Arp 공격 정보

ARP 에 대해 이야기하기 전에, 우리는 ARP 의 개념과 작동 원리를 이해하고, 문제를 더 잘 직면하고, 분석하고, 처리할 수 있도록 원리 지식을 이해해야 합니다.

1..1ARP 개념 지식

ARP, 전체 이름 주소 확인 프로토콜, 중국어는 주소 확인 프로토콜이라고 합니다. 데이터 링크 계층에서 작동하고, 해당 계층의 하드웨어 인터페이스에 연락하고, 상위 계층에 서비스를 제공합니다.

IP 패킷은 일반적으로 이더넷을 통해 전송됩니다. 이더넷 디바이스는 32 비트 IP 주소를 인식하지 못하지만 48 비트 이더넷 주소를 사용하여 이더넷 패킷을 전송합니다. 따라서 IP 대상 주소는 이더넷 대상 주소로 변환되어야 합니다. 이더넷에서 한 호스트가 다른 호스트와 직접 통신하려면 대상 호스트의 MAC 주소를 알아야 합니다. 그런데 이 목표 MAC 주소는 어떻게 얻었나요? 주소 확인 프로토콜을 통해 얻습니다. ARP 프로토콜은 네트워크의 IP 주소를 하드웨어 주소 (MAC 주소) 로 분석하여 원활한 통신을 보장하는 데 사용됩니다.

1.2ARP 작동 방식

먼저 각 호스트는 자체 ARP 버퍼에 IP 주소와 MAC 주소 간의 대응을 나타내는 ARP 테이블을 만듭니다. 소스 호스트가 타겟 호스트로 패킷을 보내야 하는 경우 먼저 해당 IP 주소에 해당하는 MAC 주소가 ARP 테이블에 있는지 확인하고, 있는 경우 패킷을 이 MAC 주소로 직접 보냅니다. 그렇지 않은 경우 로컬 네트워크 세그먼트에 ARP 요청 브로드캐스트 패킷을 전송하여 대상 호스트의 MAC 주소를 쿼리합니다. 이 ARP 요청 패킷에는 소스 호스트의 IP 주소, 하드웨어 주소 및 대상 호스트의 IP 주소가 포함됩니다. 네트워크의 모든 호스트가 이 ARP 요청을 받으면 패킷의 대상 IP 가 자체 IP 주소와 일치하는지 확인합니다. 그렇지 않은 경우 패킷을 무시합니다. 동일한 경우 호스트는 먼저 발신자의 MAC 주소와 IP 주소를 자체 ARP 목록에 추가합니다. 이 IP 정보가 이미 ARP 목록에 있는 경우 덮어쓴 다음 소스 호스트에 ARP 응답 패킷을 보내 찾아야 할 MAC 주소임을 알립니다. 소스 호스트가 이 ARP 응답 패킷을 수신하면 대상 호스트의 IP 주소와 MAC 주소가 자체 ARP 목록에 추가되고 해당 정보를 사용하여 데이터 전송이 시작됩니다. 소스 호스트가 ARP 응답 패키지를 받지 못한 경우 ARP 쿼리가 실패한 것입니다.

예를 들면 다음과 같습니다.

A 의 주소는 IP:192.168.10.1MAC: aa-aa 입니다

B 의 주소는 IP:192.168.10.2 MAC: b b-b-b-b 입니다.

위에서 설명한 원칙에 따라 이 과정을 간단히 설명하겠습니다. A 는 B 의 이더넷 주소를 알아야 B 와 통신할 수 있습니다. 그래서 A 는 ARP 요청 방송을 보냅니다 (192.168.1은 누구입니까? 결과는 내 자신과 일치했고, 나는 A 에게 ARP 유니캐스트 응답 (B-B B-B B-B 의192.168.10.2) 을 보냈다.

1.3ARP 통신 모드

모드 분석: 네트워크 분석에서 통신 모드 분석은 매우 중요합니다. 프로토콜과 애플리케이션마다 통신 모드가 다를 수 있습니다. 경우에 따라 동일한 프로토콜이 엔터프라이즈 애플리케이션마다 서로 다른 통신 모드를 가질 수 있습니다. ARP 정상적인 통신 방법은 요청->; 회신-> 요청-> 답, 바로 네가 물어야지, 대답해야 한다.

둘째, 일반적인 ARP 공격 유형

개인은 일반적인 ARP 공격에는 ARP 스캔과 ARP 스푸핑의 두 가지 유형이 있다고 생각합니다.

2. 1ARP 스캔 (ARP 요청 폭풍)

통신 모드 (가능한 경우):

요청-> 요청-> 요청-> 요청-> 요청-> 요청-> 회신-> 요청-> 요청-> 요청하다 ...

설명:

네트워크에 대량의 ARP 요청 브로드캐스트 패킷이 나타나고 네트워크 세그먼트 내의 거의 모든 호스트가 스캔됩니다. 대량의 ARP 요청 브로드캐스트는 네트워크 대역폭 자원을 사용할 수 있습니다. ARP 스캔은 일반적으로 ARP 공격의 전주곡이다.

이유 (가능한 경우):

바이러스 프로그램, 리스너, 스캐너.

네트워크 분석 소프트웨어가 제대로 구축되어 있는 경우 스위치의 일부 포트만 미러링했기 때문에 미러링되지 않은 포트에 연결된 다른 호스트에서 대량의 ARP 요청이 실행되었을 수 있습니다.

제대로 배포되지 않은 경우 이러한 ARP 요청은 스위치에 연결된 다른 호스트에서 브로드캐스트 패킷을 요청합니다.

2.2 독점 금지 사기

ARP 프로토콜은 ARP 응답을 받기 전에 ARP 요청을 보내는 것이 아닙니다. 컴퓨터가 ARP 응답 패키지를 받으면 로컬 ARP 캐시를 업데이트하고 응답의 IP 및 MAC 주소를 ARP 캐시에 저장합니다. 따라서 인터넷에서 누군가가 위조된 ARP 응답을 보내면 네트워크에 문제가 있을 수 있습니다. 이것은 프로토콜 디자이너가 처음에 고려하지 않은 것일 수 있습니다!

2.2. 1 스푸핑 원리

네트워크 환경에서 네트워크에 호스트 a, b, c 라는 세 개의 호스트가 있다고 가정합니다. 호스트에 대한 자세한 설명은 다음과 같습니다.

A 의 주소는 IP:192.168.10.1MAC: aa-aa 입니다

B 의 주소는 IP:192.168.10.2 MAC: b-b-b-b 입니다.

C 의 주소는 IP:192.168.10.3mac: cc-cc-cc-cc-cc 입니다

일반적으로 A 와 C 사이에는 통신이 있지만, 이 때 B 는 자신이 위조한 ARP 응답을 A 에 보냅니다. 이 응답의 데이터는 발신자의 IP 주소가192.168.10.3 입니다. A 가 B 가 위조한 ARP 응답을 받으면 로컬 ARP 캐시 (A 가 속임) 를 업데이트한 다음 B 가 C 로 가장하고 B 도 C 로 ARP 응답을 보냅니다. 응답 패킷에서 발신자 IP 주소 4 는192.160 입니다. 이것은 전형적인 ARP 스푸핑 과정입니다.

참고: 일반적으로 ARP 스푸핑의 한쪽은 게이트웨이여야 합니다.

2.2.2 두 가지 경우

ARP 스푸핑에는 두 가지 상황이 있습니다. 하나는 호스트를 "중개인" 으로 속이는 것이고, 스푸핑 된 호스트의 모든 데이터는 한 번 통과되어 스푸핑 된 호스트가 스푸핑 된 호스트 간의 통신 데이터를 훔칠 수 있습니다. 다른 하나는 피속된 호스트를 직접 차단시키는 것이다.

◆ 첫 번째: 데이터 도용 (스니핑)

통신 모드:

회신-> 회신-> 회신-> 회신-> 회신-> 요청-> 회신-> 회신-> 요청-> 대답 ...

설명:

이 상황은 우리가 위에서 언급한 전형적인 ARP 사기에 속한다. 호스트를 속여 속인 호스트에 대량의 위조된 ARP 응답 패킷을 보내 사기를 칩니다. 통신 쌍방이 속아 성공하면, 그들은' 중개인' 역할을 한다. 이때 피속된 호스트는 여전히 정상적으로 통신할 수 있지만, 통신 과정에서 사기꾼에게' 도청' 을 당할 뿐이다.

이유 (가능한 경우):

트로이 목마 바이러스

후각

인위적인 속임수

◆ 두 번째: 인터넷 차단을 초래한다.

통신 모드:

회신-> 회신-> 회신-> 회신-> 회신-> 회신-> 요청하다 ...

설명:

이 상황은 ARP 스푸핑 과정에서, 피속자는 그 중 하나만 속였다. 예를 들면 B 가 A 를 속였지만, 동시에 B 는 C 를 속이지 않았기 때문에 A 는 본질적으로 B 와 통신하고 있기 때문에 A 는 C 와 통신할 수 없다. 또 다른 경우는 피속자가 존재하지 않는 주소를 위조해 속이는 것일 수 있다. (존 F. 케네디, Northern Exposure (미국 TV 드라마), 성공명언)

위조된 주소의 사기 행위를 조사하는 것은 더욱 어렵다. 여기서는 TAP 장치를 차용하는 것이 가장 좋다. (허허, 이 물건은 좀 비싼 것 같다.) 단방향 데이터 스트림을 캡처하여 분석하는 것이 좋다.

이유 (가능한 경우):

트로이 목마 바이러스

인위적 파괴

일부 네트워크 관리 소프트웨어의 제어 기능

셋째, 일반적인 보호 방법

현재 ARP 공격 보호의 가장 일반적인 문제는 IP 와 MAC 바인딩, ARP 보호 소프트웨어 사용 및 ARP 보호 기능이 있는 라우터입니다. 허허, 이 세 가지 방법을 좀 배워보자.

3. 1 정적 바인딩

가장 일반적인 방법은 IP 와 MAC 의 정적 바인딩을 수행하는 것입니다. 네트워크에서 호스트와 게이트웨이는 모두 IP 와 MAC 에 의해 바인딩됩니다.

사기는 ARP 의 동적 실시간 규칙을 통해 인트라넷 시스템을 속이는 것이므로 ARP 완전 정적을 설정하여 인트라넷 PC 의 사기를 해결하는 동시에 게이트웨이에 IP 와 MAC 를 정적으로 바인딩하여 양방향 바인딩이 더 안전합니다.

방법:

각 호스트의 IP 및 MAC 주소에 대한 정적 바인딩입니다.

Arp -s 는 명령을 통해 "ARP -s IP MAC 주소" 를 구현합니다.

예: "ARP–s192.168.10.1aa-aa-;

설정이 성공하면 ARP -a: Internet Address 물리적 주소 유형을 실행하면 PC 에서 관련 프롬프트가 표시됩니다.

192.168.10.1aa-aa-aa-aa-aa 상태

일반적으로 구속력이 없습니다. 동적 인 경우:

인터넷 주소 물리적 주소 유형

192.168.10.1aa-aa-aa-aa-aa dynaa

주: 네트워크에는 많은 호스트, 500 개의 호스트, 1000 개의 호스트가 있습니다 ... 이렇게 각 호스트에 정적 바인딩을 하면 작업량이 매우 큽니다. 。 。 。 이 정적 바인딩은 컴퓨터를 다시 시작할 때마다 다시 바인딩해야 합니다. 배치 파일일 수도 있지만 귀찮아요!

3.2 ARP 보호 소프트웨어 사용

현재 ARP 에 대한 보호 소프트웨어가 많이 있습니다. 일반적으로 사용되는 ARP 도구는 주로 비상ARP 도구, Antiarp 등이 있습니다. ARP 공격 자체를 감지하는 것 외에도 보호는 특정 주파수로 정확한 ARP 정보를 네트워크에 브로드캐스트하는 방식으로 작동합니다. 먼저 이 두 가지 가제트에 대해 간단히 말씀드리겠습니다.

ARP 도구에 오신 것을 환영합니다

저는 이 도구를 사용했습니다. 5 가지 기능이 있습니다.

A.IP/MAC 목록

네트워크 카드를 선택합니다. 단일 네트워크 카드인 경우 설정할 필요가 없습니다. 여러 개의 네트워크 카드가 있는 경우 네트워크 카드를 인트라넷에 연결하도록 설정해야 합니다.

IP/MAC 검사. 현재 네트워크에 있는 모든 시스템의 IP 및 MAC 주소가 여기에서 검색됩니다. 이 표는 나중에 ARP 의 참조로 사용되므로 인트라넷이 정상적으로 작동하는 동안 스캔하십시오.

다음 기능을 사용하려면 이 테이블에 대한 지원이 필요합니다. 프롬프트가 IP 또는 MAC 를 가져올 수 없는 경우 여기에 있는 테이블에 해당 데이터가 없는 것입니다.

B.ARP 스푸핑 감지

이 기능은 항상 인트라넷에서 양식의 IP 를 모방하는 PC 가 있는지 여부를 감지합니다. 기본 IP 를 라우터, 영화 서버 및 인트라넷 시스템 액세스가 필요한 기타 시스템의 IP 와 같은 테스트 테이블로 설정할 수 있습니다.

(보충) "ARP 스푸핑 레코드" 테이블을 이해하는 방법:

"시간": 문제가 발견 된 시간;

"발신자": IP 또는 MAC 가 스푸핑 정보를 보내는 경우

"반복": 사기 메시지를 보낸 횟수;

"ARP info" 는 사기 정보를 보내는 구체적인 내용을 의미합니다. 예를 들면 다음과 같습니다.

TimesenderRepeatARP 정보 22: 22: 22192.168.1.22/kloc-0

이 메시지는 22:22:22,192.168.1.22 가 보낸 부정행위 메시지를 감지해/kloc-를 보냈다 그가 보낸 부정행위 문자 내용은 192.6438+068 이다.

감지 기능을 켜면 테이블의 IP 에 대한 사기가 있을 경우 메시지가 표시됩니다. 너는 지시에 따라 인트라넷에서 ARP 사기의 근원을 찾을 수 있다. 참, 어떤 기계라도 다른 기계로 가장하여 IP 와 MAC 를 보낼 수 있기 때문에, 어떤 IP 나 MAC 가 사기 정보를 보내고 있다는 것을 알려주더라도 반드시 100% 가 정확하지 않을 수 있습니다. 그러니 폭력으로 문제를 해결하지 마세요.

C. 사전 예방 유지 관리

이 기능은 ARP 스푸핑의 오프라인 문제를 직접 해결할 수 있지만 이상적인 방법은 아닙니다. 그의 원리는 인터넷에서 IP 의 정확한 MAC 주소를 끊임없이 방송하는 것이다.

유지 관리 객체 설정 테이블에서 보호할 IP 를 설정합니다. 패킷 전송 빈도는 초당 네트워크의 모든 시스템으로 전송되는 정확한 패킷 수입니다. 가능한 한 IP 를 적게 방송하고, 가능한 한 주파수를 적게 방송하는 것이 좋습니다. 보통 1 2 로 설정할 수 있습니다. IP 바인딩 없이 ARP 스푸핑이 발생하면 50- 100 회 설정할 수 있습니다. 여전히 탈말이 있다면 좀 더 높게 설정하여 ARP 스푸핑 문제를 신속하게 해결할 수 있습니다. 그러나 ARP 문제를 실제로 해결하려면 위의 바인딩 방법을 참조하십시오.

D. 라우터 로그에 오신 것을 환영합니다

Xinxiang 라우터 시스템 로그 및 기타 기능을 수집하십시오.

E. 가방 잡아

네트워크 분석 소프트웨어와 유사한 형식으로 저장합니다. 수도

3. 2. 1 반장갑

이 소프트웨어 인터페이스는 비교적 간단합니다. 다음은 제가 사용하는 방법입니다.

A. 게이트웨이의 IP 주소를 입력하고 [게이트웨이 주소 가져오기] 를 클릭하여 게이트웨이의 MAC 주소를 표시합니다. 현재 NIC 와 게이트웨이 간의 통신을 제 3 자가 모니터링하지 않도록 보호하려면 자동 보호 를 클릭합니다. 참고: ARP 스푸핑 프롬프트가 나타나면 공격자가 ARP 스푸핑 패킷을 전송하여 네트워크 카드의 패킷을 가져옵니다. 공격의 출처를 추적하려면 공격자의 MAC 주소를 기억하고 MAC 주소 스캐너를 사용하여 IP 에 해당하는 MAC 주소를 찾으십시오.

B.IP 주소 충돌

IP 주소 충돌이 자주 발생하는 경우 공격자가 ARP 스푸핑 패킷을 자주 전송하면 IP 충돌 경고가 나타납니다. 안티 ARP 스니퍼는 이런 공격을 막을 수 있다.

C. Windows 에서 기록하는 충돌하는 MAC 주소를 알아야 합니다. 구체적인 검사 방법은 다음과 같습니다.

마우스 오른쪽 버튼 [내 컴퓨터]-[관리]-[이벤트 뷰어] 클릭-[시스템]-소스 보기 [TCPIP]-이벤트를 두 번 클릭하여 주소 충돌을 표시하고 MAC 주소를 기록합니다. MAC 주소를 복사하여 Anti ARP Sniffer 의 로컬 MAC 주소 입력 상자에 입력하십시오 (변환 참고: to-). 입력이 완료되면. MAC 주소를 유효하게 하려면 로컬 네트워크 카드를 비활성화한 다음 네트워크 카드를 활성화하십시오. CMD 명령줄에 Ipconfig /all 을 입력하여 현재 MAC 주소가 로컬 MAC 주소 입력 상자의 MAC 주소와 일치하는지 확인합니다. 변경이 실패하면 연락 주세요. 성공하면 주소 충돌이 다시 표시되지 않습니다.

주: 기본 MAC 주소를 복원하려면 [기본값 복원] 을 누릅니다. MAC 주소를 유효하게 하려면 로컬 네트워크 카드를 비활성화한 다음 네트워크 카드를 활성화하십시오.

3.3 ARP 보호 기능이 있는 라우터

이런 라우터는 이전에 거의 들어 본 적이 없다. 이러한 라우터에서 언급한 ARP 보호 기능의 원칙은 올바른 ARP 정보를 정기적으로 보내는 것입니다. 그러나 라우터의 이 기능은 실제 공격을 해결하지 못한다.

ARP 의 가장 일반적인 특징은 연결 해제입니다. 일반적으로 일정 시간 처리하지 않으면 정상 인터넷을 회복할 수 있다. ARP 사기는 노화 시간이 있기 때문에 노화 시간이 지나면 자동으로 정상으로 돌아간다. 현재 대부분의 라우터는 짧은 시간 내에 자신의 정확한 ARP 정보를 브로드캐스트하여 사기당한 호스트를 정상으로 돌려보낸다. 그러나 공격적인 ARP 스푸핑 (사실 단시간에 수많은 스푸핑 ARP, 1 초에는 수백 개의 ARP 스푸핑 패킷이 있음) 이 있는 경우, ARP 스푸핑 패킷을 계속 발사하여 인트라넷 기계가 인터넷을 사용하지 못하도록 합니다. 라우터가 계속 정확한 패킷을 방송하더라도 대량의 오류 메시지에 잠기게 됩니다.

어쩌면 당신은 질문이 있습니다: 부정행위자보다 더 빠른 ARP 정보를 보낼 수 있을까요? 공격자가 초당 1000 개의 ARP 스푸핑 패킷을 보내면 초당 1500 개의 정확한 ARP 메시지가 전송됩니다!

위의 문제에 직면하여, 우리는 자세히 생각해 보자. 네트워크 토폴로지가 매우 크고, 많은 네트워크 장치와 호스트가 네트워크에 연결되어 있고, 많은 디바이스가 이러한 브로드캐스트 정보를 처리한다면, 네트워크 사용은 매우 불편할 것이며, 우리의 업무와 학습에 영향을 미칠 것이다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 네트워크명언) ARP 방송은 네트워크 자원의 낭비와 점유를 초래할 수 있다. 네트워크에 문제가 생기면 패킷 분석을 할 것이고, 패킷에는 이런 ARP 브로드캐스팅 패킷이 많이 생겨 분석에도 어느 정도 영향을 미칠 수 있다.