광대역 중독은 연결되어 있지 않습니다! 스승님, 보세요.
고장 원리
LAN 에서 IP 주소는 ARP 프로토콜을 통해 두 번째 계층 물리적 주소 (MAC 주소) 로 변환됩니다. ARP 프로토콜은 네트워크 보안에 큰 의미가 있습니다. IP 주소와 MAC 주소를 위조하여 ARP 스푸핑을 하면 네트워크에서 대량의 ARP 트래픽을 생성하여 네트워크를 차단할 수 있습니다.
LAN 에서 두 네트워크 디바이스가 서로 통신하려면 상대방의 물리적 주소, 즉 MAC 주소를 알아야 합니다. Ip 주소와 MAC 주소의 관계는 A 동과 B 동 두 가구 샤오리와 샤오장의 관계와 같다. 샤오리가 A 동에 살고, 샤오장은 B 동에 살고, 샤오리는 건물을 사이에 두고 샤오장과 통화하고 싶다고 가정한다. 샤오리는 A 동에서 샤오장의 이름 (MAC 주소) 양쪽을 불러야 통화할 수 있다. 그렇지 않으면 샤오리가 B 동 (IP 주소) 을 향해 소리치면 대화가 있을 수 없다. 샤오리와 샤오장의 통화 전 통신은 ARP 프로토콜을 통해 이뤄졌다.
ARP 프로토콜은 "주소 확인 프로토콜" 의 약자입니다. 주소 확인이란 호스트가 프레임을 보내기 전에 대상 IP 주소를 대상 MAC 주소로 변환하는 프로세스입니다. ARP 프로토콜의 기본 기능은 대상 장치의 IP 주소를 통해 대상 장치의 MAC 주소를 쿼리하여 원활한 통신을 보장하는 것입니다.
TCP/IP 프로토콜이 설치된 각 컴퓨터에는 다음 표와 같이 IP 주소와 MAC 주소가 하나씩 일치하는 ARP 캐시 테이블이 있습니다.
호스트 a (192.168.16.1) 를 호스트 b (1) 에 사용했습니다 호스트 a 는 데이터를 전송할 때 ARP 캐시 테이블에서 대상 IP 주소를 찾습니다. 찾으면 대상 MAC 주소를 알고 대상 MAC 주소를 프레임에 직접 쓰면 됩니다. ARP 캐시 테이블에서 해당 IP 주소를 찾을 수 없는 경우 호스트 a 는 대상 MAC 주소가' FF' 인 네트워크에서 브로드캐스트를 보냅니다. FF.FF.FF.FF.FF' 는 같은 네트워크 세그먼트의 모든 호스트에'192.168.16.2 의 네트워크의 다른 호스트는 ARP 쿼리에 응답하지 않습니다. 호스트 b 만 이 프레임을 수신한 경우에만 호스트 a: "192.168.16.2 의 MAC 주소는 b-b b-b-b; 이렇게 하면 호스트 A 는 호스트 B 의 MAC 주소를 알고 호스트 B 에 정보를 보낼 수 있습니다 ... 또한 자체 ARP 캐시 테이블도 업데이트합니다. 다음에 호스트 B 에 정보를 보낼 때 ARP 캐시 테이블에서 직접 찾으면 됩니다. ARP 캐시 테이블은 노화 메커니즘을 사용합니다. 테이블의 행이 일정 기간 동안 사용되지 않으면 삭제되어 ARP 캐시 테이블의 길이를 크게 줄이고 쿼리 속도를 높일 수 있습니다.
위에서 알 수 있듯이 ARP 프로토콜은 LAN 에 있는 모든 사람을 신뢰하기 때문에 이더넷에서 ARP 스푸핑을 쉽게 수행할 수 있습니다. 타겟 a, A Ping 호스트 c 를 속여 주소 DD-DD-DD-DD-DD 로 보냅니다. 부정행위를 할 때 C 의 MAC 주소를 DD-DD-DD-DD-DD-DD-DD 로 속이면 A 가 C 에 보낸 모든 패킷이 D 로 보내집니다. D 가 A 에서 보낸 패킷을 받을 수 있는 거 아닌가요? 스니핑 성공.
A 는 이 변화를 전혀 의식하지 못했지만, 다음에 일어난 일은 의심을 불러일으켰다. A 와 c 는 연결할 수 없기 때문입니다. D a 에서 보낸 수신 패킷을 c 로 전달하지 않을 수 있습니다 .....
이것은 D 에서' 중개인' 을 하면 ARP 리디렉션이 수행된다는 것이다. D 의 IP 전달 기능을 켜면 A 에서 보낸 패킷이 라우터처럼 C 로 전달됩니다. 그러나 D 가 ICMP 리디렉션을 전송하면 전체 계획이 중단됩니다.
D 전체 패킷을 직접 수정하고 전달하고, A 가 C 로 보낸 패킷을 캡처하고, 모두 수정하여 C 로 전달하고, C 가 받은 패킷은 완전히 A 가 보낸 것으로 간주됩니다. 하지만 C 에서 보낸 패킷은 A 로 직접 전달되어 다시 ARP 가 C 를 속이는 것을 방지합니다. 이제 D 는 완전히 A 와 C 사이의 다리가 되었으니 A 와 C 사이의 교류에 대해 잘 알 수 있습니다.
문제를 해결하다
ARP 프로토콜의 결함으로 인해 모든 호스트는 ARP 패킷을 수신할 때 인증 없이 자신의 ARP 캐시를 업데이트합니다. ARP 스푸핑이 발생하면 게이트웨이의 IP+MAC 방향도 임의로 변경되어 말이 끊깁니다.
해결 방법은 ARP 캐시를 동적으로 업데이트하는 이 방법을 무시하고 관리자가 정적으로 지정한 방법을 사용하는 것입니다. LAN 내에서 정상적인 인터넷 접속 동작을 위해서는 두 가지 측면에서 정상적인 통신을 보장해야 합니다. (1) 로컬 게이트웨이를 가리키는 호스트 (컴퓨터) 의 IP+MAC 가 정확합니다. (2) 게이트웨이 (일반적으로 라우팅) 에서는 로컬 컴퓨터를 가리키는 IP+MAC 이 정확합니다. 위의 두 가지 원칙에 따라 모든 호스트와 라우터 간의 정상적인 통신을 보장할 수 있으며 사기로 인한 단절을 막을 수 있습니다. 해결책은 양방향 바인딩을 수행하는 것입니다. 모든 로컬 컴퓨터에 라우터의 IP+MAC 주소를 바인딩합니다. 게이트웨이 (라우터) 에 있는 모든 컴퓨터의 IP+MAC 주소를 바인딩합니다.
1. 라우터에 모든 호스트 (컴퓨터) 의 IP+MAC 주소를 바인딩하는 방법 일반적으로 라우터에 모든 호스트의 IP+MAC 주소를 바인딩하는 것은 비교적 간단합니다. 에타이 기술은 모든 호스트 IP+MAC 주소를 한 번의 클릭으로 바인딩하는 기능도 제공합니다. 다음 그림과 같이' 모두 바인딩' 을 클릭하기만 하면 모든 컴퓨터의 IP+MAC 주소를 한 번에 바인딩할 수 있습니다.
2. 호스트에 게이트웨이 (라우터) 의 IP+MAC 주소를 바인딩하는 방법
1) 먼저 라우터 인트라넷의 MAC 주소를 가져옵니다 (예: HiPER 게이트웨이 주소192.168.16.254 의 MAC 주소는 00 입니다
2) 메모장을 열고 배치 파일, rarp.bat 를 쓰고 접미사로 저장합니다. Bat, 내용은 다음과 같습니다.
@ 에코 끄기
Arp -d
Arp-s192.168.16.254
참고 파일의 게이트웨이 IP 주소와 MAC 주소를 자신의 주소로 변경하십시오.
3) 이 배치 소프트웨어를 "windows-시작-프로그램-시작" 으로 드래그하여 windows 가 부팅할 때마다 이 배치 파일을 실행할 수 있도록 합니다.
위의 두 단계를 완료하면 양방향 바인딩이 완료됩니다. 그러나 실제로 컴퓨터에 게이트웨이 (라우터) 의 IP+MAC 주소를 바인딩하면 ARP 스푸핑 바이러스의 일부 변종이 컴퓨터의 바인딩을 삭제하므로 한 대의 컴퓨터 바인딩만 삭제하더라도 상관없다는 사실이 밝혀졌다. 그러나 이 바이러스가 LAN 내에서 전파되어 대부분의 호스트 (컴퓨터) 에 감염되기 시작했을 때, 이러한 양방향 바인딩은 사실상 무효가 되었다. 이때 LAN 내에서도 대면적 단절이 발생할 수 있다. 이러한 이유로 단계 2 를 향상시키기 위해 다음과 같은 방법을 사용하는 것이 좋습니다.
1) 위의 2 단계를 건너뜁니다.
2) 다운로드 주소가 /download.htm 인 AntiARP 방화벽의 독립 실행형 버전을 설치합니다. 호스트 (컴퓨터) 에서 정적 바인딩이 제거되지 않도록 일정 간격으로 소프트웨어가 자동으로 확인하고 삭제된 경우 다시 바인딩합니다.
3) 게이트웨이 IP/MAC 에서 게이트웨이 IP 및 MAC 주소를 수동으로 설정하고 LAN 게이트웨이의 IP+MAC 주소를 입력한 후 다음 그림과 같이 확인합니다.
4) 소프트웨어를 컴퓨터와 함께 부팅하십시오.
현재 호스트의 정적 바인딩이 유효한지 확인하려면 어떻게 해야 합니까?
명령행에 ARP–a 를 입력합니다. 해당 정적 바인딩 유형이 정적이면 설명이 이미 적용되고 있는 것입니다. 유형이 동적이면 바인딩이 유효하지 않습니다. 다음 그림과 같이 나타납니다.
양방향 정적 바인딩 문제
위의 단계를 통해 일반 LAN 에서 ARP 스푸핑에 대한 방어 체계를 완성할 수 있습니다. 그러나 게이트웨이의 IP+MAC 주소를 모든 호스트 (컴퓨터) 에 바인딩하는 것은 쉽지 않습니다. 200 대의 컴퓨터 네트워크에서 네트워크 관리자가 200 대의 컴퓨터를 계속 왔다갔다 하며 시간과 노력을 들이는 것은 네트워크 관리자의 지구력에 대한 시험이라고 가정해 봅시다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 컴퓨터명언) 이 경우 에타이 기술은 게이트웨이 (라우터) 가 정기적으로 LAN 에 올바른 게이트웨이 (라우터) IP+MAC 정보를 브로드캐스트하여 LAN 내의 사기를 방지하는 또 다른 솔루션을 제시했습니다. 이 방법을 사용하면 네트워크 관리자는 단 두 단계만 수행하면 되며 5 분 안에 쉽게 완료할 수 있습니다.
1) 모든 호스트 (컴퓨터) 의 IP+MAC 주소가 게이트웨이 (라우터) 의 이전 키에 바인딩됩니다.
2) 다음 그림과 같이 게이트웨이 (라우터) 에서 사전 예방적 방어 ARP 공격 기능을 켭니다.
인터넷 카페 환경에서 ARP 스푸핑 솔루션
1, 일반 인터넷 카페의 네트워크 환경은 다음과 같은 특징을 가지고 있습니다.
(1). 모든 시스템의 호스트는 고정 IP 주소입니다.
(2) 라우터에서 DHCP 기능이 켜지지 않았습니다.
(3) 피시방 호스트 수가 안정되어 호텔 환경처럼 새로운 호스트가 인터넷에 들어오고 나가지 않는다.
2, ARP 공격을 해결하기 위해 태국 기술 인터넷 카페 환경 사랑:
방법 1: 양방향 바인딩을 수행합니다.
(1) 한 번의 키로 모든 호스트의 IP+MAC 주소를 바인딩합니다.
(2) 호스트 (컴퓨터) 에 게이트웨이 (라우터) 의 IP+MAC 주소를 바인딩합니다.
AntiARP 방화벽의 독립 실행형 설치, 다운로드 주소: /download.htm, 게이트웨이의 IP/MAC 에서 게이트웨이의 IP 주소와 MAC 주소를 수동으로 설정하고 LAN 게이트웨이의 IP+MAC 주소를 입력합니다. 소프트웨어를 컴퓨터와 함께 시작하도록 유지합니다. 다음 그림과 같이 나타납니다.
방법 2,
1) 모든 호스트 (컴퓨터) 의 IP+MAC 주소가 게이트웨이 (라우터) 의 이전 키에 바인딩됩니다.
2) 게이트웨이 (라우터) 에서 ARP 공격을 능동적으로 방지하는 기능을 켭니다.
중소기업 ARP 스푸핑 솔루션
1, 중소기업의 일반 네트워크 환경은 다음과 같은 특징을 가지고 있습니다.
(1), 모든 컴퓨터의 호스트는 고정 IP 주소와 동적 DHCP IP 주소를 혼합합니다.
(2) 라우터에서 DHCP 기능이 켜져 있습니다.
(3) 중소기업 네트워크의 호스트 수가 안정되어 호텔 환경처럼 새로운 호스트가 네트워크에 들어오고 나가는 경우는 발생하지 않는다.
2. 아이타이 테크놀로지 중소기업 환경에서의 ARP 공격 솔루션:
방법 1: 양방향 바인딩
(1), 동적 호스트의 IP+MAC 주소가 게이트웨이 (라우터) 에 바인딩됩니다. IP 주소가 DHCP 에 의해 동적으로 할당된 호스트의 경우 네트워크 관리자는 다음 그림과 같이 게이트웨이 (라우터) 에 DHCP 를 미리 바인딩합니다. 바인딩 후 이효명에 컴퓨터가 동적으로 할당한 IP 주소는 매번192.168.1..100 입니다.
(2) 게이트웨이 (라우터) 에 고정 IP 주소를 바인딩하는 호스트의 IP+MAC 주소
(3) 호스트 (컴퓨터) 에 바인딩된 게이트웨이의 IP+MAC 주소
AntiARP 방화벽의 독립 실행형 설치, 다운로드 주소: /download.htm, 게이트웨이의 IP/MAC 에서 수동으로 게이트웨이의 IP 주소와 MAC 주소를 설정하고, LAN 게이트웨이의 IP+MAC 주소를 입력하고, 확인합니다. 소프트웨어를 컴퓨터와 함께 시작하도록 유지합니다. 다음 그림과 같이 나타납니다.
방법 2: 아이타이 기술의 동적 방어 기능을 사용합니다.
(1), 동적 호스트의 IP+MAC 주소가 게이트웨이 (라우터) 에 바인딩됩니다. IP 주소가 DHCP 에 의해 동적으로 할당된 호스트의 경우 네트워크 관리자는 다음 그림과 같이 게이트웨이 (라우터) 에 DHCP 를 미리 바인딩합니다. 바인딩 후 이효명에 컴퓨터가 동적으로 할당한 IP 주소는 매번192.168.1..100 입니다.
(2) 게이트웨이 (라우터) 에 고정 IP 주소를 바인딩하는 호스트의 IP+MAC 주소
(3) 게이트웨이 (라우터) 의 ARP 스푸핑 방어 기능을 켭니다.
호텔 환경에서 ARP 스푸핑 솔루션
1, 일반 호텔 네트워크 환경은 다음과 같은 특징을 가지고 있습니다.
(1). 모든 시스템의 호스트는 DHCP 에 의해 동적으로 할당됩니다.
(2) 라우터에서 DHCP 기능이 켜져 있습니다.
(3) 호텔 네트워크의 호스트 수가 불안정하고, 끊임없이 새로운 호스트가 들어오고, 기존 호스트가 끊임없이 네트워크를 빠져나가고 있다.
2, 호텔 환경에서 ARP 스푸핑 문제를 해결하는 어려움:
(1).
(2) 들어오는 새 호스트 (컴퓨터) 와 게이트웨이 (라우터) 는 자동으로 인식되고 바인딩되어야 합니다.
(3) 아웃바운드 호스트 (컴퓨터) 및 게이트웨이 (라우터) 는 정적 바인딩을 자동으로 식별하고 삭제할 수 있어야 합니다.
3. 에타이 테크놀로지 호텔 환경에서의 ARP 공격 솔루션
방법: 호텔 환경에서 에타이 기술만의 ARP 솔루션을 사용한다.
아이디어:
(1). 유입되는 새 호스트 (컴퓨터) 의 경우 아이타이 라우터가 자동으로 인식하고 바인딩합니다.
(2), 엑스트라넷 호스트 (컴퓨터), 아이타이 라우터 자동 식별 및 정적 바인딩 자동 삭제
4. 구현:
(1), 아이타이 라우터의 DHCP 기능을 켜고, 새 호스트 (컴퓨터) 를 자동으로 인식하여 IP+MAC 바인딩을 수행하고, 오프라인 호스트의 DHCP 바인딩을 자동으로 삭제합니다.
(2) 게이트웨이 (라우터) 의 ARP 스푸핑 방어 기능을 켭니다.