界面模式
登录
注册
会员
帮助
加入收藏夹
客服微信
瑞星卡卡安全论坛
技术交流区
入侵防御(HIPS)
【原创】帮你解读ARP欺骗
企业产品讨论区
瑞星安全云终端软件
瑞星ESM防病毒终端安全防护系统
瑞星杀毒软件网络版(含Linux)
瑞星智能沙箱分析/恶意代码威胁监测分析/上网行为管理
瑞星防毒墙5.0、瑞星下一代防火墙
瑞星虚拟化恶意代码防护系统
个人产品讨论区
瑞星之剑
瑞星防病毒安全软件
瑞星杀毒软件
瑞星个人防火墙V16
瑞星AI网络威胁检测引擎、威胁情报及网安知识图谱
瑞星其他产品
技术交流区
反病毒/反流氓软件论坛
可疑文件交流
恶意网站交流
入侵防御(HIPS)
系统软件
硬件交流
综合娱乐区
影音贴图
瑞星安全游戏
活动专区
本站站务区
站务
瑞星“1+2”全新解决方案巡展在广州画上圆满句号
叶院长揭秘:瑞星如何运用AI技术革新网络安全
俄乌冲突加剧网络攻击风险 白俄罗斯政府遭APT攻击
瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
实力拉满 瑞星第四十七次通过VB100测评
携手老友,拥抱新精彩 —— 新论坛新活动,感谢你的陪伴
护航司法,瑞星助力山西省高院构建安全防线
人工智能在网络安全领域的风险和机遇
1
1
/ 1 页
跳转
页
【原创】帮你解读ARP欺骗
收藏
梅罗
自信弱冠狮
帖子:
430
注册:
2010-01-18
来自:
永烁星光之地
发表于: 2010-02-10 16:49
|
显示全部
短消息
资料
字号:
小
中
大
1楼
【原创】帮你解读ARP欺骗
为了在短时间内使各位有个稍微系统的认识,那么我们先从
2
个基础知识开始说,其中由于本人的知识有限,有出入的地方请大家原谅:
1.
OSI
参考模型(
OSI/RM
)的全称是开放系统互连参考模型(
Open System Interconnection Reference Model
,
OSI/RM
),它是由国际标准化组织(
International Standard Organization
,
ISO
)提出的一个网络系统互连模型。
V2.jpg
(55.06 K)
2010-2-10 16:49:19
那么通过下面这个图来理解一下什么是包,为了方便大家理解下一个基础知识点
ARP
包,那么我们就来简单说说各层的功能,以及包是怎么封装的,
2
个计算机之间的信息和数据通过包交换和传输,请看下面的图:
A.jpg
(67.56 K)
2010-2-10 16:49:19
我们再大概了解一下各层的功能以及他们用的协议:
1
、物理层(
Physical Layer
)
物理层规定了激活、维持、关闭通信端点之间的机械特性、电气特性、功能特性以及过程特性。该层为上层协议提供了一个传输数据的物理媒体。
在这一层,数据的单位称为比特(
bit
)。
属于物理层定义的典型规范代表包括:
EIA/TIA RS-232
、
EIA/TIA RS-449
、
V.35
、
RJ-45
等。
2
、数据链路层(
Data Link Layer
)
数据链路层在不可靠的物理介质上提供可靠的传输。该层的作用包括:物理地址寻址、数据的成帧、流量控制、数据的检错、重发等。
在这一层,数据的单位称为帧(
frame
)。
数据链路层协议的代表包括:
SDLC
、
HDLC
、
PPP
、
STP
、帧中继等。
3
、网络层(
Network Layer)
网络层负责对子网间的数据包进行路由选择。此外,网络层还可以实现拥塞控制、网际互连等功能。
在这一层,数据的单位称为数据包(
packet
)。
网络层协议的代表包括:
IP
、
IPX
、
RIP
、
OSPF
等。
4
、传输层(
Transport Layer
)
传输层是第一个端到端,即主机到主机的层次。传输层负责将上层数据分段并提供端到端的、可靠的或不可靠的传输。此外,传输层还要处理端到端的差错控制和流量控制问题。
在这一层,数据的单位称为数据段(
segment
)。
传输层协议的代表包括:
TCP
、
UDP
、
SPX
等。
5
、会话层(
Session Layer
)
会话层管理主机之间的会话进程,即负责建立、管理、终止进程之间的会话。会话层还利用在数据中插入校验点来实现数据的同步。
会话层协议的代表包括:
NetBIOS
、
ZIP
(
AppleTalk
区域信息协议)等。
6
、表示层(
Presentation Layer
)
表示层对上层数据或信息进行变换以保证一个主机应用层信息可以被另一个主机的应用程序理解。表示层的数据转换包括数据的加密、压缩、格式转换等。
表示层协议的代表包括:
ASCII
、
ASN.1
、
JPEG
、
MPEG
等。
7
、应用层(
Application Layer
)
应用层为操作系统或网络应用程序提供访问网络服务的接口。
应用层协议的代表包括:
Telnet
、
FTP
、
HTTP
、
SNMP
等。
OSI
参考模型中,当一台主机需要传送用户的数据(
DATA
)时,数据首先通过应用层的接口进入应用层。在应用层,用户的数据被加上应用层的报头(
Application Header
,
AH
),形成应用层协议数据单元(
Protocol Data Unit
,
PDU
),然后被递交到下一层
-
表示层。
表示层并不
"
关心
"
上层
-
应用层的数据格式而是把整个应用层递交的数据包看成是一个整体进行封装,即加上表示层的报头(
Presentation Header
,
PH
)。然后,递交到下层
-
会话层。
同样,会话层、传输层、网络层、数据链路层也都要分别给上层递交下来的数据加上自己的报头。它们是:会话层报头(
Session Header
,
SH
)、传输层报头(
Transport Header
,
TH
)、网络层报头(
Network Header
,
NH
)和数据链路层报头(
Data link Header
,
DH
)。其中,数据链路层还要给网络层递交的数据加上数据链路层报尾(
Data link Termination
,
DT
)形成最终的一帧数据。
当一帧数据通过物理层传送到目标主机的物理层时,该主机的物理层把它递交到上层
-
数据链路层。数据链路层负责去掉数据帧的帧头部
DH
和尾部
DT
(同时还进行数据校验)。如果数据没有出错,则递交到上层
-
网络层。
同样,网络层、传输层、会话层、表示层、应用层也要做类似的工作。最终,原始数据被递交到目标主机的具体应用程序中。
通过这里,我们可以看出,我们
2
台计算机之间的信息和数据交流是以下的过程,首先由上次的应用程序决定需要发送的数据(我们需要着重了解的是传输层,网络层,数据链路层这
3
层,因为数据在网络的传输主要是这
3
层在起作用),在这里我们可以根据
TCP
模型将
OSI
模型的后
3
层归结于应用层,这里的应用程序即是笼统意义上指的应用程序,关于后
3
层之间的关系,为了篇幅我们在这里不过多的讲述,请感兴趣的同学自行百度吧,我们只抽象出一个应用程序的概念即可。我们知道一个程序在系统里是通过一个或多个进程来体现的,我们抽象出的应用层决定了将要发送的数据,并且发起了建立会话的要求,并已经加好了后
3
层各层的头,于是数据被指明利用传输层的某种协议(比如
TCP
协议),于是被加上
TCP
头,变成数据段,再被网络层封装成
IP
包,交到数据链路层封装成帧,交到物理层发送。
2.
ARP
协议:
我们所说的
ARP
欺骗实际上是根据
ARP
协议的原理来进行的,具体呢也是利用了
ARP
协议。
ARP
(
Address Resolution Protocol
,地址解析协议)是一个位于
TCP/IP
协议栈中的低层协议,负责将某个
IP
地址解析成对应的
MAC
地址。
ARP
协议和
ICMP
协议是常用的
TCP/IP
底层协议。我们通常将他归结于网络层。
首先我们来了解两个地址:
1.
IP
地址,这个大家都应该很熟悉;
2.
MAC(Media Access Control)
地址:或称为
MAC
位址、硬件位址,用来定义网络设备的位置。在
OSI
模型中,第三层网络负责
IP
地址,第二层数据链路层则负责
MAC
位址。因此一个主机会有一个
IP
地址,而每个网络位置会有一个专属于它的
MAC
位址。
所以主机,路由器,交换机都会有自己的
MAC
地址,因为他们都是标准的网络设备,而我们说的主机的
MAC
地址通常指的是主机里网卡的
MAC
地址,这在网卡出厂时已经设定好了且不可更改,现在用软件可以修改,或者通过修改注册表的方法改变mac地址,因为MAC地址是从内存读出再打包的。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; .NET CLR 3.5.21022; MAXTHON 2.0)
梅罗 最后编辑于 2010-02-10 17:42:04
天地间那一抹不灭的流光 即我
分享到:
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
851
贡献:
29
金钱:
0
状态:
离线
等级:
梅罗
自信弱冠狮
帖子:
430
注册:
2010-01-18
来自:
永烁星光之地
发表于: 2010-02-10 16:51
|
显示全部
短消息
资料
字号:
小
中
大
2楼
回复:解读ARP欺骗
V1.jpg
(45.72 K)
2010-2-10 16:57:38
那么什么时候要用到
ARP
协议呢,我们知道,当一台新的计算机
A
(
IP
地址为
192.168.1.2
)加入以太网并要和另外一台计算机
B
(
IP
地址为
192.168.1.4
)进行通讯时,它怎么知道另外一台的位置呢,这时候
ARP
协议就有用处了,这个时候主机
A
会先检查其
ARP
缓存内是否有主机
B
的
MAC
地址。如果没有,主机
A
会发送一个
ARP
请求广播包(即向网内所有主机发送),此包内包含着其欲与之通信的主机的
IP
地址,也就是主机
B
的
IP
地址(
192.168.1.4
)。
目标
MAC
地址是
“FF.FF.FF.FF.FF.FF”
,这表示向同一网段内的所有主机发出这样的询问:
“192.168.1.4
的
MAC
地址是什么?
”
网络上其他主机并不响应
ARP
询问,只有主机
B
接收到这个帧时,才向主机
A
做出这样的回应:
“IP
为
192.168.1.4
的主机
B
的
MAC
地址是
00-aa-00-62-c6-09”
。
并更新自己的
ARP
缓存,也就是同时将主机
A
的
IP
地址
/MAC
地址对保存起来,以供后面使用。主机
A
在得到主机
B
的
MAC
地址后,就可以与主机
B
通信了。同时,主机
A
也将主机
B
的
IP
地址
/MAC
地址对保存在自己的
ARP
缓存内。
3.ARP
欺骗:
说了这么多,我们终于可以说到哦
ARP
欺骗了,呼。
ARP
欺骗其实就是利用
ARP
协议向网关虚构一个
IP
地址和
MAC
的关系(虚构地址之后就欺骗了网关),导致某台计算机无法上网或者接受数据。一般分为两种情况,通过以下的图梅罗来详细说明它们各自的情况:
V3.jpg
(85.37 K)
2010-2-10 16:57:38
第一种
ARP
欺骗的原理是
——
截获网关数据。它通知路由器一系列错误的内网
MAC
地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中(路由器的路由表刷新时间是有间隔的,各厂商的不同),结果路由器的所有数据只能发送给错误的
MAC
地址,造成正常
PC
无法收到信息,比如说,主机
A
不想让主机
B
接受数据,它不断的向路由器发送
ARP
包声明
IP
为
192.168.1.3
的主机
B
对应的
MAC
地址为
00-23-ed-51-32
(这个地址是虚构的和主机
IP
原来的
MAC
不同)这样外网主机
F,
原本通过路由给主机
B
的信息其实就被传输到一个虚假的
MAC
。
第二种
ARP
欺骗的原理是
——
伪造网关。它的原理是建立假网关,让被它欺骗的
PC
向假网关发数据,而不是通过正常的路由器途径上网,这是局域网木马常用的手段,还是以上图为例,假设主机
B
中了木马,这个时候能它就会向局域网内别的主机发送
ARP
包声明
IP
为
192.168.1.1
的路由(它是网关)
MAC
地址是
00-aa-00-62-c6-09
(其实就是把自己的
MAC
和网关的
IP
绑定然后大叫三声:我是网关,想上网的快来孝敬我!),这下局域里的其他主机就把数据包发到了主机
B
,但是由于他没有网关的功能,别的主机自然就上不了网了。
那么我们来分析如何处理
ARP
欺骗,当然杜绝
ARP
欺骗当然是进行
IP MAC
双向绑定,
如果没绑定或者绑定一端的时候我们可以这样做,假设A端IP是110,MAC是AB,B端IP是120,MAC是AC,那么为了达到我们的目的,那么如果A只绑定了B的120和原始MAC AC,这叫单方面绑定,但是我们发送声明120对应的MAC地址修改的时候,由于与预先绑定的MAC不符,然后我们可以判定是个ARP欺骗不理会,但是由于B端没有绑定A的IP和MAC,我们可以发包欺骗B端,而双向绑定就不存在这个漏洞了。
但是绑定的权限需要受到保护,这点个是我个人的补充;那么,遇见
ARP
欺骗怎么办呢,最简单的方法当然是关闭
ARP
发送源。关于这个源头如何判定,我们根据原理并参照论坛的这个例子来解释一下:
论坛问题地址
http://bbs.ikaka.com/showtopic.aspx?page=end&topicid=8694034#10249187
V4.jpg
(59.25 K)
2010-2-10 16:57:38
那么,从上面的理论来说,有可能是之前绑定静态规则的网关设备,即
00-25-86-83-ED-4E
中马,则它会发送
IP
为
192.168.1.1
虚假
MAC
地址为
00-13-D4-CB-A3-D3
的
ARP
欺骗包。
当然,也会有人问那么难道不可能是
MAC
为
00-13-D4-CB-A3-D3
中马并伪造网关呢,我认为也是可能的,当然从
ARP
欺骗包的
MAC
多半是虚构的情况,我们应该当先从下面的
MAC
开始查起,因为之前的静态规则我们可以肯定
00-25-86-83-ED-4E
这台设备在网络中是存在的,而
00-13-D4-CB-A3-D3
有可能则是局域里根本不存在的设备,当然我们排除了
00-25-86-83-ED-4E
的嫌疑之后,我们仍然需要排查
MAC
为
00-13-D4-CB-A3-D3
的设备。
最后呢,
ARP
欺骗实际是不能被完全防止和解决的,只要还用
ARP
协议一天,就会有
ARP
欺骗
~
文章的最后梅罗谢谢大家的捧场,希望对大家有用,祝大家新年快乐
~
梅罗 最后编辑于 2010-02-10 16:57:38
天地间那一抹不灭的流光 即我
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
851
贡献:
29
金钱:
0
状态:
离线
等级:
梅罗
自信弱冠狮
帖子:
430
注册:
2010-01-18
来自:
永烁星光之地
发表于: 2010-02-10 22:03
|
显示全部
短消息
资料
字号:
小
中
大
3楼
回复 3F 筠林碧湫 的帖子
谢谢 可是写了贴上去编辑太卡了
天地间那一抹不灭的流光 即我
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
851
贡献:
29
金钱:
0
状态:
离线
等级:
梅罗
自信弱冠狮
帖子:
430
注册:
2010-01-18
来自:
永烁星光之地
发表于: 2010-03-05 00:41
|
显示全部
短消息
资料
字号:
小
中
大
4楼
回复 5F 小棉花ZY 的帖子
。与你同属于一网段内的机器有中了ARP木马向你发送arp欺骗包,然后么某天他主人良心发现恍然大悟杀毒了,自然就不攻击你了~
天地间那一抹不灭的流光 即我
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
851
贡献:
29
金钱:
0
状态:
离线
等级:
<<
上一主题
|
下一主题
>>
1
1
/ 1 页
跳转
页
论坛跳转...
企业产品讨论区
瑞星安全云终端软件
瑞星ESM防病毒终端安全防护系统
瑞星杀毒软件网络版(含Linux)
北方区
华东区
华南区
木马入侵拦截有奖体验专区
瑞星2009版查杀引擎测试
瑞星2009测试版问题反馈
瑞星杀毒软件2009公测
瑞星个人防火墙2009公测
瑞星全功能安全软件2009公测
瑞星智能沙箱分析/恶意代码威胁监测分析/上网行为管理
瑞星防毒墙5.0、瑞星下一代防火墙
瑞星虚拟化恶意代码防护系统
个人产品讨论区
瑞星之剑
瑞星防病毒安全软件
瑞星杀毒软件
瑞星安全联盟论坛
瑞星杀毒软件V16+
V16+新引擎测试专区
瑞星全功能安全软件
瑞星杀毒软件2011
瑞星个人防火墙V16
广告过滤
瑞星个人防火墙2011
瑞星AI网络威胁检测引擎、威胁情报及网安知识图谱
瑞星其他产品
瑞星手机安全助手
瑞星路由安全卫士
路由系统内核漏洞
APP保镖
瑞星安全浏览器
瑞星安全助手
卡卡上网安全助手
瑞星软件管家
瑞星加密盘
账号保险柜5.0
瑞星专业数据恢复
技术交流区
反病毒/反流氓软件论坛
菜鸟学堂
安全技术讨论
可疑文件交流
恶意网站交流
瑞星云安全网站联盟专版
每日网马播报
入侵防御(HIPS)
系统软件
硬件交流
综合娱乐区
Rising茶馆
影音贴图
瑞星安全游戏
凡人修真
华人德州扑克
一球成名
星际世界
神仙道
赢家竞技
梦幻飞仙
三国演义
仙落凡尘
秦美人
攻城掠地
女神联盟
风云无双
傲视九重天
深渊
魅影传说
热血屠龙
雷霆之怒
大天使之剑
传奇霸业
无上神兵
斗破沙城
全民裁决
蛮荒之怒2
活动专区
瑞星积分商城
实习生专区
实习生交流区
实习生签到区
实习生考核区
“安全之狮”校园行活动专版
历史活动
论坛9周年活动专区
关注灾情 同心抗灾
本站站务区
站务
版主之家[限]
禁言禁访记录
待审核
瑞星客户俱乐部[限]
Apple ID不设“两步验证”的悲剧 by baohe
360卫士、新毒霸破坏瑞星杀毒导致升级失败(升级提示XXXXXXX 800006)的解决办法
瑞星发布《等保2.0详解暨瑞星等保三级解决方案》
在高分屏电脑运行Photoshop CS6,程序界面字体过小的问题有解啦~~~by baohe
我的主题
我的帖子
我的精华
我的好友
文本模式