컴퓨터 지식 네트워크 - 컴퓨터 프로그래밍 - ARP 공격이란 무엇인가? 자세한 점은 문장 출처가 가장 좋다.

ARP 공격이란 무엇인가? 자세한 점은 문장 출처가 가장 좋다.

내 포럼 bbs.wglm.net

www.wglm.net

ARP 공격 원칙 및 해결 방법

고장 원인

LAN 내 누군가가 ara 를 사용하고 있다

장애 원칙

장애 원리를 이해하려면 먼저 ARP 프로토콜에 대해 살펴보겠습니다. < P > LAN 에서 IP 주소는 ARP 프로토콜을 통해 두 번째 계층 물리적 주소 (MAC 주소) 로 변환됩니다. ARP 프로토콜은 네트워크 보안에 큰 의미가 있습니다. IP 주소와 MAC 주소를 위조하여 ARP 스푸핑을 구현함으로써 네트워크에서 대량의 ARP 트래픽을 생성하여 네트워크를 차단할 수 있습니다.

ARP 프로토콜은 주소 확인 프로토콜 (Address Resolution Protocol) 의 약어입니다. LAN 에서 네트워크에서 실제로 전송되는 것은 대상 호스트의 MAC 주소가 있는 "프레임" 입니다. 이더넷에서 한 호스트가 다른 호스트와 직접 통신하려면 대상 호스트의 MAC 주소를 알아야 합니다. 그러나이 대상 MAC 주소는 어떻게 얻습니까? 주소 확인 프로토콜을 통해 얻습니다. 주소 확인이란 호스트가 프레임을 보내기 전에 대상 IP 주소를 대상 MAC 주소로 변환하는 프로세스입니다. ARP 프로토콜의 기본 기능은 대상 장치의 IP 주소를 통해 대상 장치의 MAC 주소를 쿼리하여 원활한 통신을 보장하는 것입니다. < P > TCP/IP 프로토콜이 설치된 각 컴퓨터에는 다음 표에 표시된 대로 MAC 주소와 일치하는 ARP 캐시 테이블이 있습니다.

호스트 IP 주소 MAC 주소

a 192.168.16.1 aa-aa-aa-aa-aa-aa

b 192.168.16.2b b-b-b-b-b-b

c192.168.16.3 cc-cc-cc-cc-cc-cc-cc-cc 192.168.16.4 DD-DD-DD-DD-DD-DD

우리는 호스트 A(192.168.16.1) 를 호스트 b (192. 데이터를 전송할 때 호스트 a 는 자체 ARP 캐시 테이블에서 대상 IP 주소가 있는지 확인합니다. 찾으면 대상 MAC 주소를 알고 대상 MAC 주소를 프레임에 직접 쓰면 됩니다. ARP 캐시 테이블에서 해당 IP 주소를 찾을 수 없는 경우 호스트 a 는 "FF.FF.FF.FF.FF.FF" 라는 대상 MAC 주소로 네트워크에서 브로드캐스트를 보냅니다. 즉, 동일한 네트워크 세그먼트 내의 모든 호스트에 "192.168" 이라는 질문을 보냅니다 네트워크의 다른 호스트는 ARP 문의에 응답하지 않습니다. 호스트 B 가 이 프레임을 수신할 때만 호스트 A 에 "192.168.16.2 의 MAC 주소는 B-B B B-B B B-B-B" 라고 응답합니다. 이렇게 하면 호스트 A 가 호스트 B 의 MAC 주소를 알고 호스트 B 에 정보를 보낼 수 있습니다. 또한 자체 ARP 캐시 테이블을 업데이트하고 다음에 호스트 B 에 정보를 보낼 때 ARP 캐시 테이블에서 직접 찾으면 됩니다. ARP 캐시 테이블은 에이징 메커니즘을 사용하여 일정 기간 동안 테이블의 행이 사용되지 않을 경우 삭제되므로 ARP 캐시 테이블의 길이를 크게 줄이고 쿼리 속도를 높일 수 있습니다. < P > 위에서 알 수 있듯이 ARP 프로토콜의 기초는 LAN 내 모든 사람을 신뢰하는 것이므로 이더넷에서 ARP 스푸핑을 쉽게 실현할 수 있습니다. 대상 A 를 속이고, A 가 핑 호스트 C 로 가서 DD-DD-DD-DD-DD-DD 주소로 보냈습니다. 사기를 할 때 C 의 MAC 주소를 DD-DD-DD-DD-DD-DD-DD-DD 로 속여서 A 가 C 로 보낸 패킷이 D 로 전송됩니다. 이것은 정확히 D 가 A 가 보낸 패킷을 받을 수 있는 것이 아닌가, 스니핑이 성공했다.

A 는 이 변화에 대해 전혀 의식하지 못했지만, 다음 일은 A 를 의심하게 했다. A 와 C 가 연결되어 있지 않기 때문입니다. D 도킹 A 가 C 로 보낸 패킷을 C 로 전달하지 않았습니다.

ARP 리디렉션을 위해 "man in the middle" 을 수행합니다. D 의 IP 전달 기능을 켜고 A 가 보낸 패킷은 라우터처럼 C 로 전달됩니다. 그러나 D 가 ICMP 리디렉션을 전송하면 전체 계획이 중단됩니다.

D 는 전체 패킷의 수정 전달을 직접 수행하고, A 가 C 로 보낸 패킷을 캡처하여 모두 수정한 후 C 로 전달하고, C 가 수신한 패킷은 완전히 A 에서 보낸 것으로 간주합니다. 그러나 C 에서 보낸 패킷은 다시 C 에 대한 ARP 스푸핑을 하면 A 로 직접 전달됩니다. 이제 D 는 완전히 A 와 C 의 중간 다리가 되어 A 와 C 사이의 통신에 대해 손금 보듯 알 수 있다. < P > 증상 < P > LAN 내 한 호스트가 ARP 스푸핑 트로이 목마 프로그램을 실행할 때 LAN 내 모든 호스트와 라우터를 속여 모든 인터넷 트래픽이 바이러스 호스트를 통과해야 합니다. 다른 사용자들은 원래 라우터를 통해 직접 인터넷에 접속했고 지금은 바이러스 호스트를 통해 인터넷에 접속했고, 전환할 때 사용자가 한 번 선을 끊는다. < P > 바이러스 호스트로 전환한 후 사용자가 이미 레전드 서버에 로그인했다면 바이러스 호스트는 종종 단절된 가짜 이미지를 위조하기 때문에 사용자는 레전드 서버에 다시 로그인해야 바이러스 호스트가 도적할 수 있다. (윌리엄 셰익스피어, 레전드, 레전드, 레전드, 레전드, 레전드, 레전드, 레전드) < P > ARP 스푸핑 트로이 목마 프로그램이 발작할 때 대량의 패킷을 보내 LAN 통신 정체와 자체 처리 능력 제한으로 인해 사용자는 인터넷 접속 속도가 점점 느려지는 것을 느낄 수 있다. ARP 스푸핑 트로이 목마 프로그램이 작동을 멈추면 사용자는 라우터에서 인터넷 접속을 재개하고 전환 중 사용자가 다시 한 번 선을 끊는다.

HiPER 사용자는 ARP 스푸핑 트로이 목마 빠른 발견

라우터의 시스템 내역에서 다음과 같은 많은 정보를 볼 수 있습니다 (44 이후 라우터 소프트웨어 버전에서만 볼 수 있음):

MAC chged 1.128.13.124 < 8

이 메시지는 사용자의 MAC 주소가 변경되었음을 나타냅니다. ARP 스푸핑 트로이 목마가 실행되면 LAN 의 모든 호스트의 MAC 주소가 바이러스 호스트의 MAC 주소로 업데이트됩니다 (즉, 모든 정보의 MAC New 주소가 바이러스 호스트의 MAC 주소로 일관되게 동일함). 라우터의 "사용자 통계" 에서 모든 사용자의 MAC 주소 정보를 볼 수 있습니다. < P > 라우터의' 시스템 내역' 에서 대량의 MAC Old 주소가 일치하는 경우 LAN 내에서 ARP 스푸핑 (ARP 스푸핑 트로이 목마 프로그램이 작동을 멈추면 호스트가 라우터에서 실제 MAC 주소를 복구함) 이 발생한 것입니다.

LAN 에서 바이러스 호스트 찾기

위에서 우리는 이미 ARP 스푸핑 트로이 목마를 사용하는 호스트의 MAC 주소를 알고 있다면 NBTSCAN (다운로드 주소: mand) 을 사용하여 나타나는 DOS 창에 c:/nbtscan-r11 을 입력할 수 있습니다

c:/documents and settings/Alan > C:/nbtscan -r 192.168.16.1/ 24

warning:-r option not supported under windows.running without it.

doing NBT name scan for addresses from 24

IP address NetBIOS name server user MAC address

----------- ----

192.168.16. send to failed: cannot assign requested address

192.16 Server> < Unknown> -E-4c-4d-96-C6

192.168.16.111 llf < Server> 관리자 -22-55-66-77-88

192.168.16.121 utt-hiper < Server> < Unknown> -d-87-26-7d-78

192.168.16.175 JC < Server> < Unknown> -7-95-E-7c-D7

192.168.16.223 test 123 < Server> Test123 -d-87-d-58-5f

3) IP--MAC 매핑 테이블을 쿼리하여' d87d585f' 바이러스 호스트의 IP 주소가' 192 .. < P > 해결 아이디어

1, 네트워크 보안 신뢰 관계를 IP 기반 또는 MAC 기반 (rarp 에도 사기 문제가 있음) 에 구축하지 말고 이상적인 관계는 IP+MAC 를 기반으로 해야 합니다.

2, 정적 MAC 설정-> IP 매핑 테이블, 호스트가 설정한 변환 테이블을 새로 고치지 않도록 합니다.

3, 필요한 경우가 아니면 ARP 사용을 중지하고 ARP 를 해당 테이블에 영구 항목으로 저장합니다.

4, ARP 서버 사용. 이 서버를 통해 자신의 ARP 변환 테이블을 찾아 다른 시스템의 ARP 방송에 응답합니다. 이 ARP 서버가 해킹되지 않았는지 확인합니다.

5, "프록시" 프록시 IP 를 사용한 전송.

6, 하드웨어 차폐 호스트 사용. IP 주소가 합법적 인 경로에 도달 할 수 있도록 경로를 설정하십시오. (정적 구성 라우팅 ARP 항목) 스위칭 허브와 브리지를 사용해도 ARP 스푸핑을 막을 수 없습니다.

7, 관리자는 정기적으로 응답한 IP 패킷으로 rARP 요청을 받은 다음 ARP 응답의 신뢰성을 확인합니다.

8, 관리자는 정기적으로 폴링하여 호스트의 ARP 캐시를 확인합니다.

9, 방화벽을 사용하여 네트워크를 지속적으로 모니터링합니다. SNMP 를 사용할 경우 ARP 스푸핑으로 인해 트랩 패킷이 손실될 수 있습니다.

HiPER 사용자의 솔루션 < P > 은 사용자에게 양방향 바인딩 접근 방식을 사용하여 ARP 스푸핑을 방지하고 방지할 것을 권장합니다.

1, PC 에 라우터 바인딩 IP 및 MAC 주소:

1) 먼저 라우터 인트라넷의 MAC 주소 (예: HiPER 게이트웨이 주소 192.168.16.254 의 MAC 주소 22aa22aa & HiPER 관리 인터페이스-포트 구성-LAN 포트 MAC 주소 > ) 을 참조하십시오.

2) 배치 파일 rarp.bat 를 다음과 같이 작성합니다.

@ echo off

ARP-d

ARP-s192.168.16.254

이 배치 소프트웨어를 "windows-- 시작-프로그램-시작" 으로 끕니다.

3) 피시방의 경우 유료 소프트웨어 서버측 프로그램 (pubwin 또는 모든 것이 가능) 을 이용하여 배치 파일 rarp.bat 를 모든 클라이언트의 시작 디렉토리로 보낼 수 있습니다. Windows2 의 기본 시작 디렉토리는 "c:/documents and settings/all users 시작 메뉴 프로그램 시작" 입니다.

2, 라우터에 사용자 호스트의 IP 및 MAC 주소 바인딩 (44 이후 라우터 소프트웨어 버전 지원): < P > HiPER 관리 인터페이스-고급 구성-사용자 관리에서 LAN 의 각 호스트를 바인딩합니다.

참고 문헌

Refdom 이 쓴' 스위칭 네트워크의 스니핑 및 ARP 스푸핑',

Nbtscan 소프트웨어 소스 cat.org/software/nbtscan.html

上篇: 국내 최고의 가발 브랜드 下篇: 자동차 코팅이란 무엇인가요?
관련 내용