arp病毒系列——攻击类型
到目前为止,我所见闻的arp病毒攻击导致局域网几乎瘫痪的事例已经不下3次了,而且非常巧的是:每次都是将近学校考试、大批同学新下四楼更新IP-Mac的时候出现!严重的时候你根本就ping不通网关!完全堵塞了网络!如此惹人烦的arp病毒,我们该怎么办?通过资料我了解到了它的攻击方式,大概有以下8种:
1.arpDdos攻击:
arpDdos攻击是最为常见的,就是连续大量发送正常ARP请求包,耗费主机带宽。这种攻击在局域网里面意义不算太大,例如ADSL猫,发送ARP请求,几分终就会让它死掉,这种数据包是属于正常包,不会被arp防火墙和交换机过滤掉。
2.arp网关欺骗
arp网关欺骗,假如客户端做了网关静态绑定,安装了arp防火墙你不能对它做欺骗,无法对它断开互连网,那我们就对网关进行arp欺骗。例如A是客户端,B是服务器。A做了防护,并你想阻断他上互联网,那么我们对B做A的欺骗,就是把B认为是台电脑,一直给他发送A的虚假地址,这种包要连续不断的,数据量要大些。
3.arp请求欺骗
ARP请求欺骗也是比较常见的,即arp的请求协议在目的IP和MAC地址上都没错误,错误是请求者的MAC地址有问题,并不真的。
4.arp全网请求欺骗
这种欺骗是请求欺骗和返回欺骗的更进一步延伸,原理就是把以太帧头的目标地址改成FF-FF-FF-FF-FF-FF就是广播到所有主机,源地址IP地址或是网关IP地址,物理地址是假的MAC地址,切记在目的IP中,是192.168.1.255组播地址
5.arp返回数据包欺骗arp返回数据包欺骗就是向主机发送arp返回数据包,这种包把IP做成网关地址,发送端的物理地址是自己的或伪造的,让对方电脑的IP--MAC地址表出现错误,当IP报文把这个硬件地址添到数据中发送就会出现找不到正确的物理出口地址.这种的防护比较简单,用ARP-S绑定网关,还有就是用arp防火墙,不过这种欺骗可能会被路由器发送的正确的地址给覆盖掉。
6.arp IP地址冲突
IP地址冲突也是ARP数据包造成的,他就是把以太网帧头地址广播,包里面的源IP地址和目的IP地址是一样,这种包是很常见的,有可能大家都不知道,每次你PC开机的时候他都会把自己IP地址广播一下,看下有没有计算机使用相同IP地址,这种广播给它定义成”免费arp”。这种广播直接用arp防火墙就可以过滤掉.其实这种包也不会造成断网,只是老弹出烦人的对话框,象长角牛网络监控就有一种是发送这样的一种包。
7.arp中间欺骗
这种欺骗是在交换机下面进行的,有人说交换环境下面数据流是安全的,下面这种攻击方式就是针对交换机.大概的流程是这样的,ABC三台电脑,A和C进行正常通讯,B发起中间攻击,B首先发送arp欺骗告诉A我B就是C,然后告诉C我B就是A.这样A和C之间的数据传输过程就被B完全给查看到了,这种欺骗也要做一个数据转发机制,不然A和C之间的通讯就会断掉,如P2P终结者就是这类欺骗。
8.arp交换机端口转发欺骗
arp交换机端口转发欺骗,即幻境网盾skiller的攻击方法:arp交换机欺骗{skiller}。原理就是改变了交换机的转发列表。这种ARP欺骗最难解决
其中、网关欺骗,IP地址冲突、arp请求欺骗我都已经见识过了,实在是让我很无语,因为最近我老听到同学抱怨又上不去网了,尤其是用小交换机的童鞋们,而且网络状况不好已经不是1、2天的事情了,持续了将近1个月,一直处于频繁掉线、无法连接的状态!!!!一个小小的arp病毒搞得整个机房的网络如此的糟糕??让身为管理员的我情何以堪啊!!!
可恶的arp病毒,爷我今儿个和你没完了!后续文章我将继续解析arp病毒产生的原理、防范办法等。
^^^^^^^^^^^^^敬请期待!^^^^^^^^^^^^^
水平所限,博客纰漏之处,望斧正!感激不尽!