LAN局域网安全中防止ARP欺骗的专家招聘
本文提出了一些措施加强对ARP欺骗的防范措施。环境是主机或网关是基于Linux或BSD。第一,理论前提
本着不冤枉好人,不让坏人的原则,首先谈谈我的一些想法和理论基础。首先,你必须把一个ARP欺骗包发送给一个恶意程序自动发送。正常的TCP / IP网络将不会发送这样一个错误的包。假定,如果嫌疑人没有开始毁灭的过程中,网络环境是正常的,或是正常的ARP的网络环境中,如果我们能够在第一时间在犯罪嫌疑人启动此程序,在他的犯罪活动开始发现,使人们陷入了,不可否认,正如上面提到的,在网络正常的前当证据是可信的,reliable.ok,接下来我们谈谈如何在第一时间找到自己的罪。
ARP欺骗的原理如下:
假设这样一个网络,一个集线器连接到3台机器上。
HostA HostB HostC在这
一个地址是:IP:192.168.10.1 MAC:aa-aa-aa-aa-aa-aa
B的地址是:IP:192.168.10.2 MAC:bb-bb-bb-bb-bb-bb
C的地址是:IP:192.168.10.3 MAC:cc-cc-cc-cc-cc-cc
标准C:ARP
界面:界面0x1000003 192.168.10.1
因特网地址物理地址类型
192.168.10.3 cc-cc-cc-cc-cc-cc动态
现在假设HostB开始邪恶的ARP欺骗:
B发送伪造的ARP回复,在这个回复数据发送者的IP地址192.168.10.3(C的IP地址),MAC地址是dd-dd-dd-dd-dd-dd(C的MAC地址是C,伪造这里)。当接收到一个ARP响应是伪造的B,本地ARP缓存更新(一个不知道是伪造的),不知道它其实是从一个只有192.168.10.3派(C的IP地址和MAC地址无效dd-dd-dd-dd-dd-dd)。没有与犯罪分子B有关的证据。哈哈,罪犯们都不高兴。
现在机器的ARP缓存更新了:
>
界面:界面0x1000003 192.168.10.1
因特网地址物理地址类型
192.168.10.3 dd-dd-dd-dd-dd-dd动态
这不是一件小事。局域网的网络流通不是根据IP地址进行,而是按照MAC地址发送。现在192.168.10.3 MAC地址更改为一个不存在的MAC地址在现在,开始平192.168.10.3,通过网卡的MAC地址提交是dd-dd-dd-dd-dd-dd.的结果是什么网络还没通,一个不能通过C的平!!!
因此,局域网中的机器会反复发送到其他机器,尤其是网关,这种无效的假冒ARP响应包。NND,严重的网络拥塞已经开始。网吧管理员的恶梦的开始。我的目标和使命是抓住他了。但是从声明就像罪犯做了一个完美的使用以太网的缺陷,掩盖他们的罪行。但事实上,上述方法也离开了线索。虽然ARP包不离开的hostb地址进行ARP包中包含的hostb源地址的以太网帧。此外,在正常情况下,MAC源地址/目标在以太网数据帧的帧头的地址应该在帧包ARP信息匹配,所以的ARP数据包是否正确。如果不正确,它必须是一个假包,可缓解修正!然而,如果匹配,并不一定意味着它是正确的。也许忘记也需要这一步的考虑,和伪造的ARP数据包,这与格式要求但有假内容。但这不要紧。只要网关具有网段内所有MAC地址的网卡数据库,如果它与MAC数据库中的数据不匹配,那么它也是一个假ARP包,它也可以提醒犯罪分子去做。
两。预防措施
1。建立DHCP服务器(简一健在网关上,因为DHCP并不需要太多的CPU和ARP欺骗攻击总是先攻击网关,我们想让他攻击网关,因为网关监控程序,网关地址是推荐的选择192.168.10.2,192.168.10.1空白,如果刑事程序是让他去攻击此外,愚蠢的空地址栏)所有客户端和主机IP地址信息,只能通过网关来实现,这里打开DHCP服务,但每一个卡,只有固定的IP地址绑定的。要保持关系的本机IP和MAC之间的网。所以客户端IP地址的DHCP,但每次都是相同的。
2、建立MAC数据库,记录网吧内所有网卡的MAC地址,并将每个MAC、IP和地理位置加载到数据库中,以便及时查询和记录。
3、网关机器关闭ARP动态刷新过程,并使用静态道路邮件。这样,即使一个可疑者使用ARP欺骗攻击网关,网关对确保主机安全也是无用的。
构建静态IP / mac包的网关是创建包含正确的IP / mac通信的 /醚文件,如下所示:
192.168.2.32 08:00:4e:b0:24:47
然后 / / RC等。D/rc.local最后补充:
ARP f是有效的
4。监控网络安全网关,网关使用tcpdump程序拦截每个ARP包进行脚本分析软件分析这些ARP协议,ARP欺骗攻击的数据包通常有以下两个特点。其中一项要求可以看作是攻击包警报。首先,以太网数据包头的源地址、目的地址和ARP数据包的协议地址不匹配。另外,发送ARP数据包的目标地址不在自己的网络网卡MAC数据库,或者不配合自己的网络MAC数据库MAC / ip.these都第一时间报警,检查这些数据包的源地址(以太网数据包),并可能知道本机攻击。
5。隐形机,看的人使用的是故意的,或放进木马。如果是后者,因为他没有回复支持的借口,拔掉网线(不关机,特别是看到计划Win98),看看目前用于记录和操作机器,确定它是否是在攻击。