还剩2页未读,继续阅读
文本内容:
一、ARP协议ARP协议是AddressResolutionProtocoln地址解析协议的缩写,在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程ARP协议的根本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行
二、ARP攻击现象以下几种现象为ARP攻击常见的现象上网时断时续;通过IE地址栏输入要翻开的网页地址,实际上翻开的网页地址与目的地址不一致;用户访问网页,瑞星杀毒软件监控提示木马病毒报警,但是全盘查杀木马病毒,并未扫描出木马病毒;本地查杀没有病毒木马,但是用户账号密码被盗
三、ARP欺骗原理如下图,正常情况下,PCA
192.
168.
0.1向PCB
192.
168.
0.2发送数据时,会先在自己的ARP缓存表中查看是否有PCB的IP地址,如果有,那么会找到此IP地址对应的MAC地址,向此MAC地址发送数据如果PCA在自己的ARP缓存表中未发现PCB的IP地址,那么PCA会在网络中发送一个播送,查找此IP对应的MAC地址此时,网络上其他主机并不会相应此ARP询问只有PCB接收到这个消息时,会回应PCB
192.
168.
0.2的MAC地址bb・bb-bb・bb这样,PCA就可以向PCB通讯了,而且PCA会将此对应信息记录到自己的缓存表中,下次再访问就可以直接通过ARP缓存表查看发生ARP攻击时,例如,PC
3192.
168.
0.3感染了ARP病毒它会在局域网内发送伪造的ARPREPLY包,内容如下,PCB
192.
168.
0.2的MAC地址为cc-cc-cc-cco这样,所有的接收到此包的客户端PCAPCD在访问PCB
192.
168.
0.2的时候,就会变成先访问PCC这样,PCC就成功获取了PCAPCD发送的消息当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线用户访问网站,效劳器时,输入的用户名密码等信息会被病毒主机盗取用户访问网页被替换成挂马网页,瑞星监控在用户访问该网页时会提示发现木马病毒,但是用户本地查杀未发现病毒
四、解决方案
1.用户可以选择安装瑞星个人防火墙或瑞星全功能杀毒软件,开启ARP欺骗防御中的防御规那么绑定网关的IP地址和MAC地址后能够有效地防止ARP攻击设置界面如图:确定敏
2.用户可以使用ARP-S命令,手动绑定网关的IP地址与MAC地址但是此种方式在客户端重新启动后会失效,需要重新绑定。