arp(位址解析協議)是address resolution protocol的縮寫。其基本功能就是在主機傳送資料之前將目標ip轉換為mac位址,完成網路位址到物理地理位址的對映,以保證兩台主機能夠正常通訊。任何一台主機安裝了tcp/ip協議都會存在arp快取表,該錶儲存了區域網中各個主機對應的mac位址。
arp欺騙的特徵就是本機閘道器對應的位址資訊被欺騙,原來正確的位址被非法篡改,篡改者自己充當閘道器來達到arp欺騙的目的。在有問題計算機上查詢arp快取表會發現閘道器ip位址對應的mac位址和正常的不一樣,正確的mac位址被篡改。
一般來說,arp欺騙並不是使網路無法正常通訊,而是通過冒充閘道器或其他主機使得到達閘道器或者主機的流量通過攻擊進行**。通過**流量可以對流量進行控制和檢視,從而控制流量或者得到重要資訊。
找到arp欺騙主機:
1.我們可以利用arpkiller的sniffer殺手掃瞄整個區域網ip段,然後查詢處在混雜模式下的計算機,就可以發現對方了,檢測完成後,如果相應的ip是綠帽子圖示,說明這個ip處於正常模式,如果是紅帽子則說明該網絡卡處於混雜模式。
2.使用tracert命令在任意一台受影響的主機上,在dos命令視窗下執行如下命令:tracert 61.135.179.148。假定設定的預設閘道器為10.8.6.1,在跟蹤乙個外網位址時,第一跳卻是10.8.6.186,那麼,10.8.6.186就是病毒源。原理:中毒主機在受影響主機和閘道器之間,扮演了中間人的角色。所有本應該到達閘道器的資料報,由於錯誤的mac位址,均被發到了中毒主機。此時,中毒主機越俎代庖,起了預設閘道器的作用。
處理arp欺騙攻擊的方法有兩種。
一、最長用的辦法就是ip位址和mac位址繫結,可以在主機和閘道器路由器上雙向繫結來避免arp欺騙攻擊。
在主機上繫結閘道器路由器的ip和mac位址,可以通過「arp -s」命令實現。
二、使用arp防火牆,自動抵禦arp欺騙和arp攻擊。
常用的突破arp防火牆的技術:
不停地發包到閘道器(每秒幾十次),對閘道器說我是真的機器,避免其他機器冒充本機。(比如目標機器是a 你是b 你向閘道器說我是才a),由於你發的頻率高,所以在很短的時間週期內,閘道器認為你是受害機器,這樣目標主機的正常資料報就傳送過來了。
一分鐘sed入門(一分鐘系列)
1.簡介 sed是一種行編輯器,它一次處理一行內容。2.sed呼叫方式 sed options command file s sed options f scriptfile file s 第一種直接在命令列中執行,第二種把命令寫到了指令碼中,二者無本質區別。示例 1 列印hello.txt的內容 ...
一分鐘了解索引技巧
花1分鐘時間,了解聚集索引,非聚集索引,聯合索引,索引覆蓋。舉例,業務場景,使用者表,表結構為 t user uid primary key,login name unique,passwd,login time,age,聚集索引 clustered index 聚集索引決定資料在磁碟上的物理排序,...
一分鐘了解負載均衡
什麼是負載均衡 負載均衡 load balance 是分布式系統架構設計中必須考慮的因素之一,它通常是指,將請求 資料 均勻 分攤到多個操作單元上執行,負載均衡的關鍵在於 均勻 常見的負載均衡方案 常見網際網路分布式架構如上,分為客戶端層 反向 nginx層 站點層 服務層 資料層。可以看到,每乙個...