岁末年初 网络协议欺骗攻防小结(1)

  • 时间:
  • 浏览:2
  • 来源:大发uu快3_uu快3最新网站_大发uu快3最新网站





作者: 论坛分发 zdnet网络安全

CNETNews.com.cn

808-02-03 11:26:41

关键词: 攻击防范 网络安全 网络协议 网络欺骗

在网络的虚拟环境中和现实中一样,各种各样的人都不 ,各种各样的欺骗技术也都横行。笔者最近闲来无事总结了一下常见的欺骗技术和防范的妙招。希望对广大读者有所帮助。

    一、ARP欺骗

    ARP协议用于IP地址到MAC地址的转换,此映射关系存储在ARP缓存表中,若ARP缓存表被他人非法修改,则会原因发送给正确主机的数据包发送给另外一台由攻击者控制的主机。ARP欺骗(ARP spoofing),也叫ARP毒药(ARP poison),即可完成哪此功能。

    假设攻击者和目标主机在同有有另4个局域网中,有时候我我想要截获和侦听目标主机到网关间的所有数据。当然,对于使用集线器的局域网环境,攻击者只必须把网卡设置为混杂模式即可。有时候现在的局域网都不 交换机了,不仅都还可以提高局域网的容量,有时候都还可以提高安全性。在你这一情況下,攻击者首先会试探交换机不是地处失败保护模式(fail-safe mode),是交换机地处的特殊模式情況。交换机维护IP地址和MAC地址的映射关系都不 花费一定外理能力,当网络通信时老出血块虚假MAC地址时,你这一类型的交换将会老出过载情況,从而转换到失败保护模式。若交换机不地处失败保护模式,则必须使用ARP欺骗技术。

    攻击者主机必须两块网卡,IP地址分别是192.168.0.5和192.168.0.6,插入交换机的有有另4个端口,准备截获和侦听目标主机192.168.0.3和路由器192.168.0.1之间的所有通信。另外攻击者主机还必须有IP数据包转发功能,此项功能在Linux下只必须执行命令echo 1> /proc/sys/net/ipv4/ip_forward就都还可以。以192.168.0.4的网络通信为例,正常的ARP转换如下:

    1.主机A192.168.0.4我我想要与路由器192.168.0.1通信,从而接入Internet。

    2.主机A以广播的妙招发送ARP请求,希望得到路由器的MAC。

    3.交换机收到ARP请求,并把此请求发送给连接到交换机的各个主机。一起去,交换机将更新它的MAC地址和端口之间的映射表,即将192.168.0.4绑定它所连接的端口。

    4.路由器收到A的ARP请求后,发出含晒 自身MAC地址的ARP响应。

    5.路由器更新ARP缓存表,绑定A的IP地址和MAC地址。

    6.交换机收到了路由器对A的ARP响应后,查找它的MAC地址和端口之间的映射表,把此ARP响应数据包发送到相应的端口。一起去,交换机更新它的MAC地址和端口之间的影射表,即将192.168.0.1绑定它所连接的端口。

    7.主机A收到ARP响应数据包,更新ARP缓存表,绑定路由器的IP地址和MAC地址。

    8.主机A使用更新后的MAC地址信息把数据发送给路由器,通信通道就此建立。

    ARP欺骗必须攻击者那么来越快地诱使目标主机192.168.0.3和路由器192.168.0.1都和它建立通信,从而使我本人成为上边人MiM(Man in Middle)。换句话说,攻击者的主机此时合适有有另4个被攻击者完整篇 控制的路由器,目标主机和路由器之间的所有数据通信都不 由攻击者主机转发,攻击者也就能对数据作各种外理。要达到一起去欺骗目标主机和路由器的目的,攻击者应打开有有另4个命令界面,执行两次ARP欺骗:一次诱使目标主机认为攻击者的主机有路由器的MAC地址,这都还可以利用IP地址欺骗技术,伪造路由器的IP地址,从攻击者主机的一块网卡上发送给目标主机ARP请求包,则错误的MAC地址和IP地址的映射将更新到目标主机;另一次使路由器相信攻击者的主机具有目标主机的MAC地址,妙招和前面同类。

    ARP欺骗的防范:

    中毒的网络,就会总爱 有发送arp病毒包的,哪此arp病毒包会误导你的机器对网关mac地址的解析。所以必须绑定mac地址。一种妙招:

    1、列出局域网内所有机器的MAC地址。

    # arpAddress HWtype HWaddress Flags Mask Iface

    192.168.1.1 ether 00:07:E9:2A:6F:C6,有时候,绑定MAC地址, #arp -s 192.168.1.1 00:07:E9:2A:6F:C6

    注意:假如用户的网关设置了hostname得话,这里192.168.1.1都不 将会必须加带hostname。

    2、创建有有另4个/etc/ethers文件,比如帮我绑定网关,那就在/etc/ethers里写上:192.168.1.1 00:07:E9:2A:6F:C6,有时候执行 #arp -f ,每次重启机器后必须重新绑定MAC地址。

    另外,mac地址的绑定必须双向的,即机器a绑定了机器b,机器b也要绑定机器a,原来arp病毒才会被彻底挡住。

1