当前位置:首页 > 日记 > 正文

已拦截电脑对外arp欺骗攻击 | 黑客为什么可以成功实施arp欺骗攻击

已拦截电脑对外arp欺骗攻击 | 黑客为什么可以成功实施arp欺骗攻击

1. 黑客为什么可以成功实施arp欺骗攻击

arp欺骗攻击有三种方式如下所述::

第一种是局域网主机冒充网关欺骗网内主机,导致主机访问网关的数据包均发往欺骗主机,局域网内主机无法正常上网。

第二种是欺骗网关,修改网关的ARP表项,导致网关到主机的数据包无法到达正确主机。

第三种是主机对主机的欺骗,导致正常主机之间通信中断。

攻击者冒充网关欺骗主机,使用户正常发往网关的数据流发至攻击者,导致用户无法访问外部网络。

攻击者冒充普通用户欺骗网关,使网关到用户的数据流无法到达正确用户。

攻击者冒充用户欺骗用户,使正常用户之间通信中断。

2. arp欺骗和arp攻击

命令格式是正确的,确保IP、MAC地址的正确和存在对应性,IP-MAC绑定是要双向执行才生效的,可有效防止ARP攻击和ARP欺骗,如果IP由DHCP服务器分配,IP-MAC绑定的作用将失效,手动分配IP的网络中,绑定操作重启后也失效,可把该命令建成批处理于每次启动电脑时运行

3. arp欺骗攻击可能导致的后果

ARP协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。

它是无状态的协议,不会检查自己是否发过请求包,也不管(其实也不知道)是否是合法的应答,只要收到目标MAC是自己的ARP reply包或arp广播包(包括ARP request和ARP reply),都会接受并缓存。这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至可以做“中间人”。

4. 黑客为什么可以成功实施arp欺骗攻击行为

1、检查网络设备、网线是否有损坏,排除了硬件设备故障。

2、检查内网是否经常有人大量下载或者使用P2P终结者等攻击软件。通过观察和走访发现也不是这个原因造成的,公司同事对电脑技术懂的很少,并且公司有明确规定,上班时间不允许看视频和下载东西。

3、检查内网是否存在网络病毒、网络攻击。使用sniffer抓包分析网络流量,发现内网充斥大量的异常数据,并且有ARP攻击、DDOS攻击。至此可以确定本次网络问题是由于内网攻击造成的。

确定了故障原因,下一步就是使用合适的解决办法。在使用了ARP防火墙、IP-MAC绑定之后,发现网络掉线依旧,并没有很好的改善。束手无策之际,一位师兄给我指明了方向,网络问题要用网络方法解决。

我查了大量资料,终于弄清了ARP攻击的原理:ARP不是病毒,而是一种“协议性攻击行为”,只所以称之为病毒,是因为目前ARP攻击工具的传播方式与发作现象已经愈来愈接近病毒。ARP(地址解释协议)是网络通信协议中的不可缺少的关键协议,它是负责将IP地址转换为对应MAC地址的协议。ARP的存在给了好事者可趁之机,但如果缺少了ARP协议,网络设备之间将无法进行通讯,这是为什么对ARP投鼠忌器的主要原因。

ARP病毒可分为两种,一种是ARP欺骗,一种是ARP攻击。ARP欺骗最先是黑客们偷盗网络账号使用的,后来被广泛用于类似网路岗、网络执法官之类的网络管理工具,被骗主机会将数据发送给伪装的主机,从而达到截获数据的目的。而ARP攻击纯粹是以破坏网络通讯为主要目的,发送虚假的ARP请求包或应答包,使得网络内所有主机都失去了有序的组织和联系。

ARP病毒的传播,必须有“肉鸡”,就是容易被感染的宿主机,通过得到宿主机的控制权来发送ARP欺骗、虚假的ARP请求包和应答包。由于没有明显的特征字以及ARP在网络通讯中的重要地位,防毒墙和防火墙应对ARP病毒也束手无策。所以从源头上堵住问题数据的流出,同时放行合法的ARP数据包,才是彻底摆脱ARP困扰的终极解决方案。

这是由于以太网协议存在漏洞造成的,也就是为什么ARP防火墙、360、IP-MAC绑定出现这么久之后,ARP攻击还是一直无法防治的原因,ARP防火墙、360防不了ARP攻击!

并且目前信息网络问题频出,掉线、网速慢、内网服务器访问缓慢等,很多并不在于网络设备的高级低级,也不在于防火墙、杀毒等手段的实施,它的根源就在于以太网协议存在先天漏洞、不擅长管理这两大弊端。一旦这个弊端被黑客利用,内网的每一台PC都可能成为攻击源,从内网发起攻击。而PC被感染的途径太多,访问网页、收邮件、聊天下载、移动笔记本、插U盘等等,都可能中招,防不胜防。统计数据表明,网络问题80%是内网引起的,就是这个原因。

目前的网络安全产品,防火墙、UTM防御外网对内网的攻击,杀毒软件保证单机安全,而防护内网的产品却很少。后来找到了一家专门针对内网基础安全、解决内网攻击的产品---免疫墙技术。

免疫墙能够将普通网络升级为免疫网络,从网络底层、每个终端上进行防控监测,不仅能防止本机不受攻击,还能拦截本机对外的网络攻击。安装在PC机上的免疫墙终端能够完成对MAC-IP的看守式绑定,彻底根除ARP病毒影响,即使本机中毒(删除本机的静态绑定列表),也不能对自身和网络造成影响。加固网络基础安全,填补以太网协议漏洞,能够彻底有效的解决内网攻击问题。

并且免疫墙的技术范围能够拓展到网络的最末端,深入到协议的最底层、盘查到外网的出入口、总览到内网的最全貌,使网络本身具有自主防御和管理的功能,网络可控、可管、可防、可观。

使用了免疫墙技术之后,在免疫墙的监控界面中看到了拦截了很多网络攻击,现在网络很稳定,没有再出现过掉线了。

在遇到网络问题时,我们一定要思路清晰,确定排查方案,在找到故障原因后,确定解决方案。并且要不耻下问,多向他人请教;查阅资料,了解新技术,把握网络技术的发展

5. arp安全针对欺骗攻击的解决方案有哪些

aRP协议的那些自动化额,发送大量无法识别的报文特性,又或者是识别的报文不明确的特性可被攻击者利用。

ARP泛洪攻击,也叫拒绝服务攻击DoS(Denial of Service)

主要存在这样两种场景:

1、设备处理ARP报文和维护ARP表项都需要消耗系统资源,同时为了满足ARP表项查询效率的要求,一般设备 都会对ARP表项规模有规格限制。

攻击者就利用这一点,通过伪造大量源IP地址变化的ARP报文,使得设备ARP表资源被无效的ARP条目耗尽,合法用户的ARP报文不能继续生成ARP条目,导致正常通信中断。

2、攻击者利用工具扫描本网段主机或者进行跨网段扫描时,会向设备发送大量目标IP地址不能解析的IP报文, 导致设备触发大量ARP Miss消息,生成并下发大量临时ARP表项,并广播大量ARP请求报文以对目标IP地址进行解析,从而造成CPU(Central Processing Unit)负荷过重。

2、ARP欺骗攻击

是指攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他用户主机的ARP表项,造成用户或网络的报文通信异常。

ARP攻击行为存在以下危害:

1、会造成网络连接不稳定,引发用户通信中断,导致严重的经济损失。

2、利用ARP欺骗截取用户报文,进而非法获取游戏、网银、文件服务等系统的帐号和口令,造成被攻击者重大利益损失。为了避免上述ARP攻击行为造成的各种危害,可以部署ARP安全特性。

二、原理

1、ARP报文限速原理

如果设备对收到的大量ARP报文全部进行处理,可能导致CPU负荷过重而无法处理其他业务。因此,在处理之前,设备需要对ARP报文进行限速,以保护CPU资源。

设备提供了如下几类针对ARP报文的限速功能:

1、根据源MAC地址或源IP地址进行ARP报文限速

当设备检测到某一个用户在短时间内发送大量的ARP报文,可以针对该用户配置基于源MAC地址或源IP地址的ARP报文限速。在1秒时间内,如果该用户的ARP报文数目超过设定阈值(ARP报文限速值),则丢弃超出阈值部分的ARP报文。

1.1、根据源MAC地址进行ARP报文限速:

如果指定MAC地址,则针对指定源MAC地址的ARP报文根据限速值进行限速;如果不指定MAC地址,则针对每一个源MAC地址的ARP报文根据限速值进行限速。

1.2、根据源IP地址进行ARP报文限速:

如果指定IP地址,则针对指定源IP地址的ARP报文根据限速值进行限速;如果不指定IP地址,则针对每一个源IP地址的ARP报文根据限速值进行限速。

2、针对Super VLAN的VLANIF接口下的ARP报文限速

当设备的VLANIF接口接收到触发ARP Miss消息的IP报文时,或者在设备的VLANIF接口上启用ARP代理功能之后,设备接收到目的IP符合代理条件且该IP对应的ARP条目不存在的ARP请求报文时,都会触发Super VLAN的VLANIF接口进行ARP学习。

设备会将ARP请求报文在每个Sub VLAN下复制,如果该Super VLAN下配置了大量Sub VLAN,那么设备将产生大量的ARP请求报文。

为了避免CPU因复制、发送大量ARP请求报文而负担过重,设备支持Super VLAN的VLANIF接口下的ARP报文限速功能,以对该场景下设备发送的ARP请求报文进行流量控制。

3、针对全局、VLAN和接口的ARP报文限速

设备支持在全局、VLAN和接口下配置ARP报文的限速值和限速时间,当同时在全局、VLAN和接口下配置ARP报文的限速值和限速时间时,设备会先按照接口进行限速,再按照VLAN进行限速,最后按照全局进行限速。

另外,在接口下还可以指定阻塞ARP报文的时间段。如果设备的某个接口在ARP报文限速时间内接收到的ARP报文数目超过了设定阈值(ARP报文限速值),则丢弃超出阈值部分的ARP报文,并在接下来的一段时间内(即阻塞ARP报文时间段)持续丢弃该接口下收到的所有ARP报文。

3.1、针对全局的ARP报文限速:

在设备出现ARP攻击时,限制全局处理的ARP报文数量。

3.2、针对VLAN的ARP报文限速:

在某个VLAN内的所有接口出现ARP攻击时,限制处理收到的该VLAN内的ARP报文数量,配置本功能可以保证不影响其他VLAN内所有接口的ARP学习。

3.3、针对接口的ARP报文限速:

在某个接口出现ARP攻击时,限制处理该接口收到的ARP报文数量,配置本功能可以保证不影响其他接口的ARP学习。

2、ARP Miss消息限速原理

如果网络中有用户向设备发送大量目标IP地址不能解析的IP报文(即路由表中存在该IP报文的目的IP对应的路由表项,但设备上没有该路由表项中下一跳对应的ARP表项),将导致设备触发大量的ARP Miss消息。

6. ARP欺骗攻击

  网络不通问题的排查基本思路如下:1、检查物理链路是否有问题。2、查看本机IP地址、路由、DNS的设置是否有问题。3、测试网关或路由器的通畅情况。先测网关然后再测路由器,一级一级地测试。4、测试ping公网ip的通畅情况(平时要记几个外部IP)。5、测试DNS的通畅情况,可直接ping网站地址。

7. 黑客常用的攻击手段除了ip欺骗arp欺骗dos攻击之外还有

1.ping ping 主机ip或名字:一般常用于做普通网络是否通畅的测试。但是ping不同不代表网络不通,有可能是目标主机  装有防火墙并且阻止了icmp响应。 ping -t :不停的发送数据包。当然都很小,不能称作攻击。

 2 net

建议是用net /?获取具体帮助信息。

 3 netstat

netstat 主机:查看主机当前的tcp/ip连接状态,如端口的状态。

 4 nbtstat

nbtstat 主机:查看主机使用的NetBIOS name。

5 tracerttracert 主机:查看从你自己到目标逐机到底经过了那些路径。

6 pathpingpathping 主机:类似tracert,但可以显示一些tracert不能显示出来的信息。

7 ftp字符方式的ftp

8 telnet字符方式的远程登录程序,是网络人员极其爱用的远程登录程序。

9 ipconfig 非常有用的网络配置、排错命令。

10 arp 操作当前的arp缓存。-a 显示arp缓存。-d 删除一条缓存纪录。-s 田家一条缓存纪录。

11 nslookup

排除dns错误的利器

8. 为什么arp欺骗攻击容易实现

  

1:ARP攻击,攻击源是局域网内某一台中毒的电脑。   

2:ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。   

3:当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和交换机,让所有上网的流量必须经过病毒主机。其他用户原来直接通过交换机上网转由通过病毒主机上网,切换的时候用户会断一次线。

9. 黑客为什么可以成功实施arp欺骗攻击技术

ARP欺骗(英语:ARP spoofing),又称ARP毒化(ARP poisoning,网上上多译为ARP病毒)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。

此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网上上特定计算机或所有计算机无法正常连线。

最早探讨ARP欺骗的文章是由Yuri Volobuev所写的《ARP与ICMP转向游戏》(ARP and ICMP redirection games)。

10. arp欺骗攻击会导致哪些问题

解决办法: 1、关机状态 长按开机键和音量+进入recovery。

2、在recovery模式下选择两个wipe清理。3、不同手机的按键不同,自己测试一下就好。双wipe以后手机信息是完全被清理的,需要重新安装软件什么的。

相关文章

边界裁剪快捷键 | cad剪裁边界快捷

边界裁剪快捷键 | cad剪裁边界快捷

快捷键,边界,区域,命令,剪裁,1. cad剪裁边界快捷键三种方法,如下:1. 命令行中输入命令TR——回车——选择修剪边界——回车——选择要修剪的对象——回车(结束命令)(如果没有边界的对象只能删除,无法修剪)2. 输入命令TR——连续两下回车(可以无边界…

iPod官换机 | ipod置换

iPod官换机 | ipod置换

机能,序列号,不支持,新机,换新,1. iPod官换机苹果ipad官换机是指苹果ipad如果出了问题(非人为损坏无大硬伤),是可以到官方指定地址包换的。2. ipod置换是可以的,air pods pro是支持以旧换新的,可以到苹果公司官网参加相应的活动,然后将你的摄…

美团账户设置 | 美团怎样切换账户

美团账户设置 | 美团怎样切换账户

账户,账号,设置,登录,外卖,1. 美团怎样切换账户美团更换绑定的银行卡就是先取消已经绑定的银行卡再添加一个银行卡。 其实不用那么的复杂,只需要添加一个银行卡,在支付的时候选择这个用的银行卡就可以了。 美团用手机添加银行卡: 1、打开手机…

fdm使用 | FDM如何使用

fdm使用 | FDM如何使用

使用教程,激光,如何使用,材料,使用方法,1. fdm使用频分多路复用(Frequency-division multiplexing,FDM),也叫分频多任务,是一种将多路基带信号调制到不同频率载波上再进行叠加形成一个复合信号的多路复用技术。历史上,电话网络曾使用FDM技术在单…

arcmap快捷键冲突 | arcmap10.2快

arcmap快捷键冲突 | arcmap10.2快

快捷键,使用教程,快捷键冲突,教程,自定义,1. arcmap10.2快捷键1 属性表多字段排序 通常, 打开属性表之后,右击字段名称,选择【Advanced Sorting】,弹出多字段排序界面快捷键:shift+双击字段名称2 隐藏字段 通常, 打开属性表之后,右击字段名称,选择…

微信电脑版怎么登入 | 微信电脑版

微信电脑版怎么登入 | 微信电脑版

登录,账号,公众号,企业,登入,1. 微信电脑版如何登录1. 下载微信电脑版客户端,点击一键安装就OK了。2. 打开微信电脑版,打开手机微信,点击手机微信右上角的“+”按钮,选择“扫一扫”,扫描微信电脑版上的二维码,然后在手机微信上确认登陆。3.登陆成…

怎样把电脑上的字变小 | 怎样把电

怎样把电脑上的字变小 | 怎样把电

小点,如何将,电脑软件,1. 怎样把电脑上的字变小点在电脑中将字体的大小调大一些即可实现字体变粗的效果,具体操作请参照以下步骤。;1、在电脑桌面空白处右击鼠标,然后在右键菜单中点击“屏幕分辨率”选项。;2、然后在出现的窗口中点击“放大或…

索尼6100快捷键 | 索尼6100开机键

索尼6100快捷键 | 索尼6100开机键

索尼,快捷键,使用教程,按键,功能,1. 索尼6100开机键因为一些关键部件的供货短缺,会停止接单生产包括a6100在内的若干款产品。而索尼的关键部件供货短缺是因为10月29日AKM在延岡市的工厂火灾造成的。凡是在2020年12月3日之后直接向索尼下单的…

苹果5和电脑连接不上 | 苹果5s连接

苹果5和电脑连接不上 | 苹果5s连接

5s,连接,设置,连接不上,怎么回事,1. 苹果5s连接不上电脑苹果笔记本与苹果手机连接方法为:1首先,将设备与电脑连接。打开iTunes,在设备的主界面处下拉,找到【选项】区域。然后我们勾选【通过Wi-Fi与此iPod同步】和【手动管理音乐和视频】,再点击…

win7电脑连接共享 | win7电脑连接

win7电脑连接共享 | win7电脑连接

设置,连接,方法,密码,网络,1. win7电脑连接共享打印机设置1、首先在win7电脑桌面的主页面下方点击网络图标,并且在弹出来的页面选择。【打开网络和共享中心】2、接着点击【更改高级共享设置】。3、最后在共享设置页面,点击【启用文件和打印机…

iphone常亮怎么设置 | 怎么设置苹

iphone常亮怎么设置 | 怎么设置苹

设置,屏幕,模式,设置为,电脑软件,1. 怎么设置苹果常亮1、首先请打开屏幕上的“设置”应用,打开系统的设置功能界面。2、接着在设置列表里,点击“通用”一栏。3、在通用列表里找到“自动锁定”一栏,点击进入。4、随后可以对屏幕的锁定时间进行…

路由器设置灯一直闪 | 路由器怎么

路由器设置灯一直闪 | 路由器怎么

路由器,网络连接,网络,设置,怎么回事,1. 路由器怎么一直闪灯路由器光信号闪灯不用处理的,闪灯说明是数据正在进行交互,也就是正在发短信,或者是在上网,不闪才不正常2. 路由器一直闪灯正常吗不会。路由器是链接运营商网络和电脑的中间载体,只要连…