廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2865 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
superwisely
個人文章 個人相簿 個人日記 個人地圖
小有名氣
級別: 小有名氣 該用戶目前不上站
推文 x6 鮮花 x22
分享: 轉寄此文章 Facebook Plurk Twitter 版主評分 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[心得分享] ARP病毒攻擊過原理分析
ARP Spoofing攻擊原理分析
在局域網中,通過ARP協議來完成IP地址轉換為第二層物理地址(即MAC地址)的。
ARP協議對網路安全具有重要的意義。
通過偽造IP地址和MAC地址實現ARP欺騙,
能夠在網路中產生大量的ARP通信量使網路阻塞或者實現「man in the middle」
進行ARP重定向和嗅探攻擊。
用偽造源MAC地址發送ARP響應包,對ARP高速快取機制的攻擊。

每個主機都用一個ARP高速快取存放最近IP地址到MAC硬體地址之間的映射記錄。
MS Windows高速快取中的每一條記錄(條目)的生存時間一般為60秒,
起始時間從被創建時開始算起。

預設情況下,ARP從快取中讀取IP-MAC條目,快取中的IP-MAC條目是根據ARP響應包動態變化的。
因此,只要網路上有ARP響應包發送到本機,即會更新ARP高速快取中的IP-MAC條目。

攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP快取中的IP-MAC條目,
造成網路中斷或中間人攻擊。

ARP協議並不只在發送了ARP請求才接收ARP應答。當電腦接收到ARP應答封包的時候,
就會對本地的ARP快取進行更新,將應答中的IP和 MAC地址存儲在ARP快取中。
因此,B向A發送一個自己偽造的ARP應答,
而這個應答中的資料為發送方IP地址是192.168.10.3
(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD
(C的MAC地址本來應該是CC-CC-CC-CC-CC-CC,這裡被偽造了)。
當A接收到B偽造的ARP應答,就會更新本地的ARP快取(A可不知道被偽造了)。

當攻擊源大量向局域網中發送虛假的ARP信息後,就會造成局域網中的機器ARP快取的崩潰。

Switch上同樣維護著一個動態的MAC快取,它一般是這樣,首先,交換機內部有一個對應的列表,
交換機的連接埠對應MAC地址表Port n <-> Mac記錄著每一個連接埠下面存在那些MAC地址,
這個表開始是空的,交換機從來往資料畫格中學習。因為MAC-PORT快取表是動態更新的,
那麼讓整個 Switch的連接埠表都改變,對Switch進行MAC地址欺騙的Flood,
不斷發送大量假MAC地址的封包,Switch就更新MAC-PORT快取,
如果能通過這樣的辦法把以前正常的MAC和Port對應的關係破壞了,
那麼Switch就會進行泛洪發送給每一個連接埠,讓Switch基本變成一個 HUB,
向所有的連接埠發送封包,要進行嗅探攻擊的目的一樣能夠達到。
也將造成Switch MAC-PORT快取的崩潰,如下下面交換機中日誌所示:

Internet 172.20.156.1       0   000b.cd85.a193 ARPA   Vlan256

Internet 172.20.156.5       0   000b.cd85.a193 ARPA   Vlan256

Internet 172.20.156.254         0   000b.cd85.a193 ARPA   Vlan256

Internet 172.20.156.53         0   000b.cd85.a193 ARPA   Vlan256

Internet 172.20.156.33         0   000b.cd85.a193 ARPA   Vlan256

Internet 172.20.156.13       0   000b.cd85.a193 ARPA   Vlan256

Internet 172.20.156.15       0   000b.cd85.a193 ARPA   Vlan256

Internet 172.20.156.14       0   000b.cd85.a193 ARPA   Vlan256



如有不對之處 請多多指教

此文章被評分,最近評分記錄
財富:50 (by upside) | 理由: 感謝提供資訊 數位男女因你而豐富



Hello~
獻花 x1 回到頂端 [樓 主] From:台灣中華電信 | Posted:2006-11-15 17:10 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.012069 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言