竞博体育app下载1 局域网内通信靠IP地址还是MAC地址,也是两台主机A、B的网关

 应用     |      2020-03-26 00:28

//by redice 2008.11.21
   前些天我在黑基上看到了一篇文章《虚拟网关解决ARP攻击》,感觉很巧妙,原文地址是(

分析ARP攻击与欺骗

来源:人民网

1 局域网内通信靠IP地址还是MAC地址?

很多学校、公司的内部网络里面经常有一些不道德的人用ARP欺骗软件攻击别人,让很多人掉线,甚至让整个网络都瘫痪。针对这个问题,大家可以采取如下的办法。

答案:MAC地址。通常局域网内MAC地址是通过IP地址查询到的。

竞博体育app下载 1

竞博体育app下载1 局域网内通信靠IP地址还是MAC地址,也是两台主机A、B的网关。  介绍一个防火墙:Outpost Firewall。它可以防护“P2P终结者”等局域网软件,效果超好,还能查出局域网哪台机在使用,功能强大,占用资源少,可以评分5个星。

2 如果已知网关的MAC地址,而不知道网关IP地址,能否通过网关上网?

如上图所示,路由器的IP地址为:192.168.1.1,也是两台主机A、B的网关;交换机只需开启端口,不做任何设置;主机A作为攻击者,桥接到虚拟机windowsXP,IP地址为:192.168.1.2,安装网络执法官软件;竞博体育app下载 ,主机B作为被攻击者,桥接到虚拟机Windows Server 2003,IP地址为:192.168.1.3,安装arp防火墙,然后再安装sniffer抓包工具,查看在开启arp防火墙之前,遭到攻击时抓到的包和开启防火墙之后的包有什么不同。

  点击此处下载Outpost Firewall

答案:可以,因为上面已经说过了,局域网内通信靠的是MAC地址,而不是IP地址。但是要实现这个,还需要经过一些特殊的设置。方法如下(假设已经知道网关MAC:11-11-11-11-11-11,局域网:192.168.1.1/24):
(1) 在网段内找一个空闲的IP地址作为网关的IP,例如192.168.1.123,在“TCP/IP属性”里将默认网关设置成192.168.1.123。(这一步很简单吧…)
(2) 使用“arp -s 192.168.1.123 11-11-11-11-11-11”命令将实际网关的MAC地址和我们设置的虚拟网关的IP绑定起来。(这一步是关键,arp –s 命令可以将IP和MAC地址绑定起来。命令在哪里执行?cmd下。)
设置完了,试一试,你会发现你仍然能够上网,为什么呢?继续往下看。

具体步骤:

  其实,类似网络管理这种软件都是利用arp欺骗达到目的的。其原理就是使电脑无法找到网关的MAC地址。那么ARP欺骗到底是怎么回事呢?

上面的讨论貌似和今天的主题没有什么联系,其实 “虚拟网关解决ARP攻击”,已经在不知不觉中被我们设置完成了。通过上面的那种虚拟网关,我们不但依然能上网,而且还能防止ARP攻击。下面说分析一下两个问题:第一,为什么能够通过虚拟网关上网?第二,为什么虚拟网关设置能否防止ARP攻击?

在路由器的F0/0接口配置IP地址。如图所示:

  首先给大家说说什么是ARP。ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。

第一个问题:为什么能够通过虚拟网关上网?

  ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。

答案:当我们的电脑要连接互联网时,数据需要经过网关的中转,如果能维持和网关的通信,我们的电脑就能保持上网。我们的电脑向外部网络发送数据时,先发送给了网关,我们已经设置了网关的IP地址是192.168.1.123,但是局域网内通信靠的是MAC地址,因此,我们首先需要根据网关的IP地址获取网关的MAC地址,在上面我们已经绑定了虚假网关“192.168.1.123” 和真实网关的MAC,这样我们使用这个虚假的网关IP就获取到了真实的网关MAC,因此我们的电脑让然能正确地向网关发送数据。于是乎,我们就能上网了。

竞博体育app下载 2

  ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个 ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。

第二个问题:为什么虚拟网关设置能够防止ARP攻击?

开启交换机所使用的接口。如图所示:

  ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC 地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而 MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。

答案:这个才是我们今天要讨论的关键。如下图所示的局域网环境。

  解决方法归纳起来有以下方法:

 竞博体育app下载 3

竞博体育app下载 4

  1. 使用VLAN

主机A进行了虚拟网关设置(虚拟网关是192.168.1.123)。
  第一种情况:主机B对主机A发动ARP攻击(eg.冒充路由器向主机A发送ARP应答)。根据ARP攻击的原理,ARP数据包的源IP肯定是路由器的IP:192.168.1.1,源硬件地址肯定是一个虚假的MAC地址,主机A接收到数据包,建立起一条ARP映射的缓存(192.168.1.1-虚假MAC),由于我们使用的是虚假网关,因此这个虚假的映射对我们已经没有什么影响了。
  第二种情况:主机A中了ARP病毒,不断对外发送ARP攻击数据包(通常是冒充网关发送的ARP应答),病毒获取到的网关IP是我们设置的虚假网关IP,因此它对外冒充的也就是虚假网关,呵呵,这当然对其它电脑也没有影响了。
  从上面的两种情况我们可以看出,这种虚拟网关的方法不但能够防止自己不够攻击,还能防止自己中毒后攻击别人,真是一石二鸟。
  如果在路由器中再静态绑定局域网内机器的IP和MAC,那就更完美了。小弟不才,说的不当之处还请指出。

主机A已经桥接到一台虚拟机XP,配置一个同网段的IP地址:192.168.1.2,网关指向路由器。如图所示:

  只要你的PC和P2P终结者软件不在同一个VLAN里, 他就拿你没办法.

  2. 使用双向IP/MAC绑定

竞博体育app下载 5

  在PC上绑定你的出口路由器的MAC地址, P2P终结者软件不能对你进行ARP欺骗, 自然也没法管你, 不过只是PC绑路由的MAC还不安全, 因为P2P终结者软件可以欺骗路由, 所以最好的解决办法是使用PC, 路由上双向IP/MAC绑定, 就是说, 在PC上绑定出路路由的MAC地址, 在路由上绑定PC的IP和MAC地址, 这样要求路由要支持IP/MAC绑定, 比如HIPER路由器.

主机B已经桥接到一台虚拟机Server 2003,配置一个同网段的IP地址:192.168.1.3,网关指向路由器。如图所示:

  3. 使用IP/MAC地址盗用+IP/MAC绑定

  索性你把自己的MAC地址和IP地址改成和运行P2P终结者软件者一样的IP和MAC, 看他如何管理, 这是一个两败俱伤的办法, 改动中要有一些小技巧, 否则会报IP冲突. 要先改MAC地址, 再改IP, 这样一来WINDOWS就不报IP冲突了(windows傻吧))), 做到这一步还没有完, 最好你在PC上吧路由的MAC地址也绑定, 这样一来P2P终结者欺骗路由也白费力气了.

竞博体育app下载 6

  屏蔽网络执法官的解决方式

在XP上安装网络执法官软件。安装成功后,双击打开,会弹出如下所示的窗口,选择监控的IP地址段。在选择之前,此软件会自动扫描到与本机同网段的IP地址段,只需点击“添加/修改”。如果不想监控和自己同网段的IP地址段,可以自行修改,在点击“添加”。如图所示:

  利用Look N Stop防火墙,防止arp欺骗

  1.阻止网络执法官控制

竞博体育app下载 7

  网络执法官是利用的ARp欺骗的来达到控制目的的。

上图操作完成之后,软件将自动扫描指定IP网段范围内的主机,并以列表的形式显示这些主机的MAC地址、IP地址、主机名称、主机状态等,如图所示:

  ARP协议用来解析IP与MAC的对应关系,所以用下列方法可以实现抗拒网络执法官的控制。如果你的机器不准备与局域网中的机器通讯,那么可以使用下述方法:

A.在“互联网过滤”里面有一条“ARP : Authorize all ARP packets”规则,在这个规则前面打上禁止标志;

竞博体育app下载 8

  B.但这个规则默认会把网关的信息也禁止了,处理的办法是把网关的MAC地址(通常网关是固定的)放在这条规则的“目标”区,在“以太网:地址”里选择“不等于”,并把网关的MAC地址填写在那时;把自己的MAC地址放在“来源”区,在“以太网:地址”里选择“不等于”。

右击需要管理的主机,在弹出的快捷菜单中选择“手工管理”,弹出如下图所示的“手工管理”对话框。

  C.在最后一条“All other packet”里,修改这条规则的“目标”区,在“以太网:地址”里选择“不等于”,MAC地址里填FF:FF:FF:FF:FF:FF;把自己的MAC地址放在“来源”区,在“以太网:地址”里选择“不等于”。其它不改动。

  这样网络执法官就无能为力了。此方法适用于不与局域网中其它机器通讯,且网关地址是固定的情况下。

竞博体育app下载 9

  如果你的机器需要与局域网中的机器通讯,仅需要摆脱网络执法官的控制,那么下述方法更简单实用(此方法与防火墙无关):

对主机的管理方式有三种,分别如下:

  进入命令行状态,运行“ARP -s 网关IP 网关MAC”就可以了,想获得网关的MAC,只要Ping一下网关,然后用Arp -a命令查看,就可以得到网关的IP与MAC的对应。此方法应该更具通用性,而且当网关地址可变时也很好操作,重复一次“ARP -s 网关IP 网关MAC”就行了。此命令作用是建立静态的ARP解析表。

IP冲突

  另外,听说op防火墙也可以阻止,这个还没有试过。

如果选择此项,被控主机屏幕的右下角将会提示IP冲突。

  防止P2P终结者的攻击

禁止与关键主机组进行TCP/IP连接

  1:第一种方法就是修改自己的MAC地址,下面就是修改方法:

如果选择此项,被控主机将无法访问关键主机组中的成员

  在"开始"菜单的"运行"中输入regedit,打开注册表编辑器,展开注册表到:HKEY_LOCAL_MACHINESystem CurrentControlSetControlClass{4D36E9E}子键,在子键下的0000,0001,0002等分支中查找 DriverDesc(如果你有一块以上的网卡,就有0001,0002......在这里保存了有关你的网卡的信息,其中的DriverDesc内容就是网卡的信息描述, 比如我的网卡是Intel 210 41 based Ethernet Controller),在这里假设你的网卡在0000子键。在0000子键下添加一个字符串,命名为"NetworkAddress",键值为修改后的MAC地址,要求为连续的12个16进制数。然后在"0000"子键下的NDIparams中新建一项名为NetworkAddress的子键,在该子键下添加名为"default"的字符串,键值为修改后的MAC地址。

禁止与所有主机进行TCP/IP连接

  在NetworkAddress的子键下继续建立名为"ParamDesc"的字符串,其作用为指定Network Address的描述,其值可为"MAC Address"。这样以后打开网络邻居的"属性",双击相应的网卡就会发现有一个"高级"设置,其下存在MACAddress的选项,它就是你在注册表中加入的新项"NetworkAddress",以后只要在此修改MAC地址就可以了。关闭注册表,重新启动,你的网卡地址已改。打开网络邻居的属性,双击相应网卡项会发现有一个MAC Address的高级设置项,用于直接修改MAC地址。

如果选择此项,被控主机将和所有主机失去连接。

  2:第二种方法就是修改IP到MAC的映射就可使P2P攻击的ARP欺骗失效,就隔开突破它的限制。方法就是在cmd下用ARP -a命令得到网关的MAC地址,最后用ARP -s IP 网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。

点击上图中的“设置”按钮,在弹出的对话框中填写192.168.1.1(网关的IP地址),如下图所示,然后点击“全部保存”按钮。

  Vista和XP系统:只要用arp命令绑定自己MAC和路由MAC就行了,如:

  arp -s 自己IP 自己MAC

竞博体育app下载 10

  arp -s 路由IP 路由MAC

如图所示,选择“第1组”之后任意给定一个管理频率,点击“开始”摁扭。

  最好都绑定一下,只绑定路由的话,出了IP冲突就上不去了,别人照样能T你下线,如果绑定了自己的话,IP冲突了也能上网。

  Windows 9x/2000就需要软件了,搜索一下anti arp sniffer就行了,设置好路由IP,mac 。不过XP和Vista系统也可以安装这个软件,可以清楚的看到谁想T你下线或者想限制你。当然,这样的系统还建议更换成Vista或者XP,只要上面设置一下,p2p终结者就报废了。

竞博体育app下载 11

  Vista和XP系统在cmd状态输入: arp -a

此时在被控主机的桌面右下键会一直显示IP地址冲突的警告信息。如图所示:

  如果路由IP 还有自己IP最后面状态是static,那么就表示绑定成功

  arp -d

竞博体育app下载 12

  绑定之前也最好输入一下,删除非法绑定。

然后再使用“ping”命令去访问网关时,就会出现如下图所示的结果。而且,使用“arp -a”命令时,会看到网关的MAC地址是虚假的。

  看到这些,大家都明白了吧,其实都不难的。

 

竞博体育app下载 13

很多学校、公司的内部网络里面经常有一些不道德的人用ARP欺骗软件攻击别人,让很多人掉线,甚至让整个网络都瘫痪。针对...

竞博体育app下载 14

但是和其他主机还能通信。如图所示:

竞博体育app下载 15

处理ARP故障

解决ARP故障的方法有三种,分别如下:

第一种解决办法

处理ARP欺骗攻击最一般的方法就是IP-MAC绑定,如下图所示,可以在客户端主机和网关路由器上双向绑定IP-MAC来避免ARP欺骗导致无法上网的问题。

1)在主机上绑定网关路由器的IP和MAC,可以通过之前学习的“arp -s”命令实现。

竞博体育app下载 16

2)在网关路由器上绑定主机的IP和MAC,可以通过如下命令实现。

竞博体育app下载 17

如果要查看配置结果,可以通过命令“show ip arp”。

3)这时网络中如果有ARP病毒发作,或者用户非法使用类似网络执法官等软件便无法欺骗局域网中的主机了。另外,大部分ARP病毒或类似的欺骗软件都使用虚假的IP和MAC地址发送欺骗报文,所以,可在交换机上配置IP-MAC-Port的绑定,使交换机丢弃这些欺骗报文,从而防止其在全网泛滥。如下所示:

Switch(config)# arp  192.168.1.1  cc01.1370.0000  arpa  f0/0

Switch(config)# arp  192.168.1.2  000c.29f9.323a  arpa  f0/1

Switch(config)# arp  192.168.1.3  000c.294c.3ca0  arpa  f0/2

第二种解决办法

使用arp防火墙,自动抵御arp欺骗和arp攻击

在被控主机(Server 2003)上安装arp防火墙并启用,在被控主机桌面的右下角会立刻弹出arp攻击并拦截的警告信息。如图所示:

竞博体育app下载 18

再使用“ping”命令访问网关时,结果如下所示:

竞博体育app下载 19

使用命令“arp -a”再次查看网关的MAC地址,能发现现在的网关MAC地址已经是真实的。

竞博体育app下载 20

ARP防火墙原理分析

竞博体育app下载 21

可以看出主动防御有三种模式:

停用:关闭主动防御功能

警戒:当受到攻击时启用主动防御,平时处于关闭状态

始终启用:一直处于主动防御开启状态

名词解释

主动防御:ARP防火墙特有的功能,即定期向所有主机(同一网段内)发送ARP请求。默认情况下,该项处于警戒状态,速度为8个/秒。

第三种解决办法

在宽带路由器上绑定ARP

注意:使用DHCP服务器分配地址时,可能造成同一台主机不同时间使用不同的IP地址。如果配置了静态ARP绑定,将造成该主机无法访问网络。

使用Sniffer Pro捕获数据包

注意:安装sniffer抓包工具的时候有如图所示几个地方需要注意,其他地方可以随便填写:

竞博体育app下载 22

竞博体育app下载 23

竞博体育app下载 24

安装并启动sniffer后,点击下图中标有红框的按钮,开始捕捉数据包。

竞博体育app下载 25

上一步操作完成之后,会出现如下图所示的界面。当标有红框的按钮可用时,表示已捕获到数据,单击标有红框的按钮。

竞博体育app下载 26

上一操作完成后,会出现如下图所示的界面,然后再点击标有红框的按钮,即可查看到捕获到的数据包。

竞博体育app下载 27

通过观察发现,大部分ARP数据包来自MAC地址为000C29F9323A的主机。选中一个发送给本机的报文,查看数据报文的具体内容,则该数据报文属于ARP的回应包(ARP Reply),其内容是为了告诉本机192.168.1.1(网关)的IP地址对应的MAC地址为0CDE0E676B65,这个地址显然和真实的网关MAC(CC00104C0000)不同。因此,如果本机将这个地址存入ARP缓存,自然无法和网关通信。

竞博体育app下载 28

攻击主机除了发送上述攻击报文外,还给该网段的所有主机发送ARP请求报文(ARP Request),这些数据报文的目标MAC地址全为“0”,请求对方回应。如图所示:

竞博体育app下载 29

本机(192.168.1.3)回应了攻击主机(192.168.1.2)的请求,将自己的MAC地址发送给攻击主机(192.168.1.2)。如图所示:

竞博体育app下载 30

仔细观察还可以发现,运行网络执法官软件的主机会定期给所有在线主机发送ARP请求,以确定这些主机是否在线,如果捕获数据报文的时间再长一些,还会发现软件大概没三分钟就会进行一次全网的扫描,即给192.168.1.1-192.168.1.254的所有主机发送ARP请求。

ARP攻击的原理

攻击主机制造假的ARP应答,并发送给局域网中除被攻击主机之外的所有主机,ARP应答中包含被攻击主机的IP地址和虚假的MAC地址。

攻击主机制造假的ARP应道,并发送给被攻击主机,ARP应答中包含除被攻击主机之外的所有主机的IP地址和虚假的MAC地址。

只要执行上述ARP攻击行为中的任一种,就可以实现被攻击主机和其他主机无法通信。

某些ARP病毒会向局域网中的所有主机发送ARP应答,其中包含网关的IP地址和虚假的MAC地址。局域网中的主机收到ARP应答更新ARP表后,就无法和网关正常通信,从而导致无法访问互联网。

ARP欺骗的原理

一般情况下,ARP欺骗并不是使网络无法正常通信,而是通过冒充网关或其他主机使到达网关或主机的流量通过攻击主机进行转发。通过转发流量可以对流量进行控制和查看,从而控制流量或得到机密信息。

ARP欺骗发送ARP应答给局域网中其他主机,其中包含网关的IP地址和进行ARP欺骗的主机MAC地址;并且也发送ARP应答给网关,其中包含局域网中所有主机的IP地址和进行ARP欺骗的主机MAC地址(有的软件只发送ARP应答给局域网中的其他主机,并不发送ARP应答欺骗网关)。当局域网中主机和网关收到ARP应答更新ARP表后,主机和网关之间的流量就需要通过攻击主机进行转发。

本文出自 “李世龙” 博客,谢绝转载!