广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 2861 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
superwisely
个人文章 个人相簿 个人日记 个人地图
小有名气
级别: 小有名气 该用户目前不上站
推文 x6 鲜花 x22
分享: 转寄此文章 Facebook Plurk Twitter 版主评分 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[心得分享] ARP病毒攻击过原理分析
ARP Spoofing攻击原理分析
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。
ARP协议对网路安全具有重要的意义。
通过伪造IP地址和MAC地址实现ARP欺骗,
能够在网路中产生大量的ARP通信量使网路阻塞或者实现「man in the middle」
进行ARP重定向和嗅探攻击。
用伪造源MAC地址发送ARP响应包,对ARP高速快取机制的攻击。

每个主机都用一个ARP高速快取存放最近IP地址到MAC硬体地址之间的映射记录。
MS Windows高速快取中的每一条记录(条目)的生存时间一般为60秒,
起始时间从被创建时开始算起。

预设情况下,ARP从快取中读取IP-MAC条目,快取中的IP-MAC条目是根据ARP响应包动态变化的。
因此,只要网路上有ARP响应包发送到本机,即会更新ARP高速快取中的IP-MAC条目。

攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP快取中的IP-MAC条目,
造成网路中断或中间人攻击。

ARP协议并不只在发送了ARP请求才接收ARP应答。当电脑接收到ARP应答封包的时候,
就会对本地的ARP快取进行更新,将应答中的IP和 MAC地址存储在ARP快取中。
因此,B向A发送一个自己伪造的ARP应答,
而这个应答中的资料为发送方IP地址是192.168.10.3
(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD
(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。
当A接收到B伪造的ARP应答,就会更新本地的ARP快取(A可不知道被伪造了)。

当攻击源大量向局域网中发送虚假的ARP信息后,就会造成局域网中的机器ARP快取的崩溃。

Switch上同样维护着一个动态的MAC快取,它一般是这样,首先,交换机内部有一个对应的列表,
交换机的连接埠对应MAC地址表Port n <-> Mac记录着每一个连接埠下面存在那些MAC地址,
这个表开始是空的,交换机从来往资料画格中学习。因为MAC-PORT快取表是动态更新的,
那么让整个 Switch的连接埠表都改变,对Switch进行MAC地址欺骗的Flood,
不断发送大量假MAC地址的封包,Switch就更新MAC-PORT快取,
如果能通过这样的办法把以前正常的MAC和Port对应的关系破坏了,
那么Switch就会进行泛洪发送给每一个连接埠,让Switch基本变成一个 HUB,
向所有的连接埠发送封包,要进行嗅探攻击的目的一样能够达到。
也将造成Switch MAC-PORT快取的崩溃,如下下面交换机中日志所示:

Internet 172.20.156.1       0   000b.cd85.a193 ARPA   Vlan256

Internet 172.20.156.5       0   000b.cd85.a193 ARPA   Vlan256

Internet 172.20.156.254         0   000b.cd85.a193 ARPA   Vlan256

Internet 172.20.156.53         0   000b.cd85.a193 ARPA   Vlan256

Internet 172.20.156.33         0   000b.cd85.a193 ARPA   Vlan256

Internet 172.20.156.13       0   000b.cd85.a193 ARPA   Vlan256

Internet 172.20.156.15       0   000b.cd85.a193 ARPA   Vlan256

Internet 172.20.156.14       0   000b.cd85.a193 ARPA   Vlan256



如有不对之处 请多多指教

此文章被评分,最近评分记录
财富:50 (by upside) | 理由: 感谢提供资讯 数位男女因你而丰富



Hello~
献花 x1 回到顶端 [楼 主] From:台湾中华电信 | Posted:2006-11-15 17:10 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.050041 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言