文档介绍:ARP攻击分析
ARP攻击防御解决方案
ARP病毒工作原理
正常的局域网络运作方式
校园网
网关
个人计算机
个人计算机
个人计算机
个人计算机
ARP病毒工作原理
有计算机感染ARP病毒后的局域网
校园网
网关
个人计算机
个人计算机
个人计算机
感染病毒的个人计算机
病毒在局域网中向正常的计算机发送伪造的网关ARP信息, 使得其它计算机将它当成网关进行数据通信, 从而窃取其它用户个人信息, 账号密码等数据资料,或者在用户浏览的网页中插入恶意代码. 由于部分ARP病毒编写人员的水平有限, 病毒工作不正常时就导致其它计算机不能正常使用或完全无法使用网络.
ARP病毒检测
局域网内有ARP病毒的现象
上网时断时续, 网速变慢, 可能连内网主页也无法打开
浏览网页时出现与网页内容无关的弹出窗口
ARP检查
使用nbtscan工具, 配合arp –a 命令
ARP协议介绍
ARP——Address Resolution Protocol地址解释协议
帧类型—0x0806
ARP欺骗都是通过填写错误的源MAC-IP对应关系来实现的
ARP攻击利用ARP协议本身的缺陷来实现!
可以利用帧类型来识别ARP报文
ARP欺骗攻击——仿冒网关
攻击者发送伪造的网关ARP报文,欺骗同网段内的其它主机。
主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
正常用户A
网关G
网关MAC更新了
已更新
发送伪造ARP信息
攻击者B
IP Address G
MAC G
1-1-1
IP Address
MAC
Type
(网关)
1-1-1
Dynamic
IP Address
MAC
Type
(网关)
2-2-2
Dynamic
目的MAC
源MAC
…
2-2-2
3-3-3
…
IP Address A
MAC A
3-3-3
IP Address B
MAC B
5-5-5
网关的 MAC is 2-2-2
ARP表项更新为
数据流被中断
这种攻击为ARP攻击中最为常见的攻击
ARP欺骗攻击——欺骗网关
攻击者伪造虚假的ARP报文,欺骗网关
网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网
正常用户A
网关G
用户A的MAC更新了
已更新
发送伪造ARP信息
攻击者B
IP Address G
MAC G
1-1-1
IP Address
MAC
Type
3-3-3
Dynamic
IP Address
MAC
Type
2-2-2
Dynamic
目的MAC
源MAC
…
2-2-2
1-1-1
…
IP Address A
MAC A
3-3-3
IP Address B
MAC B
5-5-5
用户A的MAC is 2-2-2
ARP表项更新为
数据流被中断
ARP欺骗攻击——欺骗终端用户
攻击者伪造虚假的ARP报文,欺骗相同网段内的其他主机。
网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法正常互访。
正常用户A
网关G
用户C的MAC更新了
知道了
发送伪造ARP信息
攻击者B
IP Address G
MAC G
1-1-1
IP Address
MAC
Type
9-9-9
Dynamic
IP Address
MAC
Type
2-2-2
Dynamic
目的MAC
源MAC
…
2-2-2
3-3-3
…
IP Address A
MAC A
3-3-3
IP Address B
MAC B
5-5-5
IP Address C
MAC C
9-9-9
用户C的MAC is 2-2-2
ARP表项更新为
数据流被中断
ARP泛洪攻击
攻击者伪造大量不同ARP报文在同网段内进行广播,导致网关ARP表项被占满,合法用户的ARP表项无法正常学习,导致合法用户无法正常访问外网
正常用户A
网关G
用户A、A1、A2、A3…的MAC更新了
已更新
发送大量伪造ARP信息
攻击者B
IP Address G
MAC G
1-1-1
IP