首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
网络知识 :: 网络安全

局域网内如何防止ARP欺骗


http://www.gipsky.com/
对于ARP欺骗,提出几点加强安全防范的措施。环境是主机或者网关是基于Linux/BSD的。



<B>一、理论前提</B>



  本着“不冤枉好人,不放过一个坏人的原则”,先说说我的一些想法和理论依据。首先,大家肯定发送ARP欺骗包肯定是一个恶毒的程序自动发送的,正常的TCP/IP网络是不会有这样的错误包发送的(板砖扔了过来啊,废话!)。这就假设,如果犯罪嫌疑人没有启动这个破坏程序的时候,网络环境是正常的,或者说网络的ARP环境是正常的,如果我们能在犯罪嫌疑人启动这个犯罪程序的第一时间,一开始就发现了他的犯罪活动,那么就是人赃俱在,不可抵赖了,因为刚才提到,前面网络正常的时候证据是可信和可依靠的。好,接下来我们谈论如何在第一时间发现他的犯罪活动。



  ARP欺骗的原理如下:



  假设这样一个网络,一个Hub接了3台机器



  HostA HostB HostC 其中



  A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA



  B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB



  C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC



  正常情况下 C:\arp -a



  Interface: 192.168.10.1 on Interface 0x1000003



  Internet Address Physical Address Type



  192.168.10.3 CC-CC-CC-CC-CC-CC dynamic



  现在假设HostB开始了罪恶的ARP欺骗:



  B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的,A这里只有192.168.10.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DD mac地址,没有和犯罪分子B相关的证据,哈哈,这样犯罪分子岂不乐死了。 本新闻共3页,当前在第1页 1 2 3
<< DoS攻击原理以及常见方法介绍 安全研究:常见的病毒术语列表 >>
API:
gipsky.com& 安信网络
网友个人意见,不代表本站立场。对于发言内容,由发表者自负责任。

系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备05056747号