您远离木马的困扰!还不快把这位安全防卫专家请进您的电脑,您还在犹豫什么? 为什么要选择《Windows木马清道夫》? (1)自动查杀近300万种木马病毒、流行病毒及间谍程序等等 (2)有效的未知木马探测功能 . (3)嵌入式行为分析,对每一个可疑程序的启动进行有效的拦截 (4)高速准确的硬盘扫描引擎,更快更稳定,将误杀降到最低 (5)专业的辅助查杀功能,让您迅速了解本机的安全状况 (6)强大的漏洞检测功能,增强您系统的抵抗力 (7)人性化的操作界面,更容易上手 (8)内置高性能木马防火墙,真正实时保护系统及网络的安全 (9)提供插件扩展,更方便地扩展软件的各种功能 (10)完善的木马上报系统,及时地做出响应 (11)木马病毒库每天更新,让软件始终保持抵御最新木马病毒的状态 希望能帮助到你
那个是自动攻击的,目的就是要你网络堵塞。 有可能是中毒,也可能是有人用限制网速流量的软件。 下载一个360安全卫士,开启arp防火墙。 可以有效地拦截arp攻击。
相关知识等待您来回答
电脑安全领域专家局域网 被监控IP 还被一个叫网络剪刀手的软件剪线,求高手指点!_软件_百科问答
局域网 被监控IP 还被一个叫网络剪刀手的软件剪线,求高手指点!
怎么样才可以不被监控IP呢~~~~~~网络剪刀手那个软件是怎么回事~~~~~~~~~有什么解决的办法吗??或者是克制他的软件???
提问者:钱晏高
网络剪刀手,网络执法官的反制措施网络剪刀手等工具的原理就是利用了ARP欺骗,所以,只要防止了ARP欺骗也等于防止了网络剪刀手。解决办法:应该把你的网络安全信任关系建立在IP+MAC地址基础上,设置静态的MAC-地址-&IP对应表,不要让主机刷新你设定好的转换表。具体步骤:编写一个批处理文件arp.bat内容如下(假设192.168.1.2的mac地址是00-22-aa-00-22-aa):offarp-darp-s192.168.1.200-22-aa-00-22-aa...arp-s192.168.1.25400-99-cc-00-99-cc(所有的IP与相应MAC地址都按上面的格式写好)将文件中的IP地址和MAC地址更改为您自己的网络IP地址和MAC地址即可。将这个批处理软件拖到每一台主机的&windows--开始--程序--启动&中。这样每次开机时,都会刷新ARP表。如果有人刷新了你的ARP缓存表,你手动运行arp.bat再次恢复即可。网络剪刀手还以这样防进入&MS-DOS方式&或&命令提示符&,在命令提示符下输入命令:ARP-s10.88.56.C-AD-72-E3,即可把MAC地址和IP地址捆绑在一起。这样,就不会出现IP地址被盗用而不能正常使用网络的情况,更不会被网络剪刀手剪断,可以有效保证小区网络的安全和用户的应用。注意:ARP命令仅对局域网的上网代理服务器有用,而且是针对静态IP地址,如果采用Modem拨号上网或是动态IP地址就不起作用。不过,只是简单地绑定IP和MAC地址是不能完全的解决IP盗用问题的。作为一个网络供应商,他们有责任为用户解决好这些问题之的后,才交给用户使用,而不是把安全问题交给用户来解决。不应该让用户来承担一些不必要盗用的损失。作为网络供应商,最常用也是最有效的解决方法就是在IP、MAC绑定的基础上,再把端口绑定进去,即IP-MAC-PORT三者绑定在一起,端口(PORT)指的是交换机的端口。这就需要在布线时候做好端口定时管理工作。在布线时应该把用户墙上的接线盒和交换机的端口一一对应,并做好登记工作,然后把用户交上来的MAC地址填入对应的交换机端口,进而再和IP一起绑定,达到IP-MAC-PORT的三者绑定。这样一来,即使盗用者拥有这个IP对应的MAC地址,但是它不可能同样拥有墙上的端口,因此,从物理通道上隔离了盗用者。单间的说MAC地址是指网卡物理地址..相当于网卡的&身份证&..它唯一的...IP-MAC绑定是指将IP地址与MAC地址进行绑定.这样子就不能任意修改IP地址了...因为MAC地址是唯一的..反击&网络执法官&这几天老有人在局域中使用网络执法官来限制别人,所以在网上找了找这方面的资料,拿出来分享给大家----------------------------------------------------------------------------------------------------------------------------------------------网络执法官简介我们可以在局域网中任意一台机器上运行网络执法官的主程序NetRobocop.exe,它可以穿透防火墙、实时监控、记录整个局域网用户上线情况,可限制各用户上线时所用的IP、时段,并可将非法用户踢下局域网。该软件适用范围为局域网内部,不能对网关或路由器外的机器进行监视或管理,适合局域网管理员使用在代理服务器端捆绑IP和MAC地址,解决局域网内盗用IP:ARP-s192.168.10.5900-50-ff-6c-08-75解除网卡的IP与MAC地址的绑定:arp-d网卡IP在网络邻居上隐藏你的计算机netconfigserver/hidden:yesnetconfigserver/hidden:no则为开启在网络执法官中,要想限制某台机器上网,只要点击&网卡&菜单中的&权限&,选择指定的网卡号或在用户列表中点击该网卡所在行,从右键菜单中选择&权限&,在弹出的对话框中即可限制该用户的权限。对于未登记网卡,可以这样限定其上线:只要设定好所有已知用户(登记)后,将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC,使其找不到网关真正的MAC地址,这样就可以禁止其上网二、ARP欺骗的原理网络执法官中利用的ARP欺骗使被攻击的电脑无法上网,其原理就是使该电脑无法找到网关的MAC地址。那么ARP欺骗到底是怎么回事呢?知其然,知其所以然是我们《黑客X档案》的优良传统,下面我们就谈谈这个问题。首先给大家说说什么是ARP,ARP(AddressResolutionProtocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia&&物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。网络执法官利用的就是这个原理!知道了它的原理,再突破它的防线就容易多了三、修改MAC地址突破网络执法官的封锁根据上面的分析,我们不难得出结论:只要修改MAC地址,就可以骗过网络执法官的扫描,从而达到突破封锁的目的。下面是修改网卡MAC地址的方法:在&开始&菜单的&运行&中输入regedit,打开注册表编辑器,展开注册表到:HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Class/{4D36E972-E325-11CE-BFC1-018}子键,在子键下的,0002等分支中查找DriverDesc(如果你有一块以上的网卡,就有......在这里保存了有关你的网卡的信息,其中的DriverDesc内容就是网卡的信息描述,比如我的网卡是Intel21041basedEthernetController),在这里假设你的网卡在0000子键。在0000子键下添加一个字符串,命名为&NetworkAddress&,键值为修改后的MAC地址,要求为连续的12个16进制数。然后在&0000&子键下的NDI/params中新建一项名为NetworkAddress的子键,在该子键下添加名为&default&的字符串,键值为修改后的MAC地址。在NetworkAddress的子键下继续建立名为&ParamDesc&的字符串,其作用为指定NetworkAddress的描述,其值可为&MACAddress&。这样以后打开网络邻居的&属性&,双击相应的网卡就会发现有一个&高级&设置,其下存在MACAddress的选项,它就是你在注册表中加入的新项&NetworkAddress&,以后只要在此修改MAC地址就可以了。关闭注册表,重新启动,你的网卡地址已改。打开网络邻居的属性,双击相应网卡项会发现有一个MACAddress的高级设置项,用于直接修改MAC地址。MAC地址也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。这个地址与网络无关,即无论将带有这个地址的硬件(如网卡、集线器、路由器等)接入到网络的何处,它都有相同的MAC地址,MAC地址一般不可改变,不能由用户自己设定。MAC地址通常表示为12个16进制数,每2个16进制数之间用冒号隔开,如:08:00:20:0A:8C:6D就是一个MAC地址,其中前6位16进制数,08:00:20代表网络硬件制造商的编号,它由IEEE分配,而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品(如网卡)的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。另外,网络执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址,使其找不到网关真正的MAC地址。因此,只要我们修改IP到MAC的映射就可使网络执法官的ARP欺骗失效,就隔开突破它的限制。你可以事先Ping一下网关,然后再用ARP-a命令得到网关的MAC地址,最后用ARP-sIP网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。四、找到使你无法上网的对方解除了网络执法官的封锁后,我们可以利用Arpkiller的&Sniffer杀手&扫描整个局域网IP段,然后查找处在&混杂&模式下的计算机,就可以发现对方了。具体方法是:运行Arpkiller,然后点击&Sniffer监测工具&,在出现的&Sniffer杀手&窗口中输入检测的起始和终止IP,单击&开始检测&就可以了。检测完成后,如果相应的IP是绿帽子图标,说明这个IP处于正常模式,如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标,就是这个家伙在用网络执法官在捣乱。扫描时自己也处在混杂模式,把自己不能算在其中哦!找到对方后怎么对付他就是你的事了,比方说你可以利用网络执法官把对方也给封锁了查看帮助文件发现:14、怎样防止网络中用户非法使用本软件?软件中特别设置了&友邻用户&的相互发现功能。&友邻用户&不能相互管理,使管理员免受非法用户攻击,而且不需注册也能发现其他正在使用本软件的用户,也可以在软件自带的&日志&中查看友邻用户的记录。普通用户无力解决其他用户滥用的问题,请与网络管理员联系。原来安装和对方一样的版本,对方就不能控制你了。版本高的权限大于版本低的。在网上浏览了一下,发现还可以用arp欺骗的方式,方法是打开dos窗口,输入以下命令:arp-s192.168.1.24dd-dd-dd-dd-dd-ddapr-a其中192.168.1.24是自己的ip地址。这是把自己的物理地址给改了笔者办公所在的局域网最近总出问题,系统总是提示有IP冲突,导致局域网的计算机不能互相访问,而且不能正常上网。这可是办公网络的大忌,要知道离开了网络,离开了局域网很多工作都是没法开展的,经过一番分析,我终于找到了肇事的&元凶&&&网络执法官!下面就随笔者一起来看看&网络执法官&到底是怎样在局域网中捣乱的?一、认识网络执法官&网络执法官&是一款局域网管理辅助软件,采用网络底层协议,能穿透各客户端防火墙对网络中的每一台主机进行监控。它采用网卡号(MAC)识别用户,可靠性高;该软件不需运行于指定的服务器,在网内任一台主机上运行即可有效监控所有本机连接到的网络(支持多网段监控)。主要具有以下功能:1.实时记录上线用户并存档备查:网络中任一台主机,开机即会被本软件实时检测并记录其网卡号、所用的IP、上线时间、下线时间等信息。2.自动侦测未登记主机接入并报警:管理员登记完或软件自动检测到所有合法的主机后,可在软件中作出设定,拒绝所有未登记的主机接入网络。一旦有未登记主机接入,软件会自动将其MAC、IP、主机名、上下线时段等信息作永久记录,并可采用声音、向指定主机发消息等多种方式报警。3.限定各主机的IP,防止IP盗用:管理员可对每台主机指定一个IP或一段IP,当该主机采用超出范围的IP时,软件会判定其为&非法用户&,自动采用管理员事先指定的方式对其进行控制,并将其MAC、IP、主机名作记录备查。其实网络执法官是一款非常优秀的局域网管理软件。然而正象大多数远程控制软件一样,软件本身的功能是非常实用的,但是这些工具一旦被一些别有用心的黑客或者捣乱分子利用,就成了他们&为虎作仗&的&帮凶&。二、破坏方法大曝光1.这些攻击者通常不具备管理网络的权利,但却去下载&网络执法官&来使用。运行网络执法官,它会自动检测机器上的网卡。2.此时,选择一个网卡就会弹出一个监控范围选择,你可以选择局域网内的全部机器,当然,你也可以只选择其中的几台,在&指定监控范围&中输入,然后单击&添加/修改&就可以了。3.上面的设置完毕后,他们就可以开始实施攻击的的行为了。首先需要把攻击的网卡MAC地址跟IP绑定。选择要绑定的一台或者多台机器,然后点击右键,选择&Mac_ip绑定&。4.然后选择要攻击的对象,右键单击选择&用户属性&,在弹出的&用户属性&窗口中单击&权限设定&按钮,在这里,你可以进行相关的设置。你也可以双击&用户列表&中某用户的&锁&列或者在右键菜单中选择&锁定&选项,那么,该用户会被快速断开与关键主机或者全部主机的连接。5.攻击者设置好后就可以等着好戏上场了:被攻击者的电脑会不断显示IP冲突,不能访问局域网内的其他电脑,使用者不停地找网管,忙得&不亦乐乎&!笔者的同事好几个都领教过这种被&骚扰&的烦恼。三、局域网内的&反击战&遇到这种问题,难道就只有&被动挨打&的份吗?经过一番研究,有些情况下,你终于找到了有效的防范方法,笔者甚至还可以&以其人之道,还治其人之身&!1.防范为主&&修改网卡的MAC地址由于该软件采用网络底层协议,能穿透各客户端防火墙对网络的每一台主机进行监控和管理,所以防范起来有一定的难度。但是我们也可以通过修改自己的网卡的MAC地址来改变IP到MAC的映射,从而使得网络执法官的ARP欺骗失效,进而摆脱网络执法官的破坏。具体操作步骤如下:依次打开&网上邻居&属性&网络和拨号连接属性&,右击要修改MAC的网卡,在弹出的菜单中选择属性。然后点击&配置&高级&,点击&NetworkAddress&,默认的选项为&没有显示&,选中上面的&设置值&选项,并输入新的网卡MAC地址,注意应该是12个十六进制数,如BA,不能设置为,也不能与别的网卡的MAC地址重复,然后点击确定。2.主动还击&&查看日志如果是恶意的网络攻击者,只是被动防范肯定是不够的,一定要让他受到&惩罚&!你可以通过网络执法官的日志功能揪出攻击者,注意通过网络执法官的版本不要太低,最少保证在2.0以上,只要从日志中找出攻击者的IP(具体方法为:依次打开主界面上的&系统&查看系统日志&),然后提给网络管理人员或者当地网络安全部门,就可以将他&绳之以法&了,甚至你还可以采用一些黑客手段&以其人之道,还治其人之身&。
回答者:朱树君
Mail: Copyright by ;All rights reserved.
