ARP 스푸핑이란 무엇이며 ARP 스푸핑이란 무엇입니까?
LAN 의 네트워크 흐름은 IP 주소가 아니라 MAC 주소를 기반으로 하기 때문입니다. 따라서 MAC 주소는 A 에 존재하지 않는 MAC 주소로 위조되어 네트워크가 차단되고 A 가 C 에 ping 을 할 수 없습니다! 이것은 간단한 ARP 사기입니다.
ARP 스푸핑은 다음과 같이 나타납니다.
예를 들어 호스트 A 가 호스트 B 와 통신하려면 호스트 A 가 로컬 ARP 테이블을 찾아 호스트 B 의 MAC 주소를 찾아 전송합니다. 호스트 A 가 호스트 B 의 MAC 주소를 찾지 못하면 호스트 A 는 ARP 브로드캐스트 패킷을 보냅니다. 이 ARP 브로드캐스트 패킷을 받으면 호스트 B 는 자체 MAC 주소로 호스트 A 에 응답합니다. 그런 다음 호스트 a 는 로컬 ARP 캐시 테이블에 호스트 b 의 IP 및 MAC 주소 정보를 생성합니다. (성능은 기본적으로 300 초 동안 저장됩니다.)
ARP 스푸핑 해결 방법
사례 1: LAN 내 호스트가 ARP 바이러스에 감염되면 LAN 내 모든 호스트 (네트워크 세그먼트 (예: 10. 10.75.0) 에 ARP 스푸핑 공격이 전송되어 자신이 있는 것으로 가장합니다.
두 번째는 LAN 내 일부 사용자가 ARP 스푸핑 프로그램 (예: 네트워크 법 집행관, QQ 해커 소프트웨어 등) 을 사용했다는 것이다. ) ARP 스푸핑 가방을 보내서 공격당한 컴퓨터가 갑자기 인터넷을 할 수 없게 되었지만, 시간이 지나면 다시 인터넷을 할 수 있게 되어 반복적으로 연결이 끊겼다.
ARP 사기의 구체적인 원리는 제가 수집한 자료를 보세요. ARP 스푸핑의 원칙 사용자가 위에서 언급한 의심스러운 상황을 발견하면 다음을 통해 진단할 수 있습니다.
"시작" 버튼을 클릭하십시오-> 실행->; "ARP-d”- d" 를 입력하고 "확인" 버튼을 클릭한 다음 다시 인터넷을 시도합니다. 정상으로 돌아갈 수 있다면 인터넷 차단은 ARP 사기로 인한 것일 수 있습니다.
참고 ARP -d 명령은 로컬 ARP 테이블을 지우고 재구축하는 데 사용됩니다. ARP–D 명령은 ARP 스푸핑에 저항할 수 없으며, 실행 후에도 다시 ARP 공격을 받을 수 있습니다. 1. 중독자: 트렌드 기술 SysClean 도구나 기타 바이러스 백신 소프트웨어를 사용하여 바이러스를 제거하는 것이 좋습니다.
2. 피해자: (1) 게이트웨이 MAC 주소 바인딩. 구체적인 방법은 다음과 같습니다.
1) 먼저 라우터 인트라넷의 MAC 주소를 가져옵니다 (예: 게이트웨이 주소 10. 10.75.254 의 MAC 주소는 0022aa0022aa). 2) 배치 파일 AntiArp.bat 를 다음과 같이 작성합니다: @ echo off ARP-darp-s10.10.75.25400
파일의 게이트웨이 IP 주소와 MAC 주소를 자신의 게이트웨이 IP 주소와 MAC 주소로 변경하기만 하면 됩니다. 컴퓨터를 다시 시작한 후 다시 바인딩해야 합니다. 배치 파일 AntiArp.bat 를 "windows-시작-프로그램-시작" 으로 끌 수 있습니다. 이 배치는 시작 시 실행됩니다.
(2) Arp 방화벽 (예: AntiArp) 소프트웨어를 사용하여 ARP 공격으로부터 보호합니다.
AntiArp 소프트웨어는 프롬프트 상자에 바이러스 호스트의 MAC 주소를 표시합니다. 첫 번째 트릭: 스니퍼로 가방을 잡는다.
네트워크의 모든 호스트에서 패킷 캡처 소프트웨어를 실행하여 이 컴퓨터에 도달하는 모든 패킷을 캡처합니다. 만약 당신이 IP 를 계속 보내고 있는 것을 발견한다면.
ARP 요청 패키지, 그럼 이 컴퓨터는 일반적으로 바이러스의 원천이다. 원칙: 어떤 ARP 바이러스 변종이든 두 가지 표현 방식이 있다. 하나는 게이트웨이 사기이고, 하나는 네트워크의 모든 호스트를 속이는 것이다. 결과적으로 게이트웨이의 ARP 캐시 테이블에서 네트워크의 모든 활성 호스트의 MAC 주소는 중독 호스트의 MAC 주소입니다. 네트워크에 있는 모든 호스트의 ARP 캐시 테이블에서 게이트웨이의 MAC 주소도 중독 호스트의 MAC 주소가 됩니다. 전자는 게이트웨이에서 호스트로의 네트워크 패킷이 중독 호스트로 전송되도록 보장하고, 반면, 호스트가 게이트웨이로 전송하는 패킷은 중독 호스트로 전송됩니다.
두 번째 트릭: ARP -a 명령을 사용하여 인터넷에 접속할 수 없는 호스트 두 대를 자유롭게 선택하고 DOS 명령 창에서 ARP -a 명령을 실행합니다. 예를 들어, 두 컴퓨터는 게이트웨이의 IP 와 MAC 주소 외에192.168.0.186 의 IP 를 포함한다면 이 호스트가 바이러스의 소스라고 단정할 수 있다. 원칙: 일반적으로 네트워크의 호스트는 게이트웨이와만 통신합니다. 일반적으로 호스트의 ARP 캐시에는 게이트웨이의 MAC 주소만 있어야 합니다. 다른 호스트의 MAC 주소가 있으면 로컬 호스트와 이 호스트 사이에 데이터 통신이 있는 것입니다. 한 호스트 (예: 위의192.168.0.186) 가 게이트웨이도 아니고 서버도 아니지만 네트워크의 다른 호스트와의 통신 활동이 있는 경우
세 번째 트릭: DOS 명령 창에서 tracert 명령을 사용하여 영향을 받는 호스트에서 다음 명령을 실행합니다. tracert 61.135.6438+079.438+048. 기본 게이트웨이가 10.8.6. 1 이라고 가정하면 엑스트라넷 주소를 추적할 때 첫 번째 홉은10.8.6./kloc-입니다 원칙: 중독 호스트는 영향을 받는 호스트와 게이트웨이 사이에서' 중개인' 역할을 한다. 잘못된 MAC 주소로 인해 게이트웨이에 도착해야 하는 모든 패킷이 중독 호스트로 전송됩니다. 이 시점에서 중독 호스트가 인계되어 기본 게이트웨이 역할을 합니다.