天道酬勤,学无止境

图解ARP协议(三)ARP防御篇-如何揪出“内鬼”并“优雅的还手”?

一、ARP防御概述

通过之前的文章,我们已经了解了ARP***的危害,***采用ARP软件进行扫描并发送欺骗应答,同处一个局域网的普通用户就可能遭受断网***、流量被限、账号被窃的危险。由于***门槛非常低,普通人只要拿到***软件就可以扰乱网络秩序,导致现在的公共网络、家庭网络、校园网、企业内网等变得脆弱无比。

 

所以,如何进行有效的ARP防御?作为普通用户怎么防御?作为网络/安全管理员又怎么防御?有哪些ARP防御软件?如果被ARP***了,如何揪出"内鬼",并"优雅的还手"?

 

接下来,我们通过图解的方式来深入了解ARP防御原理与解决方案。




二、ARP防御原理与解决方案

在讲解ARP防御之前,我们先回顾下ARP***最经典的一幕=>


当PC1询问PC2的MAC地址时,***者PC3返回ARP欺骗回应包我的IP地址是IP2,MAC地址是MAC3。一旦PC1记录了错误的ARP映射,则发给与PC2的数据,都会落到PC3手里。

 

也就是说,ARP***的罪魁祸首便是这种"欺骗包",若针对欺骗包的处理是不相信或不接收的话,则不会出现问题。处理这种欺骗行为我们没法提前在***端做手脚,因为"敌在暗处我在明处"。这样的话,我们就剩下两个解决方法:

 

①保证电脑不接收欺骗包

②保证电脑收到欺骗包之后不相信

 

目前网络安全行业现有的ARP防御方案,基本都是上面两个方法的具体实现。我们来看看这张防御图:

①当***发起ARP欺骗包时,会途径局域网里面的交换机或无线路由器等网络设备;

②如果网络设备能够识别这种欺骗包,并且提前丢弃掉,则电脑/手机端就不会被欺骗;

③如果网络设备没有拦截这种欺骗包,则电脑/手机端需要做安全防御,然后再丢弃。

 

简单来说,ARP防御可以在网络设备上实现,也可以在用户端实现,更可以在网络设备和用户端同时实现。接下来,我们先来了解下网络设备(例如这里的交换机)的防御技术。

上面这张图,展现的是交换机的ARP防御能力,当PC2发送ARP回应包时,交换机将其转发给PC1,而当PC3发送ARP回应包(欺骗)时,交换机直接丢弃。

 

但是,人家PC3上脸上又没有写着"hacker",凭什么交换机要丢弃它的ARP回应包?凭什么判断它的包就是"欺骗"的呢?

 

接下来,我就要给大家介绍下局域网安全里比较常用的防御技术,这种防御技术被称为DAI(Dynamic ARP Inspection)- 动态ARP检测,原理可以用两句话简单概括:

 

①交换机记录每个接口对应的IP地址和MAC,即port<->mac<->ip,生成DAI检测表;

②交换机检测每个接口发送过来的ARP回应包,根据DAI表判断是否违规,若违规则丢弃此数据包并对接口进行惩罚。



我们知道,PC3是在交换机的Port3、MAC地址是MAC3,IP地址是IP3,所以本地DAI表项内容是<port3-mac3-ip3>。当交换机从接口Port3收到ARP回应包,内容却是IP2和MAC3映射,即<port3-mac3-ip2>。


经判断,这个包就是虚假的欺骗包,交换机马上丢弃这个包,并且可以对接口做惩罚(不同设备的惩罚方式有所不同,可以直接将接口"软关闭",直接将***者断网;也可以"静默处理",仅丢弃欺骗包,其他通信正常)


上面这个动态ARP监测技术,可以说是目前防御ARP***最有效的方法之一。但是,作为初学者,大家可能还会有疑问:


①一般的交换机或网络设备能部署动态ARP监测技术吗?

②连接用户的交换机,怎么能识别IP地址信息呢?

③上面这张DAI表是如何生成的?是不是像CAM表一样能自动识别?

 

这里要给大家说个稍微悲伤一点的事实,大部分能支持这种动态ARP监测技术的交换机或者无线路由器,都基本是企业级的产品。即便是企业级交换机,具备局域网安全防御功能的设备,价格都要高出不少,所以很多中小型企业网或校园网,基本都愿意买"阉割版"网络接入产品,因为"能通就行",至于安全性怎样,这是另外要考虑的问题。

 

所以,简单的交换机不具备动态ARP监测技术,即便市面上有带安全防御的网络产品,企业、学校、医院等大量网络,仍然在早期采购的时候,用的是比较基础版本的交换机。当然,随着网络与安全市场的激烈竞争和网络安全意识的增强,以后会越来越好。

 

另外,交换机能识别IP地址信息吗?

从现在的网络技术来看,分层界限越来越模糊,融合式的网络设备才是主流,现在的接入交换机基本能被Telnet/SSH/Web管理,更专业的交换机同时支持动态ARP监测(dai)、IP源防护(ipsg)、DHCP侦听(dhcp snooping)、端口安全、AAA、802.1x等局域网安全技术,已经超越了原有二层交换机的定义。


所以,交换机能读三层甚至七层的数据包已经不是什么新鲜事了,不要被"交换机就是二层设备"给束缚了,这只是纸面上的定义。

 

最后一个问题,DAI检测表是如何生成的?

在上面图解中,我们看到交换机查看的表已经不是原来的CAM表了,内容也不太一样,CAM表的内容主要是MAC和Port的映射,而DAI检测表则是Port、MAC、IP三个信息映射。


目前这张表支持两种方式来生成=>

第一种方式就是手工静态绑定:即用户接入网络之后,管理员根据此用户电脑的MAC和IP地址,然后在接口上绑死,缺点就是用户数太多的话,手工绑定管不过来。


第二种方式就是目前最主流的做法,即在交换机上开启DHCP侦听技术,当用户第一次通过DHCP获取到地址的时候,交换机就把用户电脑的IP、MAC、Port信息记录在DHCP侦听表,后面ARP检测直接调用这张DHCP侦听表即可。

 

小结:以上便是在网络设备上部署的ARP防御技术,通过动态ARP监测技术(DAI),可以很好的解决ARP欺骗问题。技术虽好,但局域网内的交换机、无线路由器是否支持DAI,这个则取决于实际网络情况,尤其是十面埋伏的公共WiFi网络、脆弱无比的家庭网络、能通就行的校园网络......  我们都应该持怀疑态度,至少不能完全信任这些网络。


既然这样的话,普通用户有没有"自救"的方法,能够抵挡ARP***呢?答案是肯定的=>

 


对于普通用户,陌生网络不要随意接入,肯定是首选考虑的;当然,这里研究的是用户已经接入了网络,如何做安全防御的问题。从上图可以看到,用户(电脑或手机)最重要的便是通过安装ARP防火墙做安全防御,很多普通用户甚至“以电脑裸奔为豪,以骂安全厂商为荣”,这是对技术的严重藐视,对自己隐私的不负责任。普通小白一定要记住一句话:你没有被黑,只是你还没有到达被黑的价值。

 

ARP防火墙在技术实现上,一般都有以下功能:

①绑定正确的的IP和MAC映射,收到***包时不被欺骗。

②能够根据网络数据包特征(参考上一篇讲解的ARP***数据包溯源分析),自动识别局域网存在的ARP扫描和欺骗行为,并做出***判断(哪个主机做了***,IP和MAC是多少)。

 

那么,有哪些常见的ARP安全产品呢?

自带ARP防御功能:腾讯电脑管家、360安全卫士……

专业的ARP防火墙:彩影ARP、金山贝壳、360ARP防火墙……

 

采用安全产品肯定是普通用户最省时省力的做法,而对于技术人/工程师而言,如果不屑于使用安全产品,并且希望解决ARP***行为,也可以通过"ARP双向绑定"的技术来实现。什么是"ARP双向绑定"呢?


从上图可以看到,PC1和PC2通信双方都静态绑定对方的IP和MAC映射,即便收到ARP欺骗包,由于静态绑定的ARP映射条目优先级高于动态学习到的,所以可以保证不被欺骗。


这种做法非常"绿色无污染",因为不需要额外的软件安装,但是缺点也非常明显,例如普通用户不知道如何在电脑上做ARP静态绑定,另外工作量也比较大,每个主机和网关设备都需要绑定整个局域网的ARP静态映射。以下面的家庭WiFi网络为例:


像这个WiFi网络,如果通过ARP双向绑定来解决安全问题,配置量其实蛮大的,当然,这就基本能够保障内网主机间通过以及主机访问互联网的安全性了。

 

Windows arp静态绑定方法=>

①进入命令行cmd界面;

② [arp -s ip地址 mac地址],例如:arp -s 192.168.1.1   00-11-22-a1-c6-09

注:家用无线路由器若要进行ARP绑定,则需要通过web登录并进行图形操作

 


小结:用户端的ARP防御方法,要么安装ARP防火墙,要么做ARP双向绑定。对于绝大部分用户来讲,虽然安装防火墙不是保证百分百安全了,但是能够解决很大一部分的隐患。




三、如果被ARP***了,如何揪出"内鬼"并"优雅的还手"?


相比"如何防御ARP***",我相信更多人感兴趣的是"如何揪出内鬼并进行还手",因为"揪出内鬼"的时候,我们充当着"网络警察"的角色(把小偷逮住),而"优雅的还手"又充当着"法官"的角色(惩治小偷)。

 

而充当网络警察或法官这种角色,我可能算是比较有经验的......  从我刚接触网络/安全到现在,充当的次数多的数不过来:在学校外面租房的时候(别想歪)、在网吧上网的时候、在音乐餐吧吃饭的时候、在麦当劳/德克士蹭网的时候......可能普通用户觉得稀疏平常的地方,在网络世界里实则暗流涌动。

 

我第一次"抓内鬼当法官"应该是在2010年的时候,当时在学校旁边租了一个房子自己做技术研究。有一天晚上,网速变得特别慢,网页基本没法打开,QQ勉强还能挂着,但是租房以来网络一直还可以,虽然不算快,但是也至少满足平常上网需求啊。我心想:算了,毕竟租的房子一般,每个月网费也就30快,房东拉的宽带可能比较垃圾不稳定吧,明天再看看。

 

第二天早上爬起来,发现网络一点问题都没有,该开的网页,该下载的资料,都没有任何影响,恩,心情不错,不用专门跑回学校一趟下载资源之类的。但是到了晚上七八点的时候,网络又出现问题了,跟昨天晚上的情况一模一样,基本没法上网,但是网卡又显示连接着,这让我非常的郁闷。

 

然后我突然想起这几天,这栋楼好像新来了一个租客,这栋楼一共就四层,一层就3户租客,一共也就10来户,而一楼还是房东自己一家人住,我自己住二楼。基本上这栋楼里的租客都能记得七七八八,所以如果有陌生面孔的话,一眼就能认出来,我们暂且把这个人称为H,看上去是个上班族。

 

虽然当时还是个小菜鸟,但是毕竟学这块的,还是有点敏感:擦,会不会是这个人白天去上班,晚上回来宿舍,就开始限制我们的网速啊?

 

你不犯我,相安无事,你若范我,我必搞你。(年轻人还是有点浮躁啊....)

行,开干吧,多想没用。然后便拿出了P2P终结者(忘了当时用什么软件了,不过八九不离十)一扫描,想探探网络究竟。

 

万万没想到啊,居然遇到老司机了,人家局域网权限比我还高(很多局域网流控软件都有权限的概念,若同一个局域网同时有多个使用这个流控软件,则权限高的优先控制,其他人的软件会自动退出),网络扫描进行一半,就提示"局域网有多人使用,由于你权限较低暂停退出"这样的提示,这样一来,就验证了我的判断,这个内鬼应该是H。自从他来了之后,这个网络就出了问题。这栋楼的网络拓扑结构是这样的=>

 



普通小白遇到这种情况,装个ARP防火墙,咬咬牙也就过去了。但是咋们学网络和安全的,遇到这种情况,感觉就好像被人骑在头上一样。那咋办呢?作为一个理科男,做事情还是得按步骤走,不能被脾气牵着走,虽然当时已经非常生气了,但是基本定下来这个解决流程:

 

第一:马上给电脑安装防火墙,先脱离H的控制(当时电脑居然是裸奔的...);

第二:想尽办法找到H的IP和MAC地址(很多小伙伴看到这里可能会想:直接上去楼上揍他一顿不就得了,还费什么劲找地址啊。这个有必要说明下:①我个头没人家大只  ②人家要是问:你有证据吗,你取证了吗?   所以,武力不能解决问题,但是技术能力可以。)

第三:想方设法拿到网络控制权,把他踢下去。

 

第一步:具体就不说了,也忘了当时装的什么安全软件了;

第二步:怎么找到***者的IP和MAC地址呢?2010年的安全软件,不像现在的ARP防火墙,能够主动告警,并且说明***次数和***源,所以还是需要自己折腾下:熟练的打开电脑之前安装好了的wireshark,监听自己电脑网卡的流量,设置流量过滤器(仅过滤arp协议),不出意外,接下来就是一堆"带有节奏的ARP扫描包"(还记不记得之前章节说过的,ARP***一般会涉及到持续的内网扫描和欺骗***)。当时收到的数据包大概这样的:

通过流量数据包分析,很快就确定了***者的IP和MAC地址。这里要注意:虽然抓到了***者的IP和MAC地址,但是!我们还是没法实锤的证明:***者就是H。

 

这个***者是不是真的H啊?怎么确定就是这个人干的呢?如何把虚拟世界里的地址跟真实世界的人匹配起来?

 

接下来我便想到了一个方法:如果我们能先拿到网络的控制权,然后把***者给踢下去直接断网,同时保证其他人网络连通;然后,谁要是下去跟房东沟通反馈不能上网,不就可以基本断定这个人就是***者?  说白了,就是"谁叫谁小狗"......

 

好,到了计划的第三步:如何拿到整个网络的控制权?这里就没走的那么顺畅了:现在的实际情况是:我和***者同时开启局域网流控软件,而是我被踢下来了,因为我权限低一些。当时的第一个想法是:我换一个流控软件不就得了?这样我不跟你拼这个软件的权限。但是仔细想了想,即便换一个流控软件能用,但是顶多也就是打个平手,我控制不了你,你也控制不了我,但最终遭殃的还是其他普通小白,这个方法不能"斩草除根"啊。

 

怎么办呢?是不是只能跟他打个平手。在这里卡了很久但又心有不甘,然后到了大半夜了突然顿悟:擦,为什么要跟他"限来限去"呢,直接上整栋楼的出口路由器,把他踢出去不就得了?路由器(应该是TP-LINK)就在一楼楼梯口,然后其他楼层加一个hub级联上去,所以大家都在一个网络里面。

 

但问题是没有路由器的后台登录密码,怎么解决呢?抱着侥幸的心理,查看电脑网关地址,然后浏览器输入网关地址,弹出了登录页面,尝试admin/admin?不行,再尝试admin/123456?还是不行...... 就这样尝试了常见的十几二十个账号密码,都提示账号密码错误,看来运气不是很好。

 

既然这样的话,就只能拿出暴力破解软件跑几个词典看看,用hydra挂着用户名和密码词典,慢慢的看着命令行输出,但输出结果基本都是failed......  所以,第二天晚上虽然发现了***者的IP和MAC地址信息,但是拿他没办法,只能先忍着。

 

到了第三天白天,脑子里想的都是如何登录这个路由器后台管理界面,尝试跑了几个词典都没法登录,心理又在想:房东不应该会设置太复杂的密码啊,四五十岁的阿姨,完全不懂技术啊,网络应该也是叫人搞的,即便别人设置密码也应该给阿姨设置比较简单的让她好记的,方便后面维护之类的...... 一想到这里,赶紧从柜子里掏出之前的租房合约和房东名片,然后把房东的手机号码、房东的姓名拼音等信息做成简单的密码词典,再重新跑一次,还没反应过来,就显示密码尝试成功:admin/房东手机号码。万万没想到,以为只要6位或者8位的密码,居然是一个11位的手机号码,之前尝试的词典都是8位以内的

 

接下来用浏览器访问路由器后台管理界面,进入主机列表,还没发现这个昨晚***者的IP地址上线。等到了晚上七八点的时候,终于在路由器上发现这个IP地址,而且,wireshark同时也抓到了这个***者发起的扫描包。看来是***者一回到宿舍,打开电脑,就直接挂着***软件,确实是个"惯犯"啊。好吧,看到这个情况,我直接在出口路由器上把这个IP和MAC地址禁用,看接下来发生什么。

 

果然,大概过了半个钟,有人从楼上下来,直接去一楼找房东阿姨去了,具体说什么这个不清楚,但是应该是询问是不是宽带欠费之类的导致不能上网。

 

过了一会,阿姨带着他上来二楼.....  然后敲门询问:你们二楼能不能上网啊?大家都陆续回答:可以啊、没问题啊。与此同时,我已经确定了:眼前的这个人,H就是***者!他大概没料到,自己已经控制了内网,怎么可能被踢掉之类呢。

 

阿姨也不知道怎么办,只能说明天看看吧。看着他无辜的眼神回楼上去了,我也觉得抓到内鬼也就算了,先把他解禁看看。然后"惯犯"又上线了,看来没有吃够苦头啊,当天晚上直接让他断网。之后的几个晚上类似的情况慢慢少了,因为只要他一扫描发起***,我这边就断他网,然后隔10分钟或者半个钟看看他反应,就这样慢慢地把他制服了,整栋楼的网络也就逐渐恢复了平静……




四、ARP防御总结

①ARP***非常低门槛,但是造成的影响却很大,包括断网***、流量被限、账号被盗等;


②ARP防御可以在网络端(网络设备)上部署,也可以在用户端(电脑/手机)上部署;


③网络设备(例如交换机)部署ARP防御,通常需要用到DAI(动态ARP监测)技术,更加专业的局域网安全防御,还可能结合DHCP侦听、IP源防护、端口安全、AAA、802.1X等技术,这些专业的防御技术,是由网络运维和安全运维工程师来实施的。


④用户端(电脑/手机)实施ARP防御,最好的方法就是不要随意接入陌生网络,并且安装ARP防火墙。当然,技术宅的话,可以采用"ARP双向绑定"的方法,相对比较麻烦,但是也奏效。


⑤作为一名有素养的网络/安全工程师,应该不作恶。但是如果遭受***,应该揪出内鬼并"优雅的还手",做一个网络警察,还普通用户一个干净的网络环境。






【相关推荐】

《TCP/IP协议栈视频教程》

《Wireshark协议分析从入门到精通》

《初级网络安全工程师》

新浪微博:@拼客学院陈鑫杰

微信公众号:拼客院长陈鑫杰

受限制的 HTML

  • 允许的HTML标签:<a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • 自动断行和分段。
  • 网页和电子邮件地址自动转换为链接。

相关推荐
  • 图解ARP协议(二)ARP***原理与实践
    一、ARP***概述在上篇文章里,我给大家普及了ARP协议的基本原理,包括ARP请求应答、数据包结构以及协议分层标准,今天我们继续讨论大家最感兴趣的话题:ARP***原理是什么?通过ARP***可以做什么,账号是否可以被窃取?有哪些常见的ARP***(***)工具可以用来练手?ARP扫描和***有什么区别,底层数据包特征是怎样的?接下来,我们通过图解的方式来深入了解ARP***是如何实现的。二、ARP***原理但凡局域网存在ARP***,都说明网络存在"中间人",我们可以用下图来解释。 在这个局域网里面,PC1、PC2、PC3三台主机共同连接到交换机SW1上面,对应3个接口port1/2/3。假设PC3这台主机安装了ARP***软件或遭受ARP病毒,成为这个网络的***者(hacker),接下来,PC3是如何***的?先不急,先来回顾下PC1和PC2是如何通信的。 ①PC1需要跟PC2通信,通过ARP请求包询问PC2的MAC地址,由于采用广播形式,所以交换机将ARP请求包从接口P1广播到P2和PC3。(注:交换机收到广播/组播/未知帧都会其他接口泛洪)②PC2根据询问信息,返回ARP单播回应包;此时PC3作为***者,没有返回ARP包,但是处于"监听"状态,为后续***做准备。③PC1和PC2根据ARP问答,将各自的ARP映射信息(IP-MAC)存储在本地ARP缓存表
  • 网络安全学习路线
    如何成为一名黑客,很多朋友在学习安全方面都会半路转行,因为不知如何去学,今天在知乎看到个不错的,果断收藏学习下路线。此篇博课讲的非常细,有兴趣的同学可以参考。 关于黑客或网络安全如何入门和学习路径,我在去年的问答和专栏中也陆陆续续解读过,近期知乎时间线上又多了很多高度类似的问题邀请,本次我再次做了一次系统化的梳理,希望能更好地帮到新人。(后续这个答案我会持续更新) 在这里,我将这个整份答案分为 黑客(网络安全)入门必备、黑客(网络安全)职业指南、黑客(网络安全)学习导航 三大章节,涉及价值观、方法论、执行力、行业分类、职位解读、招聘企业、法律法规政策、国家政府机构、安全企业、安全媒体、安全工具、安全标准、书籍教材、视频教程、学习路线、面试题、靶场、SRC、CTF 等 20+ 细分专题。这里先给出导航目录,方便大家阅读。 黑客(网络安全)入门必备价值观方法论执行力黑客(网络安全)职业指南行业分类职位解读招聘企业黑客(网络安全)学习导航法律法规政策国家政府机构安全企业站点安全媒体安全工具安全标准书籍教材技术博文视频教程学习路线面试题库攻防靶场安全响应中心安全众测中心CTF安全比赛 1. 黑客(网络安全)入门必备 关于「黑客」,每个人都有自己的定义和理解。我认为,一名合格的黑客,抛开技术层面,首先应该具备以下这些能力或品质: 正直善良的价值观:遵法守纪、严守底线
  • 【10000+文章汇总】技巧都在这里了,你也能写出1w+好文!
    自 #我要10000+# 计划启动以来,已经有多位作者参与其中,我们通过文章专属推广渠道,取得了惊人的效果!单篇文章的阅读量,最高达到55倍的阅读量增长。从默默无闻,到有人喜欢,获得关注的同时,打造个人影响力。现在让我们来看看,这些 10000+ 好文,都有哪些~标题阅读量青铜到王者,快速提升你 MySQL 数据库的段位! 102942MySQL十大经典错误案例(附解决方案) 72673网络安全思维导图(全套11张) 58896【揭秘】数据库面试葵花宝典,让你面试一次过 38942一个网工的十年奋斗史-移民篇 20787用“Python和人脸识别”搞事情 19968开发人员学Linux,大型系统开发经验谈 18810从0到1写一个 运维APP(附源码) 16621图解ARP协议-如何揪出"内鬼"并"优雅的还手"? 16608运维老鸟 - 写给年轻的你们 15980【技术揭秘】地下×××诱导网站的背后 15638Linux运维打怪升级篇,从苦逼到牛逼的必备装备15431海外IT工程师工作福利揭秘 一个网工的十年奋斗史 14925360“一键清理”误删文档,原来坑在这里...(文档已恢复) 14914Web前端性能优化的“套路” 14519《Java从入门到放弃》JavaSE入门篇:程序结构 13615如何写出一份高逼格的技术简历?新技能get√
  • 网络安全--ARP攻击原理与防护
    目录 一.ARP的原理 二.ARP攻击现象及危害 三.ARP攻击的原理 四.ARP防护 在局域网当中,有一个协议由于它的特性一旦遭受攻击就非常麻烦。首先是它的攻击门槛比较低,找到一些小工具就能实现攻击,而且危害极大。这个协议就是ARP协议。 ARP攻击是局域网攻击的常用手段,那么我们就从以下几个方向来谈一下ARP协议,了解ARP的危害,并提供一些防护的建议。 一、ARP的原理 arp协议(address resslution protocol)-----地址解析协议 作用是将IP地址解析为以太网MAC地址的协议 基本原理是发送ARP广播请求对方MAC地址 然后对方发送ARP应答,解析的结果存储在ARP缓存表中 当主机接收到ARP应答数据包时,就会对自己的ARP缓存进行更新,将应答中的ip地址和MAC地址存储在ARP缓存中。 二、ARP攻击现象及危害。 攻击现象: 1.用户网络发生异常,经常掉线或者显示IP地址冲突,甚至大范围断网 2.ping有时延,经常丢包或不通 3.设备CPU占用率较高 危害: 1.基本的危害是阻塞正常的网络带宽,造成网络拥堵。 2.ARP可以造成中间人攻击,攻击者可以窃取用户敏感信息,实现数据的监听、篡改、重放、钓鱼等 三、ARP攻击的原理 ARP攻击的原理,主要是ARP协议自身设计的缺陷,在主机收到arp应答时,不管以前是否发出请求,都会接收并更新arp缓存
  • arp欺骗攻击与防范技术总结和分析
    目录 前言arp简介arp工作原理arp欺骗原理arp欺骗常见攻击手段遭受arp欺骗攻击现象arp欺骗攻击相关检测方法手动检测方法主机级检测方法网络级探测方法缓存超时检测方法 arp欺骗防御措施分析1. 设置静态的arp缓存2. 使用arp服务器3. 划分虚拟局域网(vlan)和端口绑定4. 删除windows系统中的npptools.dll动态连接库。5. 采用arp防火墙6. 对数据包进行加密处理7. 中间件技术 总结 ~~~~~~~~ 因为想要面对一个新的开始,一个人必须有梦想、有希望、有对未来的憧憬。如果没有这些,就不叫新的开始,而叫逃亡。 ​​​​ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ————玛丽亚·杜埃尼亚斯 前言 随着人类社会的进步和发展,人们对网络的需求将会越来越大,然而在这样一个条件下,internet与网络服务,网络应用等其他组件就面临着安全性的挑战。根据tcp/ip协议原理可以知晓,tcp/ip网络内的每台主机都必须具有一个合法的ip地址才能进行相互通信,而在互联网高速发展的现在,ip地址日益匮乏,大多数企事业单位采用nat等技术来组建自己的局域网这种方式解决这一问题,在一定程度上增强了网路内部的交互安全
  • ARP断网攻击
    文章目录 一、ARP协议详解二、ARP欺骗原理1.ARP请求原理图示2.ARP攻击原理图示3.ARP断网攻击 三、ARP攻击防御方法一、主机角度二、交换机角度 一、ARP协议详解 ARP协议(Address Resolution Protocol)简单来说就是:地址解析协议,是根据IP地址获取物理地址的一个TCP/IP协议在以太网中,一台主机要把数据帧发送到同一局域网上的另一台主机时,设备驱动程序必须知道以太网地址(MAC地址)才能发送数据。而我们只知道IP地址,这时就需要采用ARP协议将IP地址映射为以太网地址(MAC地址)。从安全上看:其中最不安全的协议就是ARP协议,“网络扫描”、“内网渗透”、“流量欺骗”、“中间人拦截”、“局域网流控”所导致的问题一般都与ARP协议有关。 ARP原理之广播请求&单播回应 PC1此时的ARP表中没有PC2的MAC地址映射,PC1只知道PC2的IP地址并不知道PC2的MAC地址,这个时候就要用到ARP协议,通过IP地址解析出MAC地址,ping hostname也会需要对方的MAC,如果ARP表没有,就会发起ARP请求。 抓包 第一个ARP包是请求包,此时并不知道PC2的MAC 第二个包是PC2的回应包,此时得到PC2的MAC地址 二、ARP欺骗原理 1.ARP请求原理图示 2.ARP攻击原理图示 ARP攻击主要是存在于局域网中
  • 网络工程师常见面试问题
    一、交换机工作原理 首先学习帧中的源mac地址来形成mac地址表, 将目标中mac地址匹配mac地址表:如匹配成功,则单波转发,如匹配不成功,则广播转发(除接收端口之外) mac地址老化时间300秒 参详笔记 二、路由器工作原理 1.当一个帧进入路由器接口后,首先检测帧头的目标mac地址是否是当前接口的mac,如不是,则丢弃,如是,则解封装帧头和帧尾,并送到路由器内部 2.路由器开始将ip包头中的目标IP地址匹配路由表,如为匹配不成功,则丢弃并道歉(返回报错信息)!如匹配成功,则路由到出接口 3.如果再出接口上配置了nat,则进行地址转换,如没有配置nat,则检测arp缓存表,并找到下一跳的MAC地址,如表中没有,则发送ARP报文获取下一跳的mac地址 4.重新封装帧,其中出接口的mac作为源MAC,下一跳的mac作为目表MAC。 5.发出去。 三、描述帧结构 mac子层--------ip包头------------tcp/udp头部-----------------应用层数据 -------fcs帧尾 四、描述IP协议/描述IP包头 常见协议:ICMP、IP、ARP IP协议分析:分析IP包头(3层的包头) mac子层:目标mac地址-源mac地址-类型:0x0080,0x0086 ----用来区分上层协议 IP包头:IP版本、首部长度、服务质量QOS、总长度、标识符、标志
  • 网络一百问------壹
    网络基础篇 (一)物理设备(二)OSI七层参考模型1、一些常见的协议2、TCP与UDP区别 (三)TCP---面向连接的可靠传输协议1、Syn攻击的过程,如何防御?2、TCP 是如何通过滑动窗口协议实现流量控制和拥塞控制的? (四)DHCP---动态主机配置协议2、DHCP的安全问题及防御 (五)DNS---域名系统协议(六)ARP---地址解析协议1、什么是ARP2、ARP的类型3、ARP的安全问题 (七)FTP---文件传输协议(八)PPPoE协议1、PPPoE简述2、PPPoE连接简历过程1)PPPoE报文2)PPP认证 这几天自己整理总结了一部分基础的网络知识,方便自己的复习温故。其中有部分内容是结合自百度整合而来,个人邮箱x1263806778@163.com (一)物理设备 1.什么是路由器:基于IP地址控制数据流量在不同网段内转发传输的三层设备 2.什么是交换机:基于MAC地址控制流量转发的二层设备 3.交换机作用: 1. 无限延长传输距离 2. 实现单播 3. 解决冲突域 4.路由器作用: 1. 分割广播域 2. 路由功能 (二)OSI七层参考模型 作用:定义数据标准封装格式 7应用层: 通过人机交互的界面实现各种各样的服务 6表示层: 编码 解码 加密 解密 ;将逻辑语言转换为二进制机器语言 5会话层: 建立 维持 终止会话进程 4传输层: 通过端口号区分不同流量
  • ARP协议讲解、ARP攻击(网络执法官)、ARP中间人(Cain)、ARP攻击防御
    目录 1 广播与广播域 2 ARP协议讲解: ARP攻击或欺骗的原理是: 路由器的工作原理 3 ARP相关命令 Windows平台相关命令 Cisco系统中的ARP命令 4 实验过程(ARP攻击;ARP欺骗) 4.1 ARP攻击(Netrobcop)​ 4.2 ARP中间人 5 ARP攻击防御 5.1 静态ARP绑定 5.2 ARP防火墙 5.3 硬件级ARP防御 1 广播与广播域 广播:将广播地址做为目的地址的数据帧 广播域:网络中能接收到同一个广播所有节点的集合,广播域越小越好。交换机隔离不了广播域,而路由器就可以。 MAC地址广播 广播地址为FF-FF-FF-FF-FF-FF IP地址广播 1)255.255.255.255 2)广播IP地址为IP地址网段的广播地址,如192.168.1.255/24 2 ARP协议讲解: 地址解析协议(英語:Address Resolution Protocol,缩写:ARP)是一个通过解析网络层地址来找寻数据链路层地址的网络传输协议,它在IPv4中极其重要。 作用:将IP解析为MAC地址 原理: 1)发送ARP广播请求 ARP报文内容: 我是10.1.1.1 我的mac:AA 谁是10.1.1.3 你的mac:? 2)接收ARP单播应答 ARP攻击或欺骗的原理是: 通过发送伪造虚假的ARP报文(广播或单播),来实现的攻击或欺骗!
  • 【计算机网络】网络层 & 数据链路层知识点总结
    文章目录 一、网络层1. 网际互连协议:IP1.1 IPv4 地址1.2 IPv6 地址1.3 网络层其他协议 2. 网络常用测试工具 二、数据链路层1. ARP 协议 数据链路层:负责分配 MAC 地址(以太网是根据 MAC 地址来区分不同设备的)。概念上划分为 逻辑链路控制子层(LLC)和 媒体访问控制子层(MAC)。网络层:负责对数据包进行路由选择和存储转发。数据单位称作 分组 / 数据包。传输层:是第一个端到端,即进程到进程的层次。由于一个主机可以同时运行多个进程,因此传输层有复用和分用的功能。数据单位称作 报文 / 数据段。应用层:为操作系统或网络应用程序提供访问网络服务的接口。 物理层设备:中继器、集线器 数据链路层设备:网桥(交换机) 网络层中继系统:路由器 网络层以上的中继系统:网关 一、网络层 网络层的目的是实现两个端系统之间的数据透明传送,具体功能包括 寻址和路由选择、连接的建立、保持和终止 等。它提供的服务使传输层不需要了解网络中的数据传输和交换技术。 传输层和网络层的区别: 传输层提供应用进程间的逻辑通信,即端到端的通信。网络层提供一台机器到另一台机器间的通信,属于点到点的通信,不会涉及进程或程序的概念。 1. 网际互连协议:IP IP(Internet Protocol,网际互连协议)是 TCP/IP 体系中的 网络层协议。对上可载送传输层各种协议的信息
  • 计算机网络面试常考知识点
    计算机网络面试常考知识点 一、基本概述ISP电路交换与分组交换时延排队时延处理时延发送时延传输时延 体系结构每层协议协议对应的端口每层作用 数据在各层之间的传递过程 二、IP地址的分类子网划分特殊用途IP地址 三、通信方式四、以太网五、各种协议的介绍六、IP数据报文七、ARP 和RARPARPRARPARP欺骗攻击 八、路由协议九、IP 协议相关技术DNSICMPDHCPNAT技术IP 隧道虚拟专用网 十、TCP和UDP的区别十一、TCP三次握手和四次挥手十二、TCP粘包问题十三、重传机制、滑动窗口、流量和拥塞控制十四、TCP如何实现可靠传输十五、UDP如何实现可靠传输十六、浏览器中输入网址后执行的全部过程十七、交换机、路由器和网关概念以及用途交换机路由器网关集线器、交换机与路由器 十八、httpHTTP 和 HTTPS 的区别HTTP返回码长链接与短链接TFTP与FTP的区别未完待续...参考链接 一、基本概述 何为计算机网络,计算网络是由若干结点和连接这些结点的链路组成。网络中的结点可以是计算机,集线器,交换机或路由器等。 ISP ISP(internet service provider)译为互联网服务提供商,类似中国电信,中国移动,中国联通就是国内有名的ISP。ISP可以从互联网管理机构申请到很多IP地址,然后一些机构和个人从某个ISP获取IP地址的使用权
  • 大数据安全和网络安全基础知识
    不要把自己的努力看的太重,毕竟大家都在努力 这里写目录标题 商业扫描器命令执行一句话木马超全局变量用post方法去接收pw变量 SQL注入分为显注和盲注 git安装git与github 查看隐藏的目录和文件夹三款系统扫描器openavsnessusnexpose 登录界面用BUrp抓登录页面包登录界面防御引申;报错信息不要过于详细 csrf及其总结安全工具篇arp欺骗:address resolution protocolARP协议的原理过程ARP缓存表ARP欺骗kali中有关ARP欺骗的工具ettercaparpspoof 乌云案例:去wooyun官网可以找到很多漏洞案例安全防御篇snort安装snort配置snort入侵检测在技术上分为两个类型splunk --大数据modsecurity---waf的事实上的标准并且开源查看是否有误报等级保护-客观要求和发展规律物理管理下载网络和应用三级检查Linux系统安全加固 linux基础命令列出目录下的文件 ls查看文件 cat file查看帮助查看和结束系统进程vi编辑器查看用户信息查看每一项用户信息配置权限几个符号的含义find命令查找文件计划任务nessus安装安装httpdyumdebian 的套餐apt-get小结 openssh服务ssh概念(secure shell
  • ARP原理和ARP***
    ARP--在TCP/IP协议栈中,最不安全的协议莫过于ARP了,我们经常听到的网络扫描,内网***,流量欺骗等等,他们基本上都与ARP有关系,甚至可以说,他们的底层都是基于ARP实现的。但是ARP的是实现仅需一问一答的两个包即可,实现上很简单。目录ARP协议ARP数据包信息ARP***一、ARP协议ARP(Address Resolution Protocol)地址解析协议,目的是实现IP地址到MAC地址的转换。在计算机间通信的时候,计算机要知道目的计算机是谁(就像我们人交流一样,要知道对方是谁),这中间需要涉及到MAC地址,而MAC是真正的电脑的唯一标识符。为什么需要ARP协议呢?因为在OSI七层模型中,对数据从上到下进行封装发送出去,然后对数据从下到上解包接收,但是上层(网络层)关心的IP地址,下层关心的是MAC地址,这个时候就需要映射IP和MAC。ARP之简单请求应答 当两台计算机在同一个局域网通信,我们以ping命令为例,该命令使用的ICMP协议PC1依据OSI模型①依次从上至下对数据进行封装,包括对ICMP Date加IP包头的封装,但是到了封装MAC地址的时候,②PC1首先查询自己的ARP缓存表,发现没有IP2和他的MAC地址的映射,这个时候MAC数据帧封装失败。我们使用ping命令的时候,是指定PC2的IP2的,计算机是知道目的主机的IP地址,能够完成网络层的数据封装
  • Java岗 面试考点精讲(网络篇03期)
    1. OSI七层模型 总结一下: 应用用层按协议打包数据 由传输层加上双方的端口号 由网络层加上双方的IP地址 由链路层加上双方的MAC地址,并将数据拆分成数据帧 数模信号转换并由物理层传输到另一端 每一层的协议 物理层:RJ45、CLOCK、IEEE802.3 (中继器,集线器,网关) 数据链路:PPP、FR、HDLC、VLAN、MAC (网桥,交换机) 网* 络层:IP、ICMP、ARP、RARP、OSPF、IPX、RIP、IGRP、 (路由器) 传输层:TCP、UDP、SPX 会话层:NFS、SQL、NETBIOS、RPC 表示层:JPEG、MPEG、ASII 应用层:FTP、DNS、Telnet、SMTP、HTTP、WWW、NFS SSL工作在哪层表示层 2. TCP/IP模型TCP/IP模型实际上是OSI模型的一个浓缩版本,它只有四个层次: 应用层,对应着OSI的应用层、表示层、会话层 传输层,对应着OSI的传输层 网络层,对应着OSI的网络层 网络接口层,对应着OSI的数据链路层和物理层 OSI模型的网络层同时支持面向连接和无连接的通信,但是传输层只支持面向连接的通信;TCP/IP模型的网络层只提供无连接的服务,但是传输层上同时提供两种通信模式。 3. 说一下TTLTime To Live 数据包再传输过程中每经过一个路由器,TTL就减1,直到TTL=0时,数据包被丢弃
  • 计算机网络知识点总结三
    概述 本章节主要是对开发面试中经典的面试问题进行总结分析,同时也是该系列的最后一篇。 问题 1)请简单说一下TCP/UDP的区别? TCP面向连接,UDP面向非连接即发送数据前不需要建立连接。TCP提供可靠的服务,UDP无法保证。TCP面向字节流,UDP面向报文。TCP数据传输慢,UDP数据传输快。TCP传输不限制大小,UDP单次传输报文有限制(64K)。 2)请你说说你了解的端口以及对应的服务 端口服务21FTP(文件传输协议)22SSH25SMTP(简单邮件传输协议)53DNS域名服务器80HTTP超文本传输协议443HTTPS3306MySQL服务默认端口110POP3邮件协议 3)说一说TCP的三次握手?(重点) 第一次握手:建立连接,客户端发送请求报文,等待服务器确认。 第二次握手:服务端收到来自客户端的请求报文之后,进行确认,对收到的ACK字段+1也就是X+1,再加上SYN字段一起返回给客户端。 第三次握手:客户端收到SYN_ACK报文段,然后将ACK设置为y+1,然后再次发给服务器端,由此客户端和服务端都进入了ESTABLISHED状态,完成了三次握手。 4)假如在进行三次握手的时候,第三次失败了,此时会发生什么?为什么是四次挥手而不是三次,或者五次 手如果第三次失败了会怎么样:失败了服务端收到不确认包,会超时重发,若还是没有收到确认包,或者收到了数据包
  • 网络安全学习篇27_阶段一小结篇_DNS欺骗与钓鱼网站的防范
    上一篇博客:网络安全学习篇26_阶段一小结篇_kali中间人渗透 写在前面: 刚开始接触了一些关键词如渗透,sql注入,靶场等就发现对此方面挺感兴趣,毕竟有的人大大小小都有一个黑客梦,恰巧在 B站碰到了千峰网络培训发布的系列安全培训视频,系列课程大约有300多集,我决定利用空闲时间学习,把一些重要的笔记 记录下来。 我本身是网络小白,记录的可能不完整、全面,甚至出现错误,希望大家谅解指正,也欢迎大家来交流学习!!! 虽然我走的很慢,但我仍在前进!! 说明 我的千峰网络安全系列课程第一阶段基本学习完成,往期笔记博客: 网络安全学习篇1_windowsxp、windows2003、windows7、windows2008系统部署 网络安全学习篇2_IP详解及简单的DOS命令 网络安全学习篇3_DOS基本命令与批处理 网络安全学习拓展篇_利用PE使用U盘电脑装系统 网络安全学习篇4_用户与组管理 网络安全学习篇5_服务器远程管理 网络安全学习篇6_PJwindows系统MM 网络安全学习篇7_NTFS安全权限 网络安全学习篇8_文件共享服务器 网络安全学习篇9_DHCP部署与安全 网络安全学习篇10_DNS部署与安全 网络安全学习篇11_WEB服务器和FTP服务器 网络安全学习篇12_域 网络安全学习篇13_PKI 网络安全学习篇14_简单渗透测试 网络安全学习篇15_扫描与爆破
  • 信息安全课程18:复习
    ARP协议问题 ARP协议的作用是什么。 address resolution protocol,地址解析,根据 IP 地址获得其对应的 MAC 地址。 引入ARP缓存的功能是什么。 ARP 高速缓存。 该缓存中保存了 ARP 应答中 IP 地址和 MAC 地址的对应关系。 使得当再次访问缓存中已存的 IP 地址时,无需再发送 ARP 请求获得其对应的 MAC 地址,可直接从缓存中读取。做到一次解析,多次使用。加快了发包速度,也有效的缓解了链路压力。 ARP缓存中毒的攻击方法和效果是什么。 原理: ARP 缓存是无状态的,即主机不只根据自己发出的 ARP 请求的应答更新缓存,只要收到 ARP 应答,就会查看自己的缓存。 攻击方法:构造含有错误的 IP 地址和 MAC 地址对应关系的 ARP 应答。可以利用 netwox 构造这样的包。 效果:若将 IP 地址映射到无效的 MAC 地址,则可使受害者主机无法与目的 IP 通信。例如,将受害者主机的网关地址映射到无效的 MAC 地址,则受害者主机无法正常上网。若将 IP 地址映射到攻击者的 MAC 地址,则可达成中间人攻击。 IP协议安全问题 为什么IP要进行分片? 因为硬件环境的 MTU 限制。例如,一个 IP 分组最长可达 65535B(2^16-1),但以太网规定最大帧长为 1500B。 IP分片如何进行重组? IP
  • 二层网络及三层网络的子网掩码设置原则
    1 网络基本知识 推荐首先读下这篇文章,形象化的描述了各网络术语的含义:计算机主机网关的作用是什么?(转 ) 1.1 OSI七层网络模型 对于物理层而言打交道的基本都是电信号和光信号,例如网卡、光纤、双绞线等都被归到物理层考虑;对于链路层,数据在离散电/光信号的基础之上,被逻辑划分成一帧一帧(Frame)来管理,这一层是数据交换的主要层面,交换的依据主要是网卡MAC地址,以太网(定义了一种帧格式)、交换机、集线器都划归这一层;网络层是比链路层更高一级的逻辑层,在这一层主要工作的是路由器,路由器基于IP地址进行跨网链路的计算;传输层顾名思义是用来控制网络层传输的,因为网络层只是一个“尽力而为”的层,其传输不是完全可靠的,如果将超时重传等可靠性保障机制都交给程序员来做,估计大部分程序员都要疯了,幸好有了传输层提供了TCP和UDP两种机制给我们,才让我们可以高枕无忧的传输数据,而我们在代码里要做的只是打开一个传输层的套接字(即Socket)就可以了;至于表示层和会话层我们就不多做理解了,这两层基本只是摆设;应用层是最高层的协议,Web HTTP协议、远程登录SSH协议等都被划归这一层,确切来说这一层已经不属于基础网络了,基本都是软件自定义协议。 OSI模型的两个原则 ①每一层都相对独立:信息只能在本层使用,不能跨层,这样保证在修改了某一层信息的时候,不用再更改其他层。
  • 【粉丝问答7】局域网内终端是如何访问外网?答案在最后
    0. 粉丝提问粉丝提问:我们的电脑是如何获得路由器自动分配的ip地址,并实现上网的?粉丝提问,一口君必须满足! 好在一口君对网络协议还是比较熟悉的,毕竟当年也有几篇专利,做过的网络协议模块一大堆。【本文默认大家了解了IP地址,及其分类】一、家庭网这个问题说难不难,但是要想解释清楚,我们还是需要一些基础知识。1. 家庭网络简介如上图是一口君家庭网络组网环境。要连接公网,必须通过Modem拨号才能上网,拨号通过pppoe协议拨号wlan路由器的wan口链接ADSL 猫,会动态获取一个公网IP地址100.87.59.254,在广域网内,任何一个主机,均可以访问到该ip地址台式机、手机、ipad、笔记本等终端可以通过有线或者无线的方式通过共享无线路由器的wan口访问公网终端通过路由器的dhcp协议自动获取的地址是局域网地址,pc获得地址是192.168.0.104,网段是192.168.0.0/24,但是我们无法使用该地址直接访问公网局域网内终端通过共享WAN地址上网,所有走wlan路由器的数据包都要通过NAT协议进行源、目的IP,源、目的端口号的转换局域网内终端之间通信运行的是以太网协议,网卡通过mac地址过滤数据帧要获取局域网内其他网口的mac地址需要通过arp协议公网内路由器之间数据传输一般是ppp协议WAN口地址:100.87.59.2542
  • 网络安全知识体系
    SIEM (安全信息和事件管理) SIEM(安全信息和事件管理)是一个由不同的监视和分析组件组成的安全和审计系统。最近网络攻击的增加,加上组织要求更严格的安全法规,使SIEM成为越来越多的组织正在采用的标准安全方法。 但是SIEM实际上涉及到什么呢?它由哪些不同的部分组成?SIEM实际上如何帮助减轻攻击?本文试图提供一种SIEM 101。后续文章将深入探讨一些可用于实际实现SIEM的解决方案。 1、为什么我们需要SIEM? 毫无疑问,对计算机系统的攻击不断增加。Coinmining, DDoS, ransomware,恶意软件,僵尸网络,网络钓鱼——这只是今天那些正义之战所面临的威胁的一部分。 有趣的是,正如赛门铁克(Symantec)在其2018年互联网安全威胁报告中所指出的那样,不仅攻击数量在上升,使用的途径和方法也在上升: “从WannaCry和Petya/NotPetya的突然传播,到造币商的迅速增长,2017年再次提醒我们,数字安全威胁可能来自新的和意想不到的来源。”随着时间的推移,不仅威胁的数量在不断增加,而且威胁的范围也变得更加多样化,攻击者会更加努力地寻找新的攻击途径,并在此过程中隐藏自己的踪迹。 系统和网络监控在帮助组织保护自己免受这些攻击方面一直发挥着关键作用,多年来已经发展了一些相关的方法和技术。然而,网络犯罪性质的变化意味着一些攻击往往会被忽视