本文对ARP欺骗,提出几点加强安全的措施。网关是东道国或环境是基于Linux / BSD的的。
第一,前提的理论
在“一个好人委屈,而不是让一个坏的原则, ”我现在谈论的一些想法和理论。首先,我们将发送给ARP协议欺骗数据包将是一个恶意程序自动发送正常的TCP / IP网络是不会这样的错误包发送。这种假设,如果嫌疑人没有启动销毁过程,它是正常的网络环境,或环境中, ARP协议的网络是正常的,如果我们能启动嫌疑人在刑事诉讼程序第一次开始,发现他的罪行,处理赃物,使人们在所有的不可抵赖性,如前所述,前面网络正常 的时候证据是可信和可依靠的。好吧,那么我们谈论如何时,他发现在第一的犯罪活动。
ARP协议的原则欺骗如下:
假设这样一个网络,那么,集线器的3机
主机主机HostC之一
A是位于:的IP : 192.168.10.1的MAC : AA型AA型AA型AA型AA型机管局
B是位于:的IP : 192.168.10.2的MAC :体一BB一BB一BB一BB一BB
C是位于:的IP : 192.168.10.3的MAC :循环循环循环循环循环循环
在正常情况下ç : \ ARP协议一
接口: 192.168.10.1接口0x1000003
互联网地址物理地址类型
192.168.10.3的CC -的CC -的CC -的CC -的CC -连铸动态
现在假设开始刑事欺骗主机ARP协议:
A到B发送伪造的ARP协议自身的反应,反应中的数据的IP地址,发件人是192.168.10.3 ( C的IP地址) , MAC地址的DD - DD -双刀盘差异差异差异差异( C的这应该是MAC地址的CC -连铸循环循环循环循环,这里是一个伪造) 。 A到B伪造的,当收到ARP协议的反应,我们将更新本地ARP高速缓存(甲无法判断这是否是伪造的) 。事实上,但不知道从B发送回来,在这里只有阿192.168.10.3 ( C的IP地址)和无效的差异差异差异差异差异差异MAC地址,也没有相关的犯罪证据向B ,河公顷,使犯罪分子将莱西。
一部是ARP高速缓存的更新:
ç : \ “ ARP协议一
接口: 192.168.10.1接口0x1000003
互联网地址物理地址类型
192.168.10.3差异差异差异差异差异差异动态
这是不小的问题。局域网络基础上的IP地址是不容谈判的,但根据MAC地址的传递时间。 192.168.10.3现在在A的MAC地址发生了变化的MAC地址不存在。现在开始192.168.10.3平提交的MAC地址卡的DD - DD -双刀盘差异差异差异差异,其结果是什么呢?互联网接入,一个不能平碳! !
因此,局域网中一台机器反复向其他机器,特别是向网关,发送这样无效假冒ARP协议响应数据包, NND ,严重堵塞在网络上开始了!网吧管理员的噩梦开始了。我的目标和任务是第一次,抓住他。但早先的声明罪犯一样完美的使用以太网的缺陷,以掩盖他们的罪行。 但事实上,上述方法已经离开的线索。尽管, ARP协议数据包主机没有留下地址,但是,对ARP包带有以太网帧,但主机包含源地址。此外,在正常情况下,以太网的帧,标题中的MAC地址的源/目的地 址和帧应在ARP协议的信息包匹配,因此对ARP包是正确的。如果不正确,肯定是伪造的封装,可以提醒!但是,如果比赛中,这并不一定意味着正确的可能伪 造这样一个步骤已经考虑到,并伪造出符合格式,但内容的数据包地址解析协议假。然而,这并不重要,只要网关本王有一个部分,所有的MAC地址的信用卡数据 库,如果苹果不匹配数据库中的数据也是伪造的数据包地址解析协议。也提醒手中的罪犯。
其次,预防措施
1 。 DHCP服务器的设置(在建议建立网关的DHCP ,因为人数的CPU ,以及ARP欺骗攻击一般总是第一个网关,我们希望让他第一次攻击网关,网关,因为有监测程序,网关地址建议选择192.168.10.2 ,在192.168.10.1留空,如果犯罪程序这么笨,让他地址栏和空中袭击) ,和所有客户端的IP地址和主机有关的信息,才能取得在这里网关,网关这里开幕DHCP服务,但给每个信用卡,唯一的具有约束力的固定IP地址。必须保持 网络的机器的IP / MAC的一个映射。这是客户端的DHCP地址,但每次开机是相同的IP地址。
2 。陆委会建立一个数据库,以网吧的所有网卡的MAC地址记录,每个MAC和知识产权,所有的地理位置到数据库,以便查询记录及时。
3 。网关机器关闭ARP协议动态刷新过程中,使用静态路由,这种情况下,即使嫌疑人使用ARP欺骗网关,这个网关是没有用的,确保主机安全。
网关建立静态IP / MAC的捆绑起来:的/ etc /醚文件,其中包含正确的IP / Mac的信件格式如下:
192.168.2.32 8时00分04秒电子邮件:本B0 : 24:47
然后的/ etc / rc.d / rc.local最后添加:
ARP协议口才能生效
4 。网关监听网络安全。网关TCPDUMP使用上述程序截取每个ARP协议包,得到一个脚本分析软件分析这些ARP协议的协议。 ARP协议欺骗攻击的包一般有以下特点的两个,以满足一个包可以被看作是攻击警察:第一以太网包头源地址,目的地地址和ARP协议包不匹配的地址协议。或 者, ARP协议和发送数据包的目的地地址是不是自己的数据库网络卡的MAC , MAC或网络数据库有自己的MAC / IP协议不相符。所有这些首先向警方报案,调查这些数据包(以太网数据包)源地址(可能是伪造的) ,或多或少知道自己的电脑中的攻击。
5 。偷偷来的机器,看看是否使用故意或任何释放什么木马了。如果是后者,悄悄地,他要寻找的借口恺,掏出电缆(而不是关闭,特别是看该计划的使命Win98下) ,看看目前使用的机械和创纪录的业绩,看是否是在这次袭击中。
没有评论:
发表评论