前段時間,終於狠下來給自己的手提換了個固態硬碟,那隨著而來的肯定是得裝個系統在那裡。反正要裝,就裝個新的來體驗一下吧,直接就裝了個win8.1的。win8.1的各種東西讓我折騰了好久,部分特徵讓我好糾結,不過介面還蠻不錯的。固態硬碟就是爽,飛一般的感覺,開啟vs一下子快多了,查閱文件,快多了。各種爽,固態硬碟,你值得擁有。畢竟在使用校園網,有時候乙個不小心就來個arp工具上不了網就糟糕,但在我找遍整個360發現原來的arp防火牆找不到時,我就鬱悶了。也不想裝其他什麼東西,料想也沒啥好的。於是就自己來折騰了下,順便科普一下arp攻擊與防範措施。
arp攻擊,這是個煩人的東西。好一點的,arp攻擊只是單純讓你上不了網,惡意的arp攻擊可能還將竊取你的資料,或者推送一些木馬過來。所以了解與杜絕arp工具是我們安全上網的乙個重要步伐。
在專用網pn中,也就是區域網,比如校園網,我們的電腦想要上網,必須先要經過路由器的網路位址轉換(nat)協議,路由器充當乙個中間人,將我們的請求(request)轉換後傳送出去,然後將得到的反饋(response)轉換後,發回來。
這裡有個問題,我們的電腦怎麼知道路由器在**呢?在本地電腦上,我們有乙個arp緩衝表,儲存著ip位址跟mac位址。我們在windows下的cmd視窗裡面輸入arp –a就可以看到這個表了。如下圖:
那麼,這個表是怎麼來的呢?我們僅僅考慮本地這個的情況。這就涉及到arp協議了。下面在百科裡copy的部分內容:
位址解析協議,即arp(addressresolution protocol),是根據ip位址獲取實體地址的乙個tcp/ip協議。其功能是:主機將arp請求廣播到網路上的所有主機,並接收返回訊息,確定目標ip位址的實體地址,同時將ip位址和硬體位址存入本機arp快取中,下次請求時直接查詢arp快取。位址解析協議是建立在網路中各個主機互相信任的基礎上的,網路上的主機可以自主傳送arp應答訊息,並且當其他主機收到應答報文時不會檢測該報文的真實性就將其記錄在本地的arp快取中,這樣攻擊者就可以向目標主機傳送偽
arp應答報文,使傳送的資訊無法到達相應的主機,構成乙個
arp欺騙。arp命令可用於查詢本機arp快取中ip位址和mac位址的對應關係、新增或刪除靜態對應關係等。相關協議有rarp、**arp。ndp用於在ipv6中代替位址解析協議。
這裡說下arp的實質性意義,在網際網路裡面,是使用ip位址作為標識目標主機的,舊的是ipv4,新的是ipv6。隨著時代的發展,ipv4已經不能滿足需求了,但依然由於各種原因一直沒有撤出歷史舞台,而只能採用漸進過渡的方式,在未來一段時間內都將是ipv4與ipv6並存的方式。上面的是在公網裡面的同學,對於內網呢,也就是區域網上,採用的就是mac(media access control,mac位址用來定義網路裝置的位置,每個網絡卡或者路由器等都會有乙個mac位址。原則上這個位址是全球唯一的,注意這裡說的是原則上,自己想象下。
回到arp協議上來。要是攻擊者偽造乙個arp報文,告訴目標主機,將路由ip跟另外乙個mac位址繫結,目標主機將找不到路由器,於是將無法上網。說得通俗一點就是,攻擊者a告訴受害者b,路由器在xx地方,而受害者b不對這個訊息的準確性產生懷疑,於是受害者b每次去找路由器都去xx地方找,但是路由器壓根不在那裡,受害者b找不到路由器,那麼自然而然地就上不了網了。好了,這裡的那個xx地方,也就是乙個mac位址。要是這個mac位址是乙個不存在的位址,那我們反跟蹤的時候將會發現找不到該位址。這只是單純的上不了網,還不是很糟糕。設想一種情況,要是這個mac位址指向的是另外乙個主機,然後這個主機模擬路由器充當中間人給我們**資訊,那麼我們所有資訊不就可以讓它知道了,然後,要是它將修改過的資訊反饋回來,這時候,危害就大了。
攻擊者會以一定的時間間隔,不斷地傳送換個偽造的arp報文,來達到讓目標主機無法連線網路。乙個防範措施很明顯的,就是以比攻擊者更快的速度將正確的arp報文還原。但這個並不是好辦法,下面說乙個簡單的並且可以得到windows原生支援的方法:靜態繫結。
在上面的arp緩衝表中,我們可以看到後面型別一欄中有著動態兩個字,這代表這些是通過arp報文來動態繫結的,有沒有可以讓它固定的方法呢?有。
1、 使用「管理員許可權」開啟cmd命令列視窗。
2、 在命令提示符中執行「netshi i show in」檢視要進行arp繫結的網絡卡的idx編號。
3、 在命令提示符中執行「netsh-c 「i i」add neighbors idx ip mac」進行arp繫結,這裡的idx就是上一步查到的網絡卡的idx編號,ip和mac就是你要繫結的ip位址和mac位址。
比如我輸入的是netsh -c "i i" add neighbors 「21 172.16.80.254」 「00-1a-a9-08-7a-01」
成功後,並不會有什麼提示的,這時候可以輸入arp –a看下效果。
當然了,當我們也可以對其解除繫結。
這是我目前簡單地使用的一種方式,對於win8.1確實沒找到啥好的arp防火牆,只能自己手動來弄了。
還有沒有其他的方法呢?有,肯定有。比如在驅動程式設計裡面,可以在接收到arp報文但還沒有交付時對其進行過濾。或者其他的過濾方式,這裡不一一詳述。
ARP攻擊防範方法
0001 靜態繫結閘道器mac 0002 arp防火牆 0003 vlan和交換機埠繫結 1 靜態繫結閘道器mac 方法一 手工繫結 1 確定使用者計算機所在網段 2 查出使用者網段閘道器ip 3 根據閘道器ip查出使用者網段閘道器mac 4 用命令 arp s 閘道器ip 閘道器mac靜態繫結閘道...
ARP攻擊原理
arp攻擊原理 msn yfydz no1 hotmail.com 0.arp 1.arp原理 乙太網上的機器通過ip協議通訊時,ip包從上層一直下傳到資料鏈路層,資料鏈路層就要構造以太幀了,以太頭中包括目的mac位址,源mac位址和協議,源位址是自己網絡卡的mac位址,可以得到,協議對於ip包來說...
ARP攻擊原理
但凡區域網存在arp攻擊,都說明網路存在 中間人 在這個區域網裡面,pc1 pc2 pc3三颱主機共同連線到交換機sw1上面,對應3個介面port1 2 3。假設pc3這台主機安裝了arp攻擊軟體或遭受arp病毒,成為這個網路的攻擊者 hacker pc1和pc2是如何通訊的。pc1需要跟pc2通訊...