廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 4303 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
superwisely
個人文章 個人相簿 個人日記 個人地圖
小有名氣
級別: 小有名氣 該用戶目前不上站
推文 x6 鮮花 x22
分享: 轉寄此文章 Facebook Plurk Twitter 版主評分 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x1
[資訊教學] ARP技術資料
早期出現的ARP攻擊在網路的示顯情況如下:
ping路由器的LAN IP出現Packets loss
然後又連上
這很有可能是中了ARP攻擊
顯示如下圖。

Pinging 192.168.0.1 with 32 bytes of data:
Reply from 192.168.0.1: bytes=32 time=2ms TTL=64
Reply from 192.168.0.1: bytes=32 time=1ms TTL=64
Request timed out.
Request timed out
Reply from 192.168.0.1: bytes=32 time=1ms TTL=64
Reply from 192.168.0.1: bytes=32 time=1ms TTL=64

為了進一步確認
我們可以通過查找ARP表來判斷。

輸入ARP -a命令,顯示如下圖。

C:\WINDOWS>arp -a
Interface: 192.168.0.100 --- 0x2
Internet Address Physical Address Type
192.168.0.1 00-11-95-f1-08-38 dynamic
192.168.0.100 00-0e-35-ff-6f-54 static
192.168.0.111 00-11-95-f1-08-38 dynamic

在上述出現的IP資料中
192.168.0.1 and 192.168.0.111所出現的MAC Address
都是00-11-95-f1-08-38
這就是標準的ARP攻擊會出現的MAC Address重覆問題。

在上述的ARP攻擊模式主要是那該單機的MAC Address
改成跟ROUTE一樣的MAC Address
以便將其原本導向ROUTE的封包導至該單機以達到ARP攻擊效果。

其簡易解決的方式就是將其ROUTE的MAC Address
在單機上直接設定成靜態ARP即可。
指令如下:

RouteIP MAC Address
arp -d
arp -s 192.168.0.111 00-11-95-f1-08-38。


在新型ARP攻擊一樣是出現在PING的過程中出現Packets loss。

Pinging 192.168.0.1 with 32 bytes of data:
Reply from 192.168.0.1: bytes=32 time=2ms TTL=64
Reply from 192.168.0.1: bytes=32 time=1ms TTL=64
Request timed out.
Request timed out
Reply from 192.168.0.1: bytes=32 time=1ms TTL=64
Reply from 192.168.0.1: bytes=32 time=1ms TTL=64

但是在檢查arp table卻找不到有相同MAC Address
而且就算是指定的靜態arp也是一樣無法改善Packets loss的問題,

檢查發現這是因為ARP攻擊並沒有將單機自身的MAC Address
改成ROUTE MAC Address而是將ROUTE所接收到的IP對映的MAC Address
都改成該單機本身的MAC Address

故在arp -a的清單中找不到重覆的MAC Address。
請在Route中執行輸入show arp命令,顯示如下圖。

Protocol Address Age (min) Hardware Addr Type Interface
Internet 210.242.221.197 133 0015.f29b.8165 ARPA FastEthernet0/0
Internet 210.242.221.196 132 0015.f29b.8165 ARPA FastEthernet0/0
Internet 210.242.221.199 188 0015.f29b.8165 ARPA FastEthernet0/0
Internet 210.242.221.193 4 0017.31c4.3cdf ARPA FastEthernet0/0
Internet 210.242.221.195 119 0015.f29b.8165 ARPA FastEthernet0/0
Internet 210.242.221.194 0 0015.f299.a270 ARPA FastEthernet0/0

上述Hardware Addr就是MAC Address
在上述資料中會發現不同的IP卻出現相同的MAC Address
請依MAC Address與arp -a所出現的MAC Address進行比對

就會出現其對映MAC Address的正確IP為何
在一般的ARP攻擊與新型出現的ARP攻擊

最大的差別在於一般的ARP攻擊
是針對單機的MAC Address修改成ROUTE的MAC Address

所以當出現斷線是是全場的大斷線
而新型出現的ARP攻擊
由於不一定修改了所有的IP對映的MAC Address
故在斷線時也是只有在MAC Address有修改的單機

防治新型方式:
最簡易的方式就是進行ARP的雙向靜態設定
所謂的雙向靜態設定是指在單機及ROUTE or 頻寬管理器上
同時將全場的單機MAC Address靜態設定

但針對ROUTE進行ARP靜態設定維護不易
在單機換IP或換網卡都必須重新設定故建議採購頻寬管理器以利維護

限制:
對進行ARP的雙向靜態設定時
並不是設定了雙向靜態設定就是所有的單機都不會被攻擊
雙向靜態設定主要的功能是可以避免區網內有人在進行ARP攻擊而產生影響
但對於在攻擊的那一台單機一樣還是有可能出現LAG及斷線的情形

此文章被評分,最近評分記錄
財富:50 (by upside) | 理由: 感謝提供資訊 數位男女因你而豐富



Hello~
獻花 x1 回到頂端 [樓 主] From:台灣中華電信 | Posted:2006-11-13 17:40 |
YukiPhoenix 手機
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x1 鮮花 x301
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

就是這個!
最近掛BT常常被這"阻斷式封包"攻擊...
難怪我老是斷線

以下三套軟體可以預防:
Necut (原本用來攻擊別人的,2.0版以後可以預防攻擊)
Anti-Netcut (只要一個按鍵就可以預防只要一個按鍵就可以預防,小巧簡單)
AntiArpSniffer (這套軟體除可以預防還可以反擊攻擊你的人...)


[ 此文章被雪‧鳳凰在2006-11-13 22:03重新編輯 ]


獻花 x0 回到頂端 [1 樓] From:台灣數位聯合 | Posted:2006-11-13 21:57 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.068128 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言