“教你怎么辨别ARP欺骗原理及防范被骗的做法”
今天,我们来谈谈arp诈骗的原理和教你如何防止诈骗的文案。 这里简要介绍了arp诈骗的原理和反诈骗的方法。 希望能帮到大家。
一个,arp诈骗的原理如下。
假设在这样的互联网上,一个集线器连接了三台机器
主机主机主机其中
的地址为: IP:192.168.10.1 MAC:aa-aa-aa-aa-aa-aa-aa-aa-aa中的一个
b的地址是IP:192.168.10.2 MAC:B B B-B B-B B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B的地址
的地址为IP:192.168.10.3 MAC :抄送-抄送-抄送-抄送-抄送-抄送-抄送-抄送
通常为c:\arp -a
接口: 192.168.10.1 on接口0x 1000003
internetaddressphysicaladdresstype
192.168.10.3抄送-抄送-抄送-抄送-抄送动态
假设hostb现在开始了罪恶的arp诈骗:
b表示发送源ip地址为192.168.10.3(c的ip地址),mac地址为DD-DD-DD-DD-DD-DD ) DD(c的mac地址原本为cc-cc-cc-cc地址 而且,a其实不知道是b发来的。 a只有192.168.10.3(c的ip地址)和无效的DD-DD-DD-DD-DD-DD MAC地址,没有与分子b有关的证据。 哈哈,这样分子不是很容易就死了吗?
目前,已更新了a机器的arp缓存:
c:\美联储
接口: 192.168.10.1 on接口0x 1000003
internetaddressphysicaladdresstype
192.168.10.3光驱-光驱-光驱动态
这不是小事。 的网络分销基于mac地址而不是ip地址进行。 目前,192.168.10.3的mac地址已更改为在a中不存在的mac地址。 现在,a将于192.168.10.3开始对其进行平标。 网卡传入的mac地址是DD-DD-DD-DD-DD地址。 结果是什么? 网络不通,a不能ping! !
于是,局域网中的一台机器,反复向其他机器,特别是网关,发送这种无效的虚假arp响应新闻包,nnd,严重的网络堵塞开始了! 网吧管理员的噩梦开始了。 我的目标和任务是第一时间留住他。 但从刚才的表现来看,分子似乎完美地利用了以太网的缺陷,掩盖了自己的罪行。 但实际上,这些做法也留有蛛丝马迹。 虽然arp包中没有保留主机的地址,但是承载该arp包的以太网帧中包含了主机的源地址。 另外,通常在以太网数据帧中,帧头的mac源地址/目标地址必须与帧包的arp新闻配对。 可以说这样的arp数据包是正确的。 如果不正确的话,一定是假货包,可以注意! 但是,如果一致的话,并不一定正确,造假者也考虑到了这一步,满足了样式的要求,但是副本可能是伪造了假的arp包。 但是,这样也没关系。 网关如果这里有本网段所有mac地址的网卡数据库,如果和mac数据库中的数据不一致,就是伪arp包。 也能注意对分子下手了
二、防止措施
1 .建立DHCP服务器( DHCP不怎么占用cpu,所以建议建在网关上。 另外,arp欺骗攻击通常先攻击网关。 我们让他先攻击网关。 由于网关有监视程序,所以建议网关地址选择192.168.10.2,并保留192.168.10.1 ) )/k0/另外,所有客户端计算机的ip添加 网关将启动dhcp服务,但在每个网卡上绑定并固定唯一的ip地址。 网络中的设备ip/mac必须维持一对一的关系。 这样,客户机由dhcp获取地址,但每次接通电源的ip地址相同。
2、建立mac数据库,记录网吧内所有网卡的mac地址,各mac和ip、地理位置均放入数据库,及时查询备案。
3 .网关机关闭arp动态刷新的过程,采用静态路由邮件。 这样一来,即使嫌疑人用arp诈骗攻击了网关,那对网关也没用,确保主机的安全。
网关建立静态ip/mac包的方法是建立/etc/ethers文件,其中包含正确的ip/mac兼容关系,按照以下方式:
192.168.2.32 08:00:4e:b0:24:47
另外,在最后添加/etc/rc.d/rc.local。
只要arp -f有效就可以了
4 .网关拦截互联网安全。 网关使用tcpdump程序剪切各个arp包,制作脚本分解软件分解这些arp协议。 arp欺骗攻击的数据包通常有以下两个优点。 如果满足一个,则可以视为攻击数据包警报。 第一个以太网标头的源地址、目标地址和arp包的协议地址不匹配。 或者,arp数据包的发送目的地和目的地不在自己的因特网卡mac数据库内,或者与自己的因特网mac数据库mac/ip不一致。 在所有这些第一时间报警,查看这些数据包(以太网数据包)的源地址,就可以大致知道该机器开始攻击了。
5 .偷偷去那台机器,看看是招聘者故意做的,还是被什么木马程序陷害了。 后者的情况下,默默地找借口拉开他,拔掉网线(不要切断电源,特别是看win98的计划任务),看看机器现在的录取记录和运行情况,明确是否在攻击。
通过教授arp诈骗的原理和防止诈骗的方法,我相信这个复印件会对你有帮助。 和好朋友分享的时候,也欢迎感兴趣的朋友们一起探讨。
免责声明:雪球目录网免费收录各个行业的优秀中文网站,提供网站分类目录检索与关键字搜索等服务,本篇文章是在网络上转载的,本站不为其真实性负责,只为传播网络信息为目的,非商业用途,如有异议请及时联系btr2031@163.com,本站的工作人员将予以删除。
上一篇:“教你怎么删除伪IE标”