文档库 最新最全的文档下载
当前位置:文档库 › Arp 技术

Arp 技术

Arp 技术

Arp 技术(MAC地址绑定)

在能上网的电脑上运行cmd,进入MS—DOS窗口,输入命令:arp -a 查看网关192.168.1.254对应的正确MAC地址是00-0e-6a-a2-bf-a9(每一台电脑是不同的),(注意其类型是动态:dynamic,可以被改变的),再到另一台不能上网的电脑上运行arp -a,查看网关MAC被改变了,方法:将网络断掉(禁用网卡或拔掉网线),先运行一次命令arp -d将arp缓存表中的内容清空,再运行arp -s 192.168.1.254 00-0e-6a-a2-bf-a9对网关IP和MAC地址进行绑定。然后运行arp -a 查看arp缓存表。这时网关ip和MAC地址已经被绑定,类型变为静态(static),就不会再受攻击了。(说明手工绑定重启后就失效了,需要再次绑定)因此我们可以新建一个文本文档,键入内容:

Arp -d

Arp -s 192.168.1.254 00-0e-6a-a2-bf-a9

保存后将文件名更名为arp.dat 以建立一个批处理文件,在每次计算机重启后运行即可。但是有时打不开网页,FTP服务器也不能登录,MAC地址又被改变了。方法:在360arp防火墙的“综合设置”,“手工设置”(不能选自动获取),添加IP和MAC即可。

下载一个MAC地址扫描器“MAC地址查询扫描器V1.8增强版”

实验二 ARP欺骗实验

实验二ARP欺骗实验 【实验目的】 加深对ARP高速缓存的理解 了解ARP欺骗在网络攻击中的应用 【实验原理】 ARP欺骗是黑客常用的攻击手段之一,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通过发送ARP应答包通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,―网络掉线了‖。 ARP表是IP地址和MAC地址的映射关系表,任何实现了IP协议栈的设备,一般情况下都通过该表维护IP地址和MAC地址的对应关系,这是为了避免ARP 解析而造成的广播数据报文对网络造成冲击。 【实验环境】 需要使用协议编辑软件进行数据包编辑并发送;IP地址分配参考如下表所示。 设备IP地址Mac地址后缀 HostA 10.28.23.112 44-37-e6-10-77-81 HostB 10.28.23.168 28-92-4a-56-15-c2 设备连接即两台个人电脑。

【实验内容】 搭建网络实现ARP地址欺骗过程 防范ARP地址欺骗 【实验步骤】 一、设定环境(在实验中应根据具体实验环境进行实验) (1)根据环境拓扑图设定网络环境,并测试连通性。 (2)需要使用协议编辑软件进行数据包编辑并发送。 二、主机欺骗 (1)获得设定网络中各主机的IP地址和MAC地址,Ping网关。如图2-1、图 2-2 图2-1 图2-2

网络ARP欺骗的类型与防范方法

ARP欺骗,是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接,对局域网的安全性与稳定性有比较强的破坏力。 ARP概念 1.ARP欺骗原理: 黑客C经过收到A发出的ARP Request广播报文,能够偷听到A的 (IP, MAC) 地址, 黑客C就伪装为B,告诉A (受害者) 一个假MAC地址(这个假地址是C的MAC地址),使得A在发送给B的数据包都被黑客C截取,而A, B 浑然不知。 2.欺骗种类: 1、截获网关发出的数据。 欺骗源通过ARP报文通知网关一系列错误的内网MAC-IP地址关系,并按照一定的频率不断进行,使网关的ARP缓存表中不能保存正常的地址信息中,结果网关的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。 2、伪造网关 欺骗源把自己伪装成网关,向局域网内的主机发送ARP应答或免费ARP报文。使得局域网内的主机误以为欺骗源的MAC是网关MAC地址。使得原本流向网关的数据都被错误地发送到欺骗源。 3、伪造主机 欺骗源C把自己伪装成局域网内的另一台主机B,使得局域网内发往B的报文都流向了C。 伪造主机的过程与伪造网关类似。 3.防范技术: 1、在网关和主机上设备静态ARP表项,这样欺骗ARP报文携带的信息与静态表项不同, 会被忽略。 仅适合于小规模局域网,不适合于DHCP。 2、在交换机上限制每个端口的ARP表项数量。端口上仅能够学习有限数量的ARP表项。 如果设置为1,则只允许一个ARP表项被学习,伪装的MAC地址就无法通过交换机。对上述[欺骗种类1]比较有较。 3、与DHCP结合。DHCP snooping的过程中,会建立DHCP表项,主机的的IP以及用户 MAC、VID、PORT、租约时间等信息组成用户记录表项,从而形成DHCP Snooping 的用户数据库。DHCP可以很清楚地知道给哪个MAC分配了哪个IP。 交换机收到ARP报文时,将收到ARP报文的源IP、源MAC、端口号、VLAN ID信息同DHCP-Snooping数据库的用户信息进行匹配。如果一致则认为合法ARP报文,按既有流程处理;否则视为非法ARP报文,丢弃处理。 4、在交换机端收集所有ARP报文信息,一但MAC和对应的IP有变动,发出警告。

防arp简单方法-静态绑定网关(整理)

静态绑定网关MAC 简单方法:手工绑定: (1).确定用户计算机所在网段 (2).查出用户网段网关IP (3).根据网关IP查出用户网段网关Mac,本地查询: (4).用命令arp -s 网关IP 网关MAC静态绑定网关IP和MAC 举例: (1).确定用户计算机所在网段 开始->程序->附件->命令提示符,打开命令提示符窗口,输入ipconfig命令,查出用户正常分配到的IP地址: 本机IP: 10.13.2.62 网关IP: 10.13.2.254 (2).IP为10.13.3.254 的网关的MAC地址为00-0b-46-01-01-00 (4).在命令提示符窗口中输入以下命令 arp –d //清空ARP缓存 arp -s 10.13.2.254 00-0b-46-01-01-00 //静态绑定网关MAC地址arp –a //查看ARP缓存记录

=============================================== 由于手工绑定在计算机关机重启后就会失效,需要再次重新绑定 可以采用批处理的方式,完成上述步骤,同时使之开机运行即可 使用arp命令静态绑定网关MAC,格式如下: arp -s 网关IP 网关MAC 如果觉得每次手动输入比较复杂,您可以编写一个简单的批处理文件然后让它每次开机时自动运行, 批处理文件如下: ----------------------------------- @echo off echo 'arp set' arp -d arp -s 网关IP 网关MAC exit ------------------------------------

华为怎么配置配置ARP

配置配置ARP 组网需求 如图所示,Switch的接口GE0/0/1通过LAN Switch(即LSW)连接主机,接口GE0/0/2通过路由器Router连接Server。要求: GE0/0/1属于VLAN2,GE0/0/2属于VLAN3。 为了适应网络的快速变化,保证报文的正确转发,在Switch的接口VLANIF2上配置动态ARP 的参数。 为了保证Server的安全性,防止非法ARP报文的侵入,在Switch的接口GE0/0/2上增加一个静态ARP表项,Router的IP地址为10.2.2.3,对应的MAC地址为00e0-fc01-0000。 配置思路 ARP的配置思路如下: 创建VLAN,并将接口加入到VLAN中。 配置用户侧VLANIF接口的动态ARP的参数。 配置静态ARP表项。 数据准备 为完成此配置示例,需准备如下的数据: 接口GE0/0/1属于VLAN2,接口GE0/0/2属于VLAN3。 接口VLANIF2的IP地址为2.2.2.2,子网掩码为255.255.255.0。ARP表项老化时间为60秒,老化探测次数为2次。

LSW的IP地址为2.2.2.1,子网掩码为255.255.255.0。 Router与Switch对接的接口IP地址为10.2.2.3,子网掩码为255.255.255.0,对应的MAC 地址为00e0-fc01-0000。 操作步骤 创建VLAN,并将接口加入到VLAN中。 # 创建VLAN2和VLAN3。 system-view [Quidway] vlan batch 2 3 # 将接口GE0/0/1加入VLAN2中,接口GE0/0/2加入VLAN3中。 [Quidway] interface gigabitethernet 0/0/1 [Quidway-GigabitEthernet0/0/1] port hybrid tagged vlan 2 [Quidway-GigabitEthernet0/0/1] quit [Quidway] interface gigabitethernet 0/0/2 [Quidway-GigabitEthernet0/0/2] port hybrid tagged vlan 3 [Quidway-GigabitEthernet0/0/2] quit 配置VLANIF接口的动态ARP的参数。 # 创建接口VLANIF2。 [Quidway] interface vlanif 2# 配置接口VLANIF2的IP地址。 [Quidway-Vlanif2] ip address 2.2.2.2 255.255.255.0# 配置ARP表项老化时间为60秒。[Quidway-Vlanif2] arp expire-time 60# 配置ARP表项老化探测次数为2次。 [Quidway-Vlanif2] arp detect-times 2 [Quidway-Vlanif2] quit 配置静态ARP表项。 # 创建接口VLANIF3。 [Quidway] interface vlanif 3# 配置接口VLANIF3的IP地址。 [Quidway-Vlanif3] ip address 10.2.2.2 255.255.255.0 [Quidway-Vlanif3] quit # 配置一条静态ARP表项:IP地址为10.2.2.3,对应的MAC地址为00e0-fc01-0000,VLAN 编号为3,出接口为GE0/0/2。 [Quidway] arp static 10.2.2.3 00e0-fc01-0000 vid 3 interface gigabitethernet 0/0/2

arp欺骗原理及处理办法

故障原因 主要原因是在局域网中有人使用了ARP欺骗的木马程序,比如一些盗号的软件。 传奇外挂携带的ARP木马攻击,当局域网内使用外挂时,外挂携带的病毒会将该机器的MAC 地址映射到网关的IP地址上,向局域网内大量发送ARP包,致同一网段地址内的其它机器误将其作为网关,掉线时内网是互通的,计算机却不能上网。方法是在能上网时,进入MS-DOS窗口,输入命令:arp –a查看网关IP对应的正确MAC地址,将其记录,如果已不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网,一旦能上网就立即将网络断掉,禁用网卡或拔掉网线,再运行arp –a。 如已有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。可在MS-DOS窗口下运行以下命令:arp –s 网关IP 网关MAC。如被攻击,用该命令查看,会发现该MAC已经被替换成攻击机器的MAC,将该MAC记录,以备查找。找出病毒计算机:如果已有病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址。 故障现象 当局域网内有某台电脑运行了此类ARP欺骗的木马的时候,其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。 切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。 由于ARP欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞,用户会感觉上网速度越来越慢。当木马程序停止运行时,用户会恢复从路由器上网,切换中用户会再断一次线。 该机一开机上网就不断发Arp欺骗报文,即以假冒的网卡物理地址向同一子网的其它机器发送Arp报文,甚至假冒该子网网关物理地址蒙骗其它机器,使网内其它机器改经该病毒主机上网,这个由真网关向假网关切换的过程中其它机器会断一次网。倘若该病毒机器突然关机或离线,则其它机器又要重新搜索真网关,于是又会断一次网。所以会造成某一子网只要有一台或一台以上这样的病毒机器,就会使其他人上网断断续续,严重时将使整个网络瘫痪。这种病毒(木马)除了影响他人上网外,也以窃取病毒机器和同一子网内其它机器上的用户帐号和密码(如QQ和网络游戏等的帐号和密码)为目的,而且它发的是Arp报文,具有一定的隐秘性,如果占系统资源不是很大,又无防病毒软件监控,一般用户不易察觉。这种病毒开学初主要发生在学生宿舍,据最近调查,现在已经在向办公区域和教工住宅区域蔓延,而且呈越演越烈之势。 经抽样测试,学校提供的赛门铁克防病毒软件企业版10.0能有效查杀已知的Arp欺骗病毒(木马)病毒。恶意软件由于国际上未有明确界定,目前暂无一款防病毒软件能提供100%杜绝其发作的解决方案,需要借助某些辅助工具进行清理。 解决思路 不要把你的网络安全信任关系建立在IP基础上或MAC基础上。 设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。

ARP欺骗攻击技术及其防范方法

校园网中的ARP欺骗的分析与防御研究一、什么是ARP协议 要想了解ARP欺骗攻击的原理,首先就要了解什么是ARP协议。ARP是地址转换协议的英文缩写,它是一个链路层协议,工作在OSI模型的第二层,在本层和硬件接口间进行联系,同时为上层(网络层)提供服务。 我们知道,二层的以太网交换设备并不能识别32位的IP地址,它们是以48位以太网地址(就是我们常说的MAC地址)传输以太网数据包的。因此IP地址与MAC地址之间就必须存在一种对应关系,而ARP协议就是用来确定这种对应关系的协议。 ARP工作时,首先请求主机发送出一个含有所希望到达的IP地址的以太网广播数据包,然后目标IP的所有者会以一个含有IP和MAC地址对的数据包应答请求主机。这样请求主机就能获得要到达的IP地址对应的MAC地址,同时请求主机会将这个地址对放入自己的ARP表缓存起来,以节约不必要的ARP通信。ARP 缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用(Windows系统这个时间为2分钟,而Cisco路由器的这个时间为5分钟),就会被删除。通过下面的例子我们可以很清楚地看出ARP的工作机制。 假定有如下五个IP地址的主机或者网络设备,它们分别是: 主机A 192.168.1.2 主机B 192.168.1.3 网关C 192.168.1.1 主机D 10.1.1.2 网关E 10.1.1.1 假如主机A要与主机B通信,它首先会检查自己的ARP缓存中是否有192.168.1.3这个地址对应的MAC地址,如果没有它就会向局域网的广播地址发送ARP请求包,大致的意思是192.168.1.3的MAC地址是什么请告诉192.168.1.2,而广播地址会把这个请求包广播给局域网内的所有主机,但是只有192.168.1.3这台主机才会响应这个请求包,它会回应192.168.1.2一个ARP 包,大致的意思是192.168.1.3的MAC地址是02-02-02-02-02-02。这样的话主机A就得到了主机B的MAC地址,并且它会把这个对应的关系存在自己的ARP 缓存表中。之后主机A与主机B之间的通信就依靠两者缓存表里的MAC地址来通信了,直到通信停止后2分钟,这个对应关系才会从表中被删除。 再来看一个非局域网内部的通信过程。假如主机A需要和主机D进行通信,它首先会发现这个主机D的IP地址并不是自己同一个网段内的,因此需要通过网关来转发,这样的话它会检查自己的ARP缓存表里是否有网关192.168.1.1对应的MAC地址,如果没有就通过ARP请求获得,如果有就直接与网关通信,然后再由网关C通过路由将数据包送到网关E,网关E收到这个数据包后发现是送给主机D(10.1.1.2)的,它就会检查自己的ARP缓存,看看里面是否有10.1.1.2对应的MAC地址,如果没有就使用ARP协议获得,如果有就是用该MAC地址与主机D通信。 通过上面的例子我们知道,在以太局域网内数据包传输依靠的是MAC地址,IP地址与MAC对应的关系依靠ARP表,每台主机(包括网关)都有一个ARP缓

ARP静态绑定批处理文件脚本详细讲解

ARP静态绑定批处理文件脚本详细讲解 网上流传了很多对付ARP欺骗的批处理脚本,本文是对比较流行的一个脚本加以注释和讲解,希望对广大51CTO网友和网管员有用。 网上流传了很多对付ARP欺骗的批处理脚本,本文是对比较流行的一个脚本加以注释和讲解,希望对广大51CTO网友和网管员有用。原批处理文件如下: @echo off if exist ipconfig.txt del ipconfig.txt ipconfig /all >ipconfig.txt if exist phyaddr.txt del phyaddr.txt find "Physical Address" ipconfig.txt >phyaddr.txt for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M if exist IPAddr.txt del IPaddr.txt find "IP Address" ipconfig.txt >IPAddr.txt for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I arp -s %IP% %Mac% del ipaddr.txt del ipconfig.txt del phyaddr.txt exit 现在以//开头的为我的解释 @echo off //关闭命令回显

if exist ipconfig.txt del ipconfig.txt //如果存在ipconfig.txt 这个文件就对其进行删除 ipconfig /all >ipconfig.txt //把ipconfig /all 命令的显示结果写入ipconfig.txt if exist phyaddr.txt del phyaddr.txt //如果存在phyaddr.txt 这个文件就对其进行删除 find "Physical Address" ipconfig.txt >phyaddr.txt //在ipconfig.txt 文件里查找Physical Address 字段的内容并将其字段内容写入phyaddr.txt for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M //在phyaddr.txt 文件中从第一行象下跳两行,也就是从第三行开始,从第12个符号处取值,并把该值设置成MAC 变量,举个例子:Physical Address. . . . . . . . . : 00-E0-FC-0C-A8-4F,每一个连续的数值为一个符号 符号1:Physical 符号2:Address. 符号3:. 符号4:. 符号5:. 符号6:. 符号7:. 符号8:. 符号9:.

ARP欺骗 -攻击原理和防范

ARP欺骗/ MITM(Man-In-The-Middle)攻击原理和防范 一、MITM(Man-In-The-Middle) 攻击原理 按照 ARP 协议的设计,为了减少网络上过多的 ARP 数据通信,一个主机,即使收到的 ARP 应答并非自己请求得到的,它也会将其插入到自己的 ARP 缓存表中,这样,就造成了“ ARP 欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个 ARP 应答包,让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可。在这种嗅探方式中,黑客所在主机是不需要设置网卡的混杂模式的,因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。 这里举个例子,假定同一个局域网内,有 3 台主机通过交换机相连: A 主机: IP 地址为 192.168.0.1 , MAC 地址为 01:01:01:01:01:01 ; B 主机: IP 地址为 192.168.0.2 , MA C 地址为 02:02:02:02:02:02 ; C 主机: IP 地址为 192.168.0.3 , MAC 地址为 03:03:03:03:03:03 。 B 主机对 A 和 C 进行欺骗的前奏就是发送假的 ARP 应答包,如图所示 在收到 B主机发来的ARP应答后,A主机应知道: 到 192.168.0.3 的数据包应该发到 MAC 地址为 020********* 的主机; C 主机也知道:到 192.168.0.1 的数据包应该发到 MAC 地址为 020********* 的主机。这样, A 和 C 都认为对方的 MAC 地址是 020********* ,实际上这就是 B 主机所需得到的结果。当然,因为 ARP 缓存表项是动态更新的,其中动态生成的映射有个生命期,一般是两分钟,如果再没有新的信息更新, ARP 映射项会自动去除。所以, B 还有一个“任务”,那就是一直连续不断地向 A 和 C 发送这种虚假的 ARP 响应包,让其 ARP缓存中一直保持被毒害了的映射表项。 现在,如果 A 和 C 要进行通信,实际上彼此发送的数据包都会先到达 B 主机,这时,如果 B 不做进一步处理, A 和 C 之间的通信就无法正常建立, B 也就达不到“嗅探”通信内容的目的,因此, B 要对“错误”收到的数据包进行一番修改,然后转发到正确的目的地,而修改的内容,无非是将目的 MAC 和源MAC 地址进行替换。如此一来,在 A 和 C 看来,彼此发送的数据包都是直接到达对方的,但在 B 来看,自己担当的就是“第三者”的角色。这种嗅探方法,

ARP绑定网关及批处理

ARP绑定网关及批处理 一.WINDOWS下绑定ARP绑定网关 步骤一: 在能正常上网时,进入MS-DOS窗口,输入命令:arp -a,查看网关的IP对应的正确MA C地址,并将其记录下来。 注意:如果已经不能上网,则先运行一次命令arp -d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话)。一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp -a。 步骤二: 如果计算机已经有网关的正确MAC地址,在不能上网只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。 要想手工绑定,可在MS-DOS窗口下运行以下命令: arp -s 网关IP 网关MAC 例如:假设计算机所处网段的网关为192.168.1.1,本机地址为192.168.1.5,在计算机上运行arp -a后输出如下: Cocuments and Settings>arp -a Interface:192.168.1.5 --- 0x2 Internet Address Physical Address Type 192.168.1.1 00-01-02-03-04-05 dynamic 其中,00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址,类型是动态(dynamic)的,因此是可被改变的。 被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找该攻击的机器做准备。 手工绑定的命令为: arp -s 192.168.1.1 00-01-02-03-04-05 绑定完,可再用arp -a查看arp缓存: Cocuments and Settings>arp -a Interface: 192.168.1.5 --- 0x2 Internet Address Physical Address Type 192.168.1.1 00-01-02-03-04-05 static 这时,类型变为静态(static),就不会再受攻击影响了。 但是,需要说明的是,手工绑定在计算机关机重启后就会失效,需要再次重新绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,把病毒杀掉,才算是真正解决问题。作批处理文件 在客户端做对网关的arp绑定,具体操作步骤如下: 步骤一: 查找本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上网时,“开始→运行→cmd→确定”,输入:arp -a,点回车,查看网关对应的Physical Address。 比如:网关192.168.1.1 对应00-01-02-03-04-05。 步骤二: 编写一个批处理文件rarp.bat,内容如下:

ARP解决方案及配置

ARP解决方案及配置 目录 第1章防ARP攻击功能介绍1-1 1.1 ARP攻击简介1-1 1.2 ARP攻击防御1-3 1.2.2 DHCP Snooping功能1-3 1.2.3 ARP入侵检测功能1-4 1.2.4 ARP报文限速功能1-4 1.3 防ARP攻击配置指南1-5 第2章配置举例2-1 2.1 组网需求2-1 2.2 组网图2-2 2.3 配置思路2-2 2.4 配置步骤2-3 2.5 注意事项2-6 防ARP攻击配置举例 关键词:ARP、DHCP Snooping 摘要:本文主要介绍如何利用以太网交换机DHCP监控模式下的防ARP攻击功能,防止校园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪等攻击形式。同时,详细描述了组网中各个设备的配置步骤和配置注意事项,指导用户进行实际配置。 缩略语:ARP(Address Resolution Protocol,地址解析协议) MITM(Man-In-The-Middle,中间人攻击) 第1章防ARP攻击功能介绍 近来,许多校园网络都出现了ARP攻击现象。严重者甚至造成大面积网络不能正常访问外网,学校深受其害。H3C公司根据校园网ARP攻击的特点,给出了DHCP监控模式下的防ARP攻击解决方案,可以有效的防御“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP 泛洪攻击”等校园网中常见的ARP攻击方式;且不需要终端用户安装额外的客户端软件,简化了网络配置。 1.1ARP攻击简介 按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。 校园网中,常见的ARP攻击有如下几中形式。 (1)仿冒网关 攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来,主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。 图1-1 “仿冒网关”攻击示意图 (2)欺骗网关

使用Sniffer进行ARP地址欺骗

使用Sniffer进行ARP地址欺骗 声明:本实验教程仅限于学习用,不能用于其他非法用途,否则后果自负。 1、实验目的 1、掌握常见ARP欺骗类型和手段 2、掌握ARP协议工作原理和格式 3、掌握防范ARP地址欺骗的方法和措施 4、掌握Sniffer Pro软件的使用 2、实验环境 硬件:交换机1 台、路由器1台、计算机数台 软件:Sinfffer pro 3、参考文档 Plummer RFC826定义了ARP标准 Clark RFC 814一般性讨论了ARP地址及绑定 Parr RFC的内容涉及容错地址转换 Malkin RFC提出了UNARP Laubach RFC 1577讨论了非广播网络中得ARP PDF 文件使用 "pdfFactory Pro" 试用版本创建https://www.wendangku.net/doc/0917061769.html, Heinaen和Govindan RFC1735 对上进行了进一步的讨论 W.Richard Stenvens TCP/IP协议详解卷1:协议 [日]村上公保 TCP/IP网络实验程序篇科学出版社 4、实验原理 数据封装过程 1)、ARP协议简介 ARP(Address Resolve Protocol)地址请求解析协议,用于寻找和IP 地址相对应的MAC 地址。在RFC 826中定义了ARP协议的数据格式和类型。ARP协议属于在网络层的下部, 可看作为网络层和数据链路层的接口,主要用于IPv4以太网。

ARP消息类型有2 种: ARP request :ARP 请求 ARP response : ARP应答ARP协议格式 ARP 报文中各字段的意义 硬件类型:以太网接口类型为1 协议类型:IP协议类型为080016 操作:ARP请求为1,ARP应答为2 硬件地址长度:MAC地址长度为6B

图解ASA防火墙上进行ARP绑定

图解ASA防火墙上进行ARP绑定(图) 目前我公司使用的网络全是静态IP地址,在公司里面有一台ASA5505防火墙,应领导要求,在该防火墙上面要限制某部份用户不能使用某些应用(如QQ农场等),而领导的计算机不做任何限制。为了实现这些功能,我们需要在ASA 5505防火墙上面做ARP绑定,然后再使用访问控帛列表来对这些IP地址与MAC地址进行限制。具体配置很简单,那么下面就带大家一起来看看如何在ASA 5500防火墙上面配置ARP绑定呢? 很简单的几条命令,我们就实现将下面PC的IP地址与MAC地址进行绑定了。下面我们来测试一下看看。刚才上面的IP地址与MAC地址是我笔记本无线网卡的IP地址与MAC地址(如下图)。 我们ping 192.168.0.199(防火墙内网接口地址)看看能否正常通信。

从上图我们可以看见,通过我们的无线网卡能够正常的去与我们防火墙内部接口正常通信。那么下面我将我无线网卡上面的IP地址换至有线网卡上面再测试,这样我有线网卡的MAC地址就不能与防火墙上面设置的MAC 地址匹配(如下图)。 那么我们现在再来看看能不能正常进行通信呢(如下图) 从这里我们可以很明显的看见,他不能与我们防火墙进行通信,而这样就已经实现了IP地址与MAC地址对应以后才能正常通过防火墙出去。但是这样有一点我们大家很容易忽略的,就是我们只将我们需要用的地址进行IP与MAC绑定,而其他没有用的就没有绑,那么人有使用没有绑定IP地址与MAC地址的IP去访问互联网,是能够正常出去的。下面我们来试试,我现在将我的IP地址改成192.168.0.2,这个IP地址在我当前的网络中是没有使用的,在防火墙上面也没有对该IP地址进行MAC地址绑定。 这时候我们再ping一下防火墙的内网接口地址看看能否正常通信呢?

网卡ARP静态开机绑定

通过NETSH命令解决网卡ARP学习不正常的案例 设备配置: 服务器端双网卡配置,ETH0 IP 192.168.8.253 255.255.255.0;ETH1 IP 10.3.0.8 255.255.255.0。所接设备为三台基站设备(服务器到基站由于传输需要经过两台交换机,一对光电转换),IP地址分别为192.168.8.112、192.168.8.113、192.168.8.114。服务器及基站均为静态固定IP。 故障表现: 网卡正常工作一段时间后,三台基站会相继掉线(三台基站不是同时掉),通过抓包软件,发现服务器能收到基站的广播包,但无法PING通,服务器运行arp -a 发现ETH0 网卡ARP表中丢失基站的映射信息。 通过常规手段在服务器运行ARP –S 192.168.8.X XX-XX-XX-XX-XX-XX后,提示命令无法执行。 故障分析: 重启基站/交换机后,基站与服务器能PING通,但过段时间后,仍会相断掉线,排除是基站设备和交换机的问题导致。故障定位于服务器所接网卡问题,但目前仍无得出是什么问题导致网卡的ARP学习不正常。 故障排除: 在服务器上运行命令netsh I I show in得到192.168.8.253所在的网卡IDX号 如图所示,ETH0所对应的IDX 为11 新建一个批处理文件导入服务器启动项,编辑以下信息并保存后,重启服务器 netsh -c "i i" add neighbors 11 192.168.8.112 基站MAC地址(格式为XX-XX-XX-XX-XX-XX)netsh -c "i i" add neighbors 11 192.168.8.113基站MAC地址(格式为XX-XX-XX-XX-XX-XX)netsh -c "i i" add neighbors 11 192.168.8.114基站MAC地址(格式为XX-XX-XX-XX-XX-XX)

Cisco环境下解决ARP欺骗的两种技术

Cisco环境下解决ARP欺骗的两种技术 https://www.wendangku.net/doc/0917061769.html, 2008-09-05 12:58 佚名 IT168 我要评论(2) ?摘要:ARP欺骗原理简单,利用的是免费ARP来达到欺骗主机上面的网关arp表项。这里介绍cisco 环境下解决ARP欺骗的2个技术:dhcp snooping和ARP inspection。 ?标签:ARP网关欺骗Cisco ? Oracle帮您准确洞察各个物流环节网上有好多求助ARP病毒防范办法,其实ARP欺骗原理简单,利用的是ARP协议的一个“缺陷”,免费ARP来达到欺骗主机上面的网关的arp表项的。 免费ARP当时设计出来是为了2个作用的: 1.IP地址冲突检测 2.ARP条目自动更新,更新网关。 arp欺骗就是利用这里面的第二条,攻击的主机发送一个arp更新,条目的ip地址是网关,但是mac地址一项,却不是网关,当其他主机接受到,会根据arp协议的规则,越新的越可靠的原则,达到欺骗的目的。虽然arp不是tcp/ip协议簇中的一员,但是鉴于以太网的大行其道,所以放弃动态ARP协议,使用手动方式的来来做arp映射,好像不大现实(个别情况除外)。 介绍下cisco网络环境下解决这个问题的思路: 其实这里面使用到了2个技术:dhcp snooping和ARP inspection 一.dhcp snooping DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。 当交换机开启了DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外, DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP 地址。 作用: 1.dhcp-snooping的主要作用就是隔绝非法的dhcp server,通过配置非信任端口。

华为交换机 01-02 ARP配置

2 ARP配置关于本章 ARP(Address Resolution Protocol)是一种地址解析协议。通过ARP协议,建立IP地 址与MAC地址之间的映射,实现以太网数据帧在物理网络中的传送。 2.1 ARP概述 ARP提供了一种将IP地址解析为MAC地址的解析机制,是以太网通信的基础。 2.2 设备支持的ARP特性 ARP可以分为静态和动态两种。设备还支持一些扩展ARP的应用,比如Proxy ARP、出 口ARP检测EAI(Egress ARP Inspection)功能以及配置IP地址冲突检测功能。 2.3 缺省配置 介绍ARP相关参数的缺省配置。 2.4 配置静态ARP 配置静态ARP表项可以增加通信的安全性。 2.5 优化动态ARP ARP表项动态学习是主机和交换机本身就具有的功能,并且设备的缺省状态即为ARP表 项动态学习,不需要使用命令启动此功能。但根据网络需要,用户可以调整动态ARP 的一些参数。 2.6 配置Proxy ARP 交换机可以作为ARP请求中目标主机的代理,代为回答一些特殊情况下不可达的ARP请 求。 2.7 配置出口ARP检测功能 配置出口ARP检测功能,设备可以限制ARP报文的转发范围,防止ARP报文在VLAN内 广播,减小了VLAN内的网络负荷。 2.8 配置IP地址冲突检测功能 配置IP地址冲突检测功能,设备可以通过ARP报文检测网络中存在的IP地址冲突。 2.9 维护ARP 维护ARP包括清除ARP表项、监控ARP运行状况。 2.10 配置举例 配置示例中包括组网需求、配置思路等。

2.1 ARP概述 ARP提供了一种将IP地址解析为MAC地址的解析机制,是以太网通信的基础。 当主机或其它网络设备有数据要发送给另一个主机或设备时,它需要知道对方的网络 层地址(即IP地址)。但是仅有IP地址是不够的,IP数据报文必须封装成帧才能通过物 理网络发送,因此发送方还必须有接收方的物理地址,这就需要一个从IP地址到物理 地址的映射。地址解析协议ARP(Address Resolution Protocol)可以将IP地址解析为 MAC地址。 2.2 设备支持的ARP特性 ARP可以分为静态和动态两种。设备还支持一些扩展ARP的应用,比如Proxy ARP、出 口ARP检测EAI(Egress ARP Inspection)功能以及配置IP地址冲突检测功能。 动态ARP和静态ARP对比 ARP表项分为动态ARP表项和静态ARP表项。动态ARP和静态ARP的概念、表项生成与 维护情况和应用场景如表2-1所示。 表2-1动态ARP与静态ARP对比表 ARP支持的扩展应用 ARP还支持扩展应用,如表2-2所示。

H3C防ARP解决与方案及配置

H3C防ARP解决方案及配置 ARP, 方案 目录 第1章防ARP攻击功能介绍 1-1 1.1 ARP攻击简介 1-1 1.2 ARP攻击防御 1-3 1.2.2 DHCP Snooping功能 1-3 1.2.3 ARP入侵检测功能 1-4 1.2.4 ARP报文限速功能 1-4 1.3 防ARP攻击配置指南 1-5 第2章配置举例 2-1 2.1 组网需求 2-1 2.2 组网图 2-2 2.3 配置思路 2-2 2.4 配置步骤 2-3 2.5 注意事项 2-6 防ARP攻击配置举例 关键词:ARP、DHCP Snooping 摘要:本文主要介绍如何利用以太网交换机DHCP监控模式下的防ARP攻击功能,防止校园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪等攻击形式。同时,详细描述了组网中各个设备的配置步骤和配置注意事项,指导用户进行实际配置。 缩略语:ARP(Address Resolution Protocol,地址解析协议) MITM(Man-In-The-Middle,中间人攻击) 第1章防ARP攻击功能介绍 近来,许多校园网络都出现了ARP攻击现象。严重者甚至造成大面积网络不能正常访问外网,学校深受其害。H3C公司根据校园网ARP攻击的特点,给出了DHCP监控模式下的防ARP攻击解决方案,可以有效的防御“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方式;且不需要终端用户安装额外的客户端软件,简化了网络配置。 1.1 ARP攻击简介 按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。 校园网中,常见的ARP攻击有如下几中形式。 (1) 仿冒网关

实验三:ARP欺骗工具及原理分析

实验三:ARP欺骗工具及原理分析 一、实验目的 1.熟悉ARP欺骗攻击工具的使用 2.熟悉ARP欺骗防范工具的使用 3.熟悉ARP欺骗攻击的原理 二、实验准备 1.要求实验室内网络是连通的,组内每台计算机均可以访问另外一台计算机。 2.下载相关工具和软件包(ARP攻击检测工具,局域网终结者,网络执法官,ARPsniffer 嗅探工具)。 三、实验说明 本实验所介绍的工具软件使用起来都比较方便,操作起来也不是很难,但是功能或指令却不止一种,所以实验中只介绍其中的某一种用法。其他的则可"触类旁通"。 四、实验涉及到的相关软件下载: ARP攻击检测工具 局域网终结者 网络执法官 ARPsniffer嗅探工具 五、实验原理 1、ARP及ARP欺骗原理: ARP(Address Resolution Protocol)即地址解析协议,是一种将IP地址转化成物理地址的协议。不管网络层使用什么协议,在网络链路上传送数据帧时,最终还是必须使用硬件地址的。而每台机器的MAC地址都是不一样的,具有全球唯一性,因此可以作为一台主机或网络设备的标识。目标主机的MAC地址就是通过ARP协议获得的。 ARP欺骗原理则是通过发送欺骗性的ARP数据包致使接收者收到数据包后更新其ARP 缓存表,从而建立错误的IP与MAC对应关系,源主机发送数据时数据便不能被正确地址接收。 2、ARPsniffer使用原理: 在使用该工具时,它会将网络接口设置为混杂模式,该模式下工具可以监听到网络中传输的所有数据帧,而不管数据帧的目的地是自己还是其他网络接口的地址。嗅探器会对探测到的每一个数据帧产生硬件数据中断,交由操作系统处理,这样就实现了数据截获。 3、局域网终结者使用原理: 一个主机接收到与自已相同IP发出的ARP请求就会弹出一个IP冲突框来。利用局域网终结者可以伪造任一台主机的IP向局域网不停地发送ARP请求,同时自已的MAC也是伪造的,那么被伪造IP的主机便会不停地收到IP冲突提示,致使该主机无法上网。这便构成了局域网终结者的攻击原理。 4、网络执法官使用原理: 网络执法官原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地

网络安全实验2 ARP欺骗实验

实验1 ARP地址欺骗 声明:本实验教程仅限于实验室教学和实验用,不能用于其他非法用途,否则后果自负。 1、实验目的 1、掌握常见ARP欺骗类型和手段 2、掌握ARP协议工作原理和格式 3、掌握防范ARP地址欺骗的方法和措施 4、掌握Sniffer Pro软件的使用 2、实验环境 硬件:交换机1台、路由器1台、计算机数台 软件:Sinfffer pro

Heinaen和Govindan RFC1735 对上进行了进一步的讨论 W.Richard Stenvens TCP/IP协议详解卷1:协议 [日]村上公保TCP/IP网络实验程序篇科学出版社 4、实验原理 数据封装过程 1)、ARP协议简介 ARP(Address Resolve Protocol)地址请求解析协议,用于寻找和IP地址相对应的MAC 地址。在RFC 826中定义了ARP协议的数据格式和类型。ARP协议属于在网络层的下部,可看作为网络层和数据链路层的接口,主要用于IPv4以太网。 ARP消息类型有2种: ARP request :ARP 请求 ARP response :ARP应答 ARP协议格式

ARP报文格式 以太网帧的格式:

ü源MAC地址:发送方的MAC地址 ü源IP地址:发送方的IP地址 ü目的MAC地址:ARP请求中该字段没有意义;ARP响应中为接收方的MAC地址 ü目的IP地址:ARP请求中为请求解析的IP地址;ARP响应中为接收方的IP地址 ARP协议的改进 高速缓存技术 高速缓冲区中ARP表项新鲜性的保持:计时器 目的主机接收到ARP请求后将源主机的IP地址与物理地址映射关 系存入自己的高速缓冲区 主机启动时主动广播自己的IP地址与物理地址的映射关系 5、实验步骤 1)掌握常用的ARP常用命令 ARP命令: 功能:用于查看、添加和删除高速缓存区中的ARP表项 高速缓冲区中的ARP表项 表项添加后两分钟内没有被再次使用:删除 表项被再次使用:增加2分钟的生命周期

相关文档
相关文档 最新文档