当前位置:首页 > 日记 > 正文

已拦截电脑对外arp欺骗攻击 | 黑客为什么可以成功实施arp欺骗攻击

已拦截电脑对外arp欺骗攻击 | 黑客为什么可以成功实施arp欺骗攻击

1. 黑客为什么可以成功实施arp欺骗攻击

arp欺骗攻击有三种方式如下所述::

第一种是局域网主机冒充网关欺骗网内主机,导致主机访问网关的数据包均发往欺骗主机,局域网内主机无法正常上网。

第二种是欺骗网关,修改网关的ARP表项,导致网关到主机的数据包无法到达正确主机。

第三种是主机对主机的欺骗,导致正常主机之间通信中断。

攻击者冒充网关欺骗主机,使用户正常发往网关的数据流发至攻击者,导致用户无法访问外部网络。

攻击者冒充普通用户欺骗网关,使网关到用户的数据流无法到达正确用户。

攻击者冒充用户欺骗用户,使正常用户之间通信中断。

2. arp欺骗和arp攻击

命令格式是正确的,确保IP、MAC地址的正确和存在对应性,IP-MAC绑定是要双向执行才生效的,可有效防止ARP攻击和ARP欺骗,如果IP由DHCP服务器分配,IP-MAC绑定的作用将失效,手动分配IP的网络中,绑定操作重启后也失效,可把该命令建成批处理于每次启动电脑时运行

3. arp欺骗攻击可能导致的后果

ARP协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。

它是无状态的协议,不会检查自己是否发过请求包,也不管(其实也不知道)是否是合法的应答,只要收到目标MAC是自己的ARP reply包或arp广播包(包括ARP request和ARP reply),都会接受并缓存。这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至可以做“中间人”。

4. 黑客为什么可以成功实施arp欺骗攻击行为

1、检查网络设备、网线是否有损坏,排除了硬件设备故障。

2、检查内网是否经常有人大量下载或者使用P2P终结者等攻击软件。通过观察和走访发现也不是这个原因造成的,公司同事对电脑技术懂的很少,并且公司有明确规定,上班时间不允许看视频和下载东西。

3、检查内网是否存在网络病毒、网络攻击。使用sniffer抓包分析网络流量,发现内网充斥大量的异常数据,并且有ARP攻击、DDOS攻击。至此可以确定本次网络问题是由于内网攻击造成的。

确定了故障原因,下一步就是使用合适的解决办法。在使用了ARP防火墙、IP-MAC绑定之后,发现网络掉线依旧,并没有很好的改善。束手无策之际,一位师兄给我指明了方向,网络问题要用网络方法解决。

我查了大量资料,终于弄清了ARP攻击的原理:ARP不是病毒,而是一种“协议性攻击行为”,只所以称之为病毒,是因为目前ARP攻击工具的传播方式与发作现象已经愈来愈接近病毒。ARP(地址解释协议)是网络通信协议中的不可缺少的关键协议,它是负责将IP地址转换为对应MAC地址的协议。ARP的存在给了好事者可趁之机,但如果缺少了ARP协议,网络设备之间将无法进行通讯,这是为什么对ARP投鼠忌器的主要原因。

ARP病毒可分为两种,一种是ARP欺骗,一种是ARP攻击。ARP欺骗最先是黑客们偷盗网络账号使用的,后来被广泛用于类似网路岗、网络执法官之类的网络管理工具,被骗主机会将数据发送给伪装的主机,从而达到截获数据的目的。而ARP攻击纯粹是以破坏网络通讯为主要目的,发送虚假的ARP请求包或应答包,使得网络内所有主机都失去了有序的组织和联系。

ARP病毒的传播,必须有“肉鸡”,就是容易被感染的宿主机,通过得到宿主机的控制权来发送ARP欺骗、虚假的ARP请求包和应答包。由于没有明显的特征字以及ARP在网络通讯中的重要地位,防毒墙和防火墙应对ARP病毒也束手无策。所以从源头上堵住问题数据的流出,同时放行合法的ARP数据包,才是彻底摆脱ARP困扰的终极解决方案。

这是由于以太网协议存在漏洞造成的,也就是为什么ARP防火墙、360、IP-MAC绑定出现这么久之后,ARP攻击还是一直无法防治的原因,ARP防火墙、360防不了ARP攻击!

并且目前信息网络问题频出,掉线、网速慢、内网服务器访问缓慢等,很多并不在于网络设备的高级低级,也不在于防火墙、杀毒等手段的实施,它的根源就在于以太网协议存在先天漏洞、不擅长管理这两大弊端。一旦这个弊端被黑客利用,内网的每一台PC都可能成为攻击源,从内网发起攻击。而PC被感染的途径太多,访问网页、收邮件、聊天下载、移动笔记本、插U盘等等,都可能中招,防不胜防。统计数据表明,网络问题80%是内网引起的,就是这个原因。

目前的网络安全产品,防火墙、UTM防御外网对内网的攻击,杀毒软件保证单机安全,而防护内网的产品却很少。后来找到了一家专门针对内网基础安全、解决内网攻击的产品---免疫墙技术。

免疫墙能够将普通网络升级为免疫网络,从网络底层、每个终端上进行防控监测,不仅能防止本机不受攻击,还能拦截本机对外的网络攻击。安装在PC机上的免疫墙终端能够完成对MAC-IP的看守式绑定,彻底根除ARP病毒影响,即使本机中毒(删除本机的静态绑定列表),也不能对自身和网络造成影响。加固网络基础安全,填补以太网协议漏洞,能够彻底有效的解决内网攻击问题。

并且免疫墙的技术范围能够拓展到网络的最末端,深入到协议的最底层、盘查到外网的出入口、总览到内网的最全貌,使网络本身具有自主防御和管理的功能,网络可控、可管、可防、可观。

使用了免疫墙技术之后,在免疫墙的监控界面中看到了拦截了很多网络攻击,现在网络很稳定,没有再出现过掉线了。

在遇到网络问题时,我们一定要思路清晰,确定排查方案,在找到故障原因后,确定解决方案。并且要不耻下问,多向他人请教;查阅资料,了解新技术,把握网络技术的发展

5. arp安全针对欺骗攻击的解决方案有哪些

aRP协议的那些自动化额,发送大量无法识别的报文特性,又或者是识别的报文不明确的特性可被攻击者利用。

ARP泛洪攻击,也叫拒绝服务攻击DoS(Denial of Service)

主要存在这样两种场景:

1、设备处理ARP报文和维护ARP表项都需要消耗系统资源,同时为了满足ARP表项查询效率的要求,一般设备 都会对ARP表项规模有规格限制。

攻击者就利用这一点,通过伪造大量源IP地址变化的ARP报文,使得设备ARP表资源被无效的ARP条目耗尽,合法用户的ARP报文不能继续生成ARP条目,导致正常通信中断。

2、攻击者利用工具扫描本网段主机或者进行跨网段扫描时,会向设备发送大量目标IP地址不能解析的IP报文, 导致设备触发大量ARP Miss消息,生成并下发大量临时ARP表项,并广播大量ARP请求报文以对目标IP地址进行解析,从而造成CPU(Central Processing Unit)负荷过重。

2、ARP欺骗攻击

是指攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他用户主机的ARP表项,造成用户或网络的报文通信异常。

ARP攻击行为存在以下危害:

1、会造成网络连接不稳定,引发用户通信中断,导致严重的经济损失。

2、利用ARP欺骗截取用户报文,进而非法获取游戏、网银、文件服务等系统的帐号和口令,造成被攻击者重大利益损失。为了避免上述ARP攻击行为造成的各种危害,可以部署ARP安全特性。

二、原理

1、ARP报文限速原理

如果设备对收到的大量ARP报文全部进行处理,可能导致CPU负荷过重而无法处理其他业务。因此,在处理之前,设备需要对ARP报文进行限速,以保护CPU资源。

设备提供了如下几类针对ARP报文的限速功能:

1、根据源MAC地址或源IP地址进行ARP报文限速

当设备检测到某一个用户在短时间内发送大量的ARP报文,可以针对该用户配置基于源MAC地址或源IP地址的ARP报文限速。在1秒时间内,如果该用户的ARP报文数目超过设定阈值(ARP报文限速值),则丢弃超出阈值部分的ARP报文。

1.1、根据源MAC地址进行ARP报文限速:

如果指定MAC地址,则针对指定源MAC地址的ARP报文根据限速值进行限速;如果不指定MAC地址,则针对每一个源MAC地址的ARP报文根据限速值进行限速。

1.2、根据源IP地址进行ARP报文限速:

如果指定IP地址,则针对指定源IP地址的ARP报文根据限速值进行限速;如果不指定IP地址,则针对每一个源IP地址的ARP报文根据限速值进行限速。

2、针对Super VLAN的VLANIF接口下的ARP报文限速

当设备的VLANIF接口接收到触发ARP Miss消息的IP报文时,或者在设备的VLANIF接口上启用ARP代理功能之后,设备接收到目的IP符合代理条件且该IP对应的ARP条目不存在的ARP请求报文时,都会触发Super VLAN的VLANIF接口进行ARP学习。

设备会将ARP请求报文在每个Sub VLAN下复制,如果该Super VLAN下配置了大量Sub VLAN,那么设备将产生大量的ARP请求报文。

为了避免CPU因复制、发送大量ARP请求报文而负担过重,设备支持Super VLAN的VLANIF接口下的ARP报文限速功能,以对该场景下设备发送的ARP请求报文进行流量控制。

3、针对全局、VLAN和接口的ARP报文限速

设备支持在全局、VLAN和接口下配置ARP报文的限速值和限速时间,当同时在全局、VLAN和接口下配置ARP报文的限速值和限速时间时,设备会先按照接口进行限速,再按照VLAN进行限速,最后按照全局进行限速。

另外,在接口下还可以指定阻塞ARP报文的时间段。如果设备的某个接口在ARP报文限速时间内接收到的ARP报文数目超过了设定阈值(ARP报文限速值),则丢弃超出阈值部分的ARP报文,并在接下来的一段时间内(即阻塞ARP报文时间段)持续丢弃该接口下收到的所有ARP报文。

3.1、针对全局的ARP报文限速:

在设备出现ARP攻击时,限制全局处理的ARP报文数量。

3.2、针对VLAN的ARP报文限速:

在某个VLAN内的所有接口出现ARP攻击时,限制处理收到的该VLAN内的ARP报文数量,配置本功能可以保证不影响其他VLAN内所有接口的ARP学习。

3.3、针对接口的ARP报文限速:

在某个接口出现ARP攻击时,限制处理该接口收到的ARP报文数量,配置本功能可以保证不影响其他接口的ARP学习。

2、ARP Miss消息限速原理

如果网络中有用户向设备发送大量目标IP地址不能解析的IP报文(即路由表中存在该IP报文的目的IP对应的路由表项,但设备上没有该路由表项中下一跳对应的ARP表项),将导致设备触发大量的ARP Miss消息。

6. ARP欺骗攻击

  网络不通问题的排查基本思路如下:1、检查物理链路是否有问题。2、查看本机IP地址、路由、DNS的设置是否有问题。3、测试网关或路由器的通畅情况。先测网关然后再测路由器,一级一级地测试。4、测试ping公网ip的通畅情况(平时要记几个外部IP)。5、测试DNS的通畅情况,可直接ping网站地址。

7. 黑客常用的攻击手段除了ip欺骗arp欺骗dos攻击之外还有

1.ping ping 主机ip或名字:一般常用于做普通网络是否通畅的测试。但是ping不同不代表网络不通,有可能是目标主机  装有防火墙并且阻止了icmp响应。 ping -t :不停的发送数据包。当然都很小,不能称作攻击。

 2 net

建议是用net /?获取具体帮助信息。

 3 netstat

netstat 主机:查看主机当前的tcp/ip连接状态,如端口的状态。

 4 nbtstat

nbtstat 主机:查看主机使用的NetBIOS name。

5 tracerttracert 主机:查看从你自己到目标逐机到底经过了那些路径。

6 pathpingpathping 主机:类似tracert,但可以显示一些tracert不能显示出来的信息。

7 ftp字符方式的ftp

8 telnet字符方式的远程登录程序,是网络人员极其爱用的远程登录程序。

9 ipconfig 非常有用的网络配置、排错命令。

10 arp 操作当前的arp缓存。-a 显示arp缓存。-d 删除一条缓存纪录。-s 田家一条缓存纪录。

11 nslookup

排除dns错误的利器

8. 为什么arp欺骗攻击容易实现

  

1:ARP攻击,攻击源是局域网内某一台中毒的电脑。   

2:ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。   

3:当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和交换机,让所有上网的流量必须经过病毒主机。其他用户原来直接通过交换机上网转由通过病毒主机上网,切换的时候用户会断一次线。

9. 黑客为什么可以成功实施arp欺骗攻击技术

ARP欺骗(英语:ARP spoofing),又称ARP毒化(ARP poisoning,网上上多译为ARP病毒)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。

此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网上上特定计算机或所有计算机无法正常连线。

最早探讨ARP欺骗的文章是由Yuri Volobuev所写的《ARP与ICMP转向游戏》(ARP and ICMP redirection games)。

10. arp欺骗攻击会导致哪些问题

解决办法: 1、关机状态 长按开机键和音量+进入recovery。

2、在recovery模式下选择两个wipe清理。3、不同手机的按键不同,自己测试一下就好。双wipe以后手机信息是完全被清理的,需要重新安装软件什么的。

相关文章

福州哪里修电脑 | 福州哪里修电脑

福州哪里修电脑 | 福州哪里修电脑

福州,便宜,去哪里,好点,电脑软件,1. 福州哪里修电脑手机好你好我是大利嘉的工作人员,修手机的地方主要集中在A区二楼右侧(电梯上来右侧)。 修手机我个人认为去四海通讯不错,因为我去修过那次自己的智能手机开不了机要用软件刷机,二楼我去了好几…

mt4怎么设置止损 | mt4手机版移动

mt4怎么设置止损 | mt4手机版移动

止损,设置,拖动,如何设置,电脑软件,1. mt4手机版移动止损1,如何设置在mt4跟踪止损: 选择列表,点击右边,你会弹出以下对话框,选择你想要跟踪止损点。2,后停止时可以设置,右键单击神选择跟踪止损点就可以了。3,建立一个列表的末尾只停止在盈…

电脑里显卡长得怎样 | 电脑里的显

电脑里显卡长得怎样 | 电脑里的显

显卡,是什么样子,长得,样子,图片,1. 电脑里的显卡长什么样旗舰显卡就代表着这类显卡是所有显卡当中最贵的性能最好的。一般的英伟达30系列的高端显卡价格在5000到1万之间。可以称之为旗舰级别,是一般的游戏发烧者和视频创作者的首选。另外AM…

平板电脑螺丝拆不了 | 平板电脑没

平板电脑螺丝拆不了 | 平板电脑没

平板电脑,拆机,螺丝,螺丝钉,面板,1. 平板电脑没有螺丝怎么拆比其他机子难拆,而且内存条的保护盖也很难打开。拆后盖时先卸螺丝,再用工具插入笔记本侧边缝隙里,然后打开后盖的暗扣,就可以取下来了。可能工具不好插进去,尽量找薄一点的工具片。2. …

电脑管家重装系统好吗 | 电脑管家

电脑管家重装系统好吗 | 电脑管家

重装系统,系统重装,装系统,管家,电脑软件,1. 电脑管家能不能重装系统1。把有用的东西先备份出来,然后整个硬盘全部格式化掉,重装系统。装win10,要装正版,没钱的话,搞个伪正版也行。很多时候,系统不稳定,也是和那些所谓纯净版系统有本身有问题有关…

电脑刻盘怎么刻 | 在电脑上怎么刻

电脑刻盘怎么刻 | 在电脑上怎么刻

文件,刻盘,自己的,如何用,视频,1. 在电脑上怎么刻盘电脑刻录光盘:1 电脑安装有刻录光驱(刻碟机)。2 准备一张空白光盘,根据刻录文件的大小选择空白光盘,刻录文件小于700MB用CD光盘,CD空白光盘容量700MB,刻录文件大于700MB小于4.7G,用DVD空白光盘,D…

光着身子玩电脑 | 在阳光下玩电脑

光着身子玩电脑 | 在阳光下玩电脑

阳光,玩电脑,在阳光下,对着,太阳光,1. 在阳光下玩电脑把亮度 调到最大 或者 把显示器 背对 阳光 还可以 在 后面加块纸板 2. 在阳光下玩电脑会晒黑吗一般情况不会,除非辐射非常强烈3. 在阳光下玩电脑的危害应该不会坏,但是尽量不要去晒。电…

看门狗2低配设置 | 看门狗2配置推

看门狗2低配设置 | 看门狗2配置推

看门狗,配置,推荐,设置,电脑软件,1. 看门狗2配置推荐你好,目前看门狗只有1和2,还有军团,并没有4。2. 看门狗2配置推荐高清1650ti可以玩看门狗2。就gtx1650的显卡性能来说,妥妥可以玩看门狗全系,只要你其它配置也达到游戏要求。gtx1650的游戏表现…

设置门禁延时 | 设置门禁延时怎么

设置门禁延时 | 设置门禁延时怎么

设置,方法,密码,门禁,调门,1. 设置门禁延时怎么设置可以调整的。一般的电磁锁都是带延时控制的,就是锁体上有拨码的开关,可以设置关门的延时时间。通常可以设置为 0秒,2.5秒,5秒,9秒。每个厂家的锁分几档延时略有不同。电插锁上的关门延时设置,在…

电脑音乐播放器哪个最好 | 电脑用

电脑音乐播放器哪个最好 | 电脑用

音乐,播放器,最好用,播放软件,最好听,1. 电脑用什么音乐播放器最好如果你指的是播放本地视频的那种播放器,那么清晰度的问题,其实和播放器没有多少关系,或者说,迄今为止,网络流行的一些播放器在播放视频的画面质量方面都差不多,都不错,从最早的Win…

24针电脑电源 | 24针电脑电源启动

24针电脑电源 | 24针电脑电源启动

启动,电源,图解法,针脚,台式机,1. 24针电脑电源启动短接在一个20个脚或者24脚的连接头上,找到绿色的线,绿色无论和哪跟黑色的都可以短接(可以用镊子或回形针或其它铁丝都行);直接把热重启的接线插到开机针也是可。 通常,在Intel针对其电脑电源的…

360和电脑管家那个好 | 电脑360和

360和电脑管家那个好 | 电脑360和

管家,好用,电脑软件,好管家,1. 电脑360和电脑管家哪个好两个都很好。1.腾讯电脑管家和360卫士都是电脑上最常见的免费杀毒软件,两款软件在病毒查杀上都是首屈一指的。2.360卫士在功能上十分丰富,从木马查杀到电脑清理以及优化加速都是一应俱…