病毒、木马ARP攻击行为的原理分析及解决思路(2)
来源:asp之家 发布时间:2010-02-21 08:56:00
实验内容:
1.首先 让我们先了解一下ARP协议的数据结构:
typedefstructarphdr
{
unsignedshortarp_hrd;//硬件类型 使用的硬件(网络访问层)类型一般为 0806(ARP)
unsignedshortarp_pro;//协议类型 解析过程中的协议使用以太类型的值一般为000110M以太网)
unsignedchararp_hln;//硬件地址长度 对于以太网和令牌环来说,其长度为6字节
unsignedchararp_pln;//协议地址长度 IP的长度是4字节
unsignedshortarp_op;ARP操作类型 指定当前执行操作的字段 1为请求,2为应答
unsignedchararp_sha[6];/*发送者的硬件地址
unsignedlongarp_spa;//发送者的协议地址
unsignedchararp_tha[6];//目标的硬件地址
unsignedlongarp_tpa;//目标的协议地址
}ARPHDR,*PARPHDR;
下面,假设中毒机器的硬件地址是AA-AA-AA-AA-AA-AA,IP地址是192.168.1.5,受影响机器B的硬件地址是BB-BB-BB-BB-BB-BB,IP地址是192.168.1.51.为了便于说明,我们在B机器上用Sniffer Pro工具先获得发送目标为192.168.1.51的 ARP数据包,
由于A中病毒不断发送ARP请求包,我们很容易获得。如图:
现在我们结合图中上半部分的协议解析来分析下半部分的代码的意义,
共有四行每行都标了号
00行,ff ff ff ff ff ff 广播地址,每个同网段用户都能收到。
aa aa aa aa aa aa 发送方的硬件地址
08 06 指使用ARP协议
10行,00 01 10M 以太网
08 00 使用IP协议
06 硬件地址使用6字节表示
04 协议(IP)地址使用4字节表示
00 01 ARP请求包
aa aa aa aa aa aa 发送方硬件地址
c0 a8 01 32发送方IP地址
20行,00 00 00 00 00 00 目标硬件地址
c0 a8 01 33 目标IP地址
其他数据与本文无关,暂不讨论。
仔细看一下不难发现,IP为192.168.1.5的A的IP地址被”篡改”了,A网络中宣布自己假冒是192.168.1.50。
使得与192.168.1.50通信的数据发到了192.168.1.5上,而真正的192.168.1.50则运行缓慢甚至无法上网。
2. 下面利用获取的数据包,通过SnifferPro的构造并发送数据包的功能对它进行简单的修改,我们可以模拟一种病毒攻击方式:
对照前边捕获的数据包我们看到改动处有(红线标注):
1.aa aa aa aa aa aa 硬件目的地址中毒机器A(DLC,数据链路层地址)
2.bb bb bb bb bb bb(第一组) 源硬件地址为受影响机器B(DLC)
3 bb bb bb bb bb bb(第二组) 源硬件地址为受影响机器B (ARP)
4 (c0 a8 01)32 目的IP地址为中毒机器A(ARP)
最后,我们通过Sniffer的发包工具利用不间断发送(Continuously)将其发送给192.168.1.50,将使其很快瘫痪。笔者实验环境如下:TP-LINK R402M路由器,A机器配置1.8G.RAM 1.0G 。B机器配置CPU1.0G,RAM128M,B机器发送数据包15秒左右,A机器进入“无法响应”状态。可见,如果病毒大规模爆发,造成的网络拥塞影响是十分严重的。
最后,提供几种防御ARP攻击行为的思路:
首先,需要了解一下一般解决方法,很多人知道如何捆绑MAC地址和IP地址,进入“MS-DOS方式”或“命令提示符”,在命令提示符下输入命令:ARP - s X.X.X.X YY-YY-YY-YY-YY-YY,即可把MAC地址和IP地址捆绑在一起。这样,就不会出现IP地址被盗用而不能正常使用网络的情况。从前面的分析我们知道,即使我们知道了正确的网关硬件地址,由于盗用者不断发送伪造ARP包,网关却不知道合法用户的硬件地址,而且合法用户端主机会不断产生IP冲突的警告。事实上,ARP命令是对局域网的上网代理服务器来说的,如我们提出的KB(62735)中的”APR解决方案”细节内容不在本文论述范围内。
一般说来,在网络关键设备上使用的解决盗用的方法大体上有3种方案:采用路由器将网卡MAC地址与IP地址绑定;采用高端交换机将交换机端口、网卡MAC 地址与IP地址三者绑定;代理服务器与防火墙相结合的办法。这几种方法各有优缺点,采用路由器将网卡MAC地址与IP地址绑定的方法,只能解决静态地址的修改,对于成对修改IP-MAC地址就无能为力。采用高端交换机将交换机端口、网卡MAC地址与IP地址三者绑定的方法,可以解决成对修改IP-MAC地址的问题,但高端交换机费用昂贵,而且解决冲突具有滞后性。
当我们遇到ARP类病毒时,
1 采用IP-MAC 绑定方法预防,如利用KB(62735)解决方案部署中ipmac_binds_tools.exe 防御工具
2 一旦发现无法解决的ARP病毒较复杂的攻击行为,请用户使用工具抓取病毒爆发时网络中的数据包,根据以上ARP病毒的原理,分析数据包找到频繁发送ARP的REQUEST或REPLY请求的机器,从而找到病毒源头进行查杀毒。
猜你喜欢
- 其他不再赘述,发挥二的性格,我们直奔主题。用户打开网站的整个流程中,DNS解析时第一环,当用户输入域名并敲回车后,windows系统调用DN
- 12月3日上午消息,百度贴吧今日迎来成立六周年的生日。据知情人士透露,百度贴吧已悄然启用www.tieba.com的全新独立域名,并获得国家
- 10月16日早间消息,据香港媒体报道,腾讯控股(0700.HK)大股东南非传媒集团Naspers昨日在接受采访时表示,仍然深信腾讯未来增长潜
- Google广告管理系统是一套在线广告管理系统,可以帮助广大网站主全面提高网站广告收益。通过这个系统,网站可以很方便的管理和投放网站广告,包
- 一个网站的用户体验高低是由页面各元素的设计决定的,如表单、网页文字、功能等。网页文字是网页中所占分量最大的要素,所以其设计得好坏直接整个页面
- 决定一个网站排名高低有很多种因素,而友情链接就是其中较为重要的一条。目前互联网上友情链接交换的平台如雨后春笋,这足以见得友情链接对于一个站长
- 从系统安装到用户安全设置、系统权限设置三方面进行讲解Web服务器防木马及漏洞攻击的权限配置,希望通过这篇文章可以让你的服务器更加安全。一、系
- 目前常用的文档格式有TXT、WORD、PDF等,对这些文档的搜索引擎优化方法比较简单,只要在文件标题和文档首页前面的一些文字信息中包含关键词
- 系统服务篇三47. 服务名称: SysmonLog显示名称: Performance Logs and Alerts服务描述: 收
- Godaddy主机用户可以使用一个基于网络的FTP客户端用Hosting Control Center上载、下载其网站上的文档。注意:尽管你
- 网站的运营和盈利说复杂也复杂,说简单也简单。往复杂了说,要考虑网站建设,库存,进货,防诈骗,客户服务,售后服务,运货,发货,人员管理,当然还
- 网站中发布的文章除了需要按时间、栏目分类、类别调用外,往往需要根据编辑的推荐进行不同的调用,那么CMS自然少不了推荐位功能。一般推荐位的设计
- 非常高兴鞭牛士邀请我和大家分享自己的经验,也感谢大家在周五晚上来听我讲一些网络编辑方面的东西。我简单介绍一下我的情况吧,我是93年毕业,毕业
- eWeek网络版刊文称,即使是最忠实的Google“粉丝”,也未必对其发展过程中的奇闻趣事都了如指掌
- 简单讲一些关键词排名浮动的问题主要是新站,我们要正确的看待关键词排名浮动的问题。1、关键词排名浮动不大的情况:表现为关键词会在1到2.3个页
- 前言其实,在服务器的安全设置方面,我虽然有一些经验,但是还谈不上有研究,所以我写这篇文章的时候心里很不踏实,总害怕说错了会误了别人的事。本文
- 做网络推广几年了,天天在几个站长站潜水,文章天天看但基本没写过,总觉得说来说去就那么些东西。前段时间研究了下Twitter类网站,Twitt
- Lighttpd Apache Apache还是Lighttpd?Lighttpd (也称Lighty),用于高性能
- Bluehost 建立于 1996 年,已经具有了十几年的虚拟主机服务经验,现已突破 100 万的网站托管数量,并且还以稳定速度向前发展。B