岁末年初 网络协议欺骗攻防小结(1)

  • 时间:
  • 浏览:1





作者: 论坛收集 zdnet网络安全

CNETNews.com.cn

10008-02-03 11:26:41

关键词: 攻击防范 网络安全 网络协议 网络欺骗

在网络的虚拟环境中和现实中一样,各种各样的人否有,各种各样的欺骗技术也都横行。笔者最近闲来无事总结了一下常见的欺骗技术和防范的最好的土方法。希望对广大读者有所帮助。

    一、ARP欺骗

    ARP协议用于IP地址到MAC地址的转换,此映射关系存储在ARP缓存表中,若ARP缓存表被他人非法修改,则会由于发送给正确主机的数据包发送给另外一台由攻击者控制的主机。ARP欺骗(ARP spoofing),也叫ARP毒药(ARP poison),即可完成那先 功能。

    假设攻击者和目标主机在同另有四个 局域网中,或者 我应该 截获和侦听目标主机到网关间的所有数据。当然,对于使用集线器的局域网环境,攻击者只须要把网卡设置为混杂模式即可。或者 现在的局域网否有交换机了,不仅都可以提高局域网的容量,或者 都可以提高安全性。在你这名 情况报告下,攻击者首先会试探交换机否有发生失败保护模式(fail-safe mode),是交换机发生的特殊模式情况报告。交换机维护IP地址和MAC地址的映射关系总最少一定除理能力,当网络通信时老出絮状虚假MAC地址时,一些类型的交换或者 老出过载情况报告,从而转换到失败保护模式。若交换机不发生失败保护模式,则须要使用ARP欺骗技术。

    攻击者主机须要两块网卡,IP地址分别是192.168.0.5和192.168.0.6,插入交换机的另有四个 端口,准备截获和侦听目标主机192.168.0.3和路由器192.168.0.1之间的所有通信。另外攻击者主机还须要有IP数据包转发功能,此项功能在Linux下只须要执行命令echo 1> /proc/sys/net/ipv4/ip_forward就都可以。以192.168.0.4的网络通信为例,正常的ARP转换如下:

    1.主机A192.168.0.4我应该 与路由器192.168.0.1通信,从而接入Internet。

    2.主机A以广播的最好的土方法发送ARP请求,希望得到路由器的MAC。

    3.交换机收到ARP请求,并把此请求发送给连接到交换机的各个主机。一块儿,交换机将更新它的MAC地址和端口之间的映射表,即将192.168.0.4绑定它所连接的端口。

    4.路由器收到A的ARP请求后,发出中含自身MAC地址的ARP响应。

    5.路由器更新ARP缓存表,绑定A的IP地址和MAC地址。

    6.交换机收到了路由器对A的ARP响应后,查找它的MAC地址和端口之间的映射表,把此ARP响应数据包发送到相应的端口。一块儿,交换机更新它的MAC地址和端口之间的影射表,即将192.168.0.1绑定它所连接的端口。

    7.主机A收到ARP响应数据包,更新ARP缓存表,绑定路由器的IP地址和MAC地址。

    8.主机A使用更新后的MAC地址信息把数据发送给路由器,通信通道就此建立。

    ARP欺骗须要攻击者更慢地诱使目标主机192.168.0.3和路由器192.168.0.1都和它建立通信,从而使此人 成为上边人MiM(Man in Middle)。换句话说,攻击者的主机此时最少另有四个 被攻击者全版控制的路由器,目标主机和路由器之间的所有数据通信否有由攻击者主机转发,攻击者也就能对数据作各种除理。要达到一块儿欺骗目标主机和路由器的目的,攻击者应打开另有四个 命令界面,执行两次ARP欺骗:一次诱使目标主机认为攻击者的主机有路由器的MAC地址,这都可以利用IP地址欺骗技术,伪造路由器的IP地址,从攻击者主机的一块网卡上发送给目标主机ARP请求包,则错误的MAC地址和IP地址的映射将更新到目标主机;另一次使路由器相信攻击者的主机具有目标主机的MAC地址,最好的土方法和前面累似 。

    ARP欺骗的防范:

    中毒的网络,就会无缘无故 有发送arp病毒包的,那先 arp病毒包会误导你的机器对网关mac地址的解析。要是须要绑定mac地址。某种最好的土方法:

    1、列出局域网内所有机器的MAC地址。

    # arpAddress HWtype HWaddress Flags Mask Iface

    192.168.1.1 ether 00:07:E9:2A:6F:C6,或者 ,绑定MAC地址, #arp -s 192.168.1.1 00:07:E9:2A:6F:C6

    注意:假使 用户的网关设置了hostname语句,这里192.168.1.1否有或者 须要去掉 hostname。

    2、创建另有四个 /etc/ethers文件,比如让我绑定网关,那就在/etc/ethers里写上:192.168.1.1 00:07:E9:2A:6F:C6,或者 执行 #arp -f ,每次重启机器后须要重新绑定MAC地址。

    另外,mac地址的绑定须要双向的,即机器a绑定了机器b,机器b也要绑定机器a,要是arp病毒才会被彻底挡住。

1