-
1. 黑客为什么可以成功实施arp欺骗攻击
arp欺骗攻击有三种方式如下所述::
第一种是局域网主机冒充网关欺骗网内主机,导致主机访问网关的数据包均发往欺骗主机,局域网内主机无法正常上网。
第二种是欺骗网关,修改网关的ARP表项,导致网关到主机的数据包无法到达正确主机。
第三种是主机对主机的欺骗,导致正常主机之间通信中断。
攻击者冒充网关欺骗主机,使用户正常发往网关的数据流发至攻击者,导致用户无法访问外部网络。
攻击者冒充普通用户欺骗网关,使网关到用户的数据流无法到达正确用户。
攻击者冒充用户欺骗用户,使正常用户之间通信中断。
2. arp欺骗和arp攻击
命令格式是正确的,确保IP、MAC地址的正确和存在对应性,IP-MAC绑定是要双向执行才生效的,可有效防止ARP攻击和ARP欺骗,如果IP由DHCP服务器分配,IP-MAC绑定的作用将失效,手动分配IP的网络中,绑定操作重启后也失效,可把该命令建成批处理于每次启动电脑时运行
3. arp欺骗攻击可能导致的后果
ARP协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。
它是无状态的协议,不会检查自己是否发过请求包,也不管(其实也不知道)是否是合法的应答,只要收到目标MAC是自己的ARP reply包或arp广播包(包括ARP request和ARP reply),都会接受并缓存。这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至可以做“中间人”。
4. 黑客为什么可以成功实施arp欺骗攻击行为
1、检查网络设备、网线是否有损坏,排除了硬件设备故障。
2、检查内网是否经常有人大量下载或者使用P2P终结者等攻击软件。通过观察和走访发现也不是这个原因造成的,公司同事对电脑技术懂的很少,并且公司有明确规定,上班时间不允许看视频和下载东西。
3、检查内网是否存在网络病毒、网络攻击。使用sniffer抓包分析网络流量,发现内网充斥大量的异常数据,并且有ARP攻击、DDOS攻击。至此可以确定本次网络问题是由于内网攻击造成的。
确定了故障原因,下一步就是使用合适的解决办法。在使用了ARP防火墙、IP-MAC绑定之后,发现网络掉线依旧,并没有很好的改善。束手无策之际,一位师兄给我指明了方向,网络问题要用网络方法解决。
我查了大量资料,终于弄清了ARP攻击的原理:ARP不是病毒,而是一种“协议性攻击行为”,只所以称之为病毒,是因为目前ARP攻击工具的传播方式与发作现象已经愈来愈接近病毒。ARP(地址解释协议)是网络通信协议中的不可缺少的关键协议,它是负责将IP地址转换为对应MAC地址的协议。ARP的存在给了好事者可趁之机,但如果缺少了ARP协议,网络设备之间将无法进行通讯,这是为什么对ARP投鼠忌器的主要原因。
ARP病毒可分为两种,一种是ARP欺骗,一种是ARP攻击。ARP欺骗最先是黑客们偷盗网络账号使用的,后来被广泛用于类似网路岗、网络执法官之类的网络管理工具,被骗主机会将数据发送给伪装的主机,从而达到截获数据的目的。而ARP攻击纯粹是以破坏网络通讯为主要目的,发送虚假的ARP请求包或应答包,使得网络内所有主机都失去了有序的组织和联系。
ARP病毒的传播,必须有“肉鸡”,就是容易被感染的宿主机,通过得到宿主机的控制权来发送ARP欺骗、虚假的ARP请求包和应答包。由于没有明显的特征字以及ARP在网络通讯中的重要地位,防毒墙和防火墙应对ARP病毒也束手无策。所以从源头上堵住问题数据的流出,同时放行合法的ARP数据包,才是彻底摆脱ARP困扰的终极解决方案。
这是由于以太网协议存在漏洞造成的,也就是为什么ARP防火墙、360、IP-MAC绑定出现这么久之后,ARP攻击还是一直无法防治的原因,ARP防火墙、360防不了ARP攻击!
并且目前信息网络问题频出,掉线、网速慢、内网服务器访问缓慢等,很多并不在于网络设备的高级低级,也不在于防火墙、杀毒等手段的实施,它的根源就在于以太网协议存在先天漏洞、不擅长管理这两大弊端。一旦这个弊端被黑客利用,内网的每一台PC都可能成为攻击源,从内网发起攻击。而PC被感染的途径太多,访问网页、收邮件、聊天下载、移动笔记本、插U盘等等,都可能中招,防不胜防。统计数据表明,网络问题80%是内网引起的,就是这个原因。
目前的网络安全产品,防火墙、UTM防御外网对内网的攻击,杀毒软件保证单机安全,而防护内网的产品却很少。后来找到了一家专门针对内网基础安全、解决内网攻击的产品---免疫墙技术。
免疫墙能够将普通网络升级为免疫网络,从网络底层、每个终端上进行防控监测,不仅能防止本机不受攻击,还能拦截本机对外的网络攻击。安装在PC机上的免疫墙终端能够完成对MAC-IP的看守式绑定,彻底根除ARP病毒影响,即使本机中毒(删除本机的静态绑定列表),也不能对自身和网络造成影响。加固网络基础安全,填补以太网协议漏洞,能够彻底有效的解决内网攻击问题。
并且免疫墙的技术范围能够拓展到网络的最末端,深入到协议的最底层、盘查到外网的出入口、总览到内网的最全貌,使网络本身具有自主防御和管理的功能,网络可控、可管、可防、可观。
使用了免疫墙技术之后,在免疫墙的监控界面中看到了拦截了很多网络攻击,现在网络很稳定,没有再出现过掉线了。
在遇到网络问题时,我们一定要思路清晰,确定排查方案,在找到故障原因后,确定解决方案。并且要不耻下问,多向他人请教;查阅资料,了解新技术,把握网络技术的发展
5. arp安全针对欺骗攻击的解决方案有哪些
aRP协议的那些自动化额,发送大量无法识别的报文特性,又或者是识别的报文不明确的特性可被攻击者利用。
ARP泛洪攻击,也叫拒绝服务攻击DoS(Denial of Service)
主要存在这样两种场景:
1、设备处理ARP报文和维护ARP表项都需要消耗系统资源,同时为了满足ARP表项查询效率的要求,一般设备 都会对ARP表项规模有规格限制。
攻击者就利用这一点,通过伪造大量源IP地址变化的ARP报文,使得设备ARP表资源被无效的ARP条目耗尽,合法用户的ARP报文不能继续生成ARP条目,导致正常通信中断。
2、攻击者利用工具扫描本网段主机或者进行跨网段扫描时,会向设备发送大量目标IP地址不能解析的IP报文, 导致设备触发大量ARP Miss消息,生成并下发大量临时ARP表项,并广播大量ARP请求报文以对目标IP地址进行解析,从而造成CPU(Central Processing Unit)负荷过重。
2、ARP欺骗攻击
是指攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他用户主机的ARP表项,造成用户或网络的报文通信异常。
ARP攻击行为存在以下危害:
1、会造成网络连接不稳定,引发用户通信中断,导致严重的经济损失。
2、利用ARP欺骗截取用户报文,进而非法获取游戏、网银、文件服务等系统的帐号和口令,造成被攻击者重大利益损失。为了避免上述ARP攻击行为造成的各种危害,可以部署ARP安全特性。
二、原理
1、ARP报文限速原理
如果设备对收到的大量ARP报文全部进行处理,可能导致CPU负荷过重而无法处理其他业务。因此,在处理之前,设备需要对ARP报文进行限速,以保护CPU资源。
设备提供了如下几类针对ARP报文的限速功能:
1、根据源MAC地址或源IP地址进行ARP报文限速
当设备检测到某一个用户在短时间内发送大量的ARP报文,可以针对该用户配置基于源MAC地址或源IP地址的ARP报文限速。在1秒时间内,如果该用户的ARP报文数目超过设定阈值(ARP报文限速值),则丢弃超出阈值部分的ARP报文。
1.1、根据源MAC地址进行ARP报文限速:
如果指定MAC地址,则针对指定源MAC地址的ARP报文根据限速值进行限速;如果不指定MAC地址,则针对每一个源MAC地址的ARP报文根据限速值进行限速。
1.2、根据源IP地址进行ARP报文限速:
如果指定IP地址,则针对指定源IP地址的ARP报文根据限速值进行限速;如果不指定IP地址,则针对每一个源IP地址的ARP报文根据限速值进行限速。
2、针对Super VLAN的VLANIF接口下的ARP报文限速
当设备的VLANIF接口接收到触发ARP Miss消息的IP报文时,或者在设备的VLANIF接口上启用ARP代理功能之后,设备接收到目的IP符合代理条件且该IP对应的ARP条目不存在的ARP请求报文时,都会触发Super VLAN的VLANIF接口进行ARP学习。
设备会将ARP请求报文在每个Sub VLAN下复制,如果该Super VLAN下配置了大量Sub VLAN,那么设备将产生大量的ARP请求报文。
为了避免CPU因复制、发送大量ARP请求报文而负担过重,设备支持Super VLAN的VLANIF接口下的ARP报文限速功能,以对该场景下设备发送的ARP请求报文进行流量控制。
3、针对全局、VLAN和接口的ARP报文限速
设备支持在全局、VLAN和接口下配置ARP报文的限速值和限速时间,当同时在全局、VLAN和接口下配置ARP报文的限速值和限速时间时,设备会先按照接口进行限速,再按照VLAN进行限速,最后按照全局进行限速。
另外,在接口下还可以指定阻塞ARP报文的时间段。如果设备的某个接口在ARP报文限速时间内接收到的ARP报文数目超过了设定阈值(ARP报文限速值),则丢弃超出阈值部分的ARP报文,并在接下来的一段时间内(即阻塞ARP报文时间段)持续丢弃该接口下收到的所有ARP报文。
3.1、针对全局的ARP报文限速:
在设备出现ARP攻击时,限制全局处理的ARP报文数量。
3.2、针对VLAN的ARP报文限速:
在某个VLAN内的所有接口出现ARP攻击时,限制处理收到的该VLAN内的ARP报文数量,配置本功能可以保证不影响其他VLAN内所有接口的ARP学习。
3.3、针对接口的ARP报文限速:
在某个接口出现ARP攻击时,限制处理该接口收到的ARP报文数量,配置本功能可以保证不影响其他接口的ARP学习。
2、ARP Miss消息限速原理
如果网络中有用户向设备发送大量目标IP地址不能解析的IP报文(即路由表中存在该IP报文的目的IP对应的路由表项,但设备上没有该路由表项中下一跳对应的ARP表项),将导致设备触发大量的ARP Miss消息。
6. ARP欺骗攻击
网络不通问题的排查基本思路如下:1、检查物理链路是否有问题。2、查看本机IP地址、路由、DNS的设置是否有问题。3、测试网关或路由器的通畅情况。先测网关然后再测路由器,一级一级地测试。4、测试ping公网ip的通畅情况(平时要记几个外部IP)。5、测试DNS的通畅情况,可直接ping网站地址。
7. 黑客常用的攻击手段除了ip欺骗arp欺骗dos攻击之外还有
1.ping ping 主机ip或名字:一般常用于做普通网络是否通畅的测试。但是ping不同不代表网络不通,有可能是目标主机 装有防火墙并且阻止了icmp响应。 ping -t :不停的发送数据包。当然都很小,不能称作攻击。
2 net
建议是用net /?获取具体帮助信息。
3 netstat
netstat 主机:查看主机当前的tcp/ip连接状态,如端口的状态。
4 nbtstat
nbtstat 主机:查看主机使用的NetBIOS name。
5 tracerttracert 主机:查看从你自己到目标逐机到底经过了那些路径。
6 pathpingpathping 主机:类似tracert,但可以显示一些tracert不能显示出来的信息。
7 ftp字符方式的ftp
8 telnet字符方式的远程登录程序,是网络人员极其爱用的远程登录程序。
9 ipconfig 非常有用的网络配置、排错命令。
10 arp 操作当前的arp缓存。-a 显示arp缓存。-d 删除一条缓存纪录。-s 田家一条缓存纪录。
11 nslookup
排除dns错误的利器
8. 为什么arp欺骗攻击容易实现
1:ARP攻击,攻击源是局域网内某一台中毒的电脑。
2:ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
3:当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和交换机,让所有上网的流量必须经过病毒主机。其他用户原来直接通过交换机上网转由通过病毒主机上网,切换的时候用户会断一次线。
9. 黑客为什么可以成功实施arp欺骗攻击技术
ARP欺骗(英语:ARP spoofing),又称ARP毒化(ARP poisoning,网上上多译为ARP病毒)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。
此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网上上特定计算机或所有计算机无法正常连线。
最早探讨ARP欺骗的文章是由Yuri Volobuev所写的《ARP与ICMP转向游戏》(ARP and ICMP redirection games)。
10. arp欺骗攻击会导致哪些问题
解决办法: 1、关机状态 长按开机键和音量+进入recovery。
2、在recovery模式下选择两个wipe清理。3、不同手机的按键不同,自己测试一下就好。双wipe以后手机信息是完全被清理的,需要重新安装软件什么的。