GFARP攻击.docx
- 文档编号:6400617
- 上传时间:2023-01-06
- 格式:DOCX
- 页数:10
- 大小:295.26KB
GFARP攻击.docx
《GFARP攻击.docx》由会员分享,可在线阅读,更多相关《GFARP攻击.docx(10页珍藏版)》请在冰豆网上搜索。
GFARP攻击
实验总成绩:
——————————————————————————装订线—————————————————————————————————
报告份数:
西安邮电大学
通信与信息工程学院
网络攻防实验报告
专业班级:
学生姓名:
学号(班内序号):
2014年4月29日
实验ARP攻击
1.场景描述
ARP攻击源向服务器发送带有虚假MAC地址信息的ARP包给服务器(靶机),导致服务器学习到错误的网路信息。
备注:
登录控制台开启靶机windows和linux,在linux终端运行工ettercap,对windows靶机进行攻击(linux终端运行:
ettercap-G)。
2.实验目的
1).掌握ARP协议的基本概念及其缺陷。
2).认识到ARP欺骗的危害。
3).掌握ARP欺骗的两种工作原理。
4).掌握ARP欺骗时表现出的基本特征。
5、掌握ARP欺骗的防范策略。
6、学会在现实环境中解决ARP攻击。
3.需求分析
ARP欺骗是一类地址欺骗类病毒,属于木马病毒,自身不具备主动传播的特性,不会自我复制。
但是由于其发作的时候会不断向全网发送伪造的ARP数据包,导致网络无法正常运行,严重的甚至可能带来整个网络的瘫痪。
此外,黑客还会通过这种攻击手段窃取用户密码,如盗取QQ密码、盗取各种网络游戏密码和账号、盗窃网上银行账号,给用户造成了很大的不便和巨大的经济损失。
因此,它的危害比一些蠕虫病毒厉害。
电脑感染ARP病毒后的表现为:
网速时快时慢,极其不稳定,局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常;网上银行、游戏及QQ账号的频繁丢失。
随着加密技术的不断提高,ARP病毒在盗取用户帐号、密码时遇到了很大的难度。
于是又出现了一类新的ARP病毒,该类ARP病毒保留了ARP病毒的基本功能,即向全网发送伪造的ARP欺骗广播,将自身伪装成网关。
在此基础上,对用户发出的HTTP请求访问进行修改,在其中插入恶意网址链接,用户在不知情的情况下点击这些链接时,木马病毒就会利用系统漏洞种植到用户电脑中,从而使用户电脑感染病毒。
4.技术分析
一.ARP欺骗的现象
在局域网内,攻击源主机不断发送ARP欺骗报文,即以假冒的网卡物理地址向同一子网的其它主机发送ARP报文,甚至假冒该子网网关物理地址蒙骗其它主机,诱使其它主机经由该病毒主机上网。
真网关向假网关的切换,会导致网内用户断网。
当攻击源主机断电或离线,网内其它主机自动重新搜索真网关,这个过程又会导致用户断一次网。
所以某子网内,只要存在一台或多台这样的攻击源主机,就会使其它主机上网断断续续,严重时将致使整个网络陷于瘫痪。
上述现象即是一种典型ARP欺骗,除了影响网络运行效率,攻击者也会趁机窃取网内用户的帐号和密码。
因为发送的是ARP报文,具有一定的隐秘性,如果侵占系统资源不是很大,又无防病毒软件监控,一般用户不易察觉。
二.ARP欺骗的原理
局域网内某主机运行ARP欺骗程序时,会诱骗局域网内所有主机和路由器,使上网流量必须经由该病毒主机。
原来通过路由器上网的用户现在转由病毒主机,这个切换会致使用户断线。
切换到病毒主机上网后,如果用户已经登录了传奇服务器,病毒主机会不断制造断线的假象,用户就得重新登录,病毒主机就可以趁机实施盗号行为。
ARP欺骗木马程序发作会发送大量数据包,从而导致局域网通讯拥塞,受自身处理能力的限制,用户会感觉网速越来越慢。
ARP欺骗木马程序停止运行,用户会恢复从路由器上网,该切换则会导致用户再次断网。
第一种ARP欺骗的原理是——截获网关数据。
它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。
第二种ARP欺骗的原理是——伪造网关。
它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。
在PC看来,就是上不了网了,“网络掉线了”。
ARP欺骗的特征:
(1).网速时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常。
(2).局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常。
三.ARP欺骗的防范策略
ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。
1).清空ARP缓存
点击“开始”按钮->选择“运行”->输入“arp-d”->点击“确定”按钮,然后重新尝试上网,如能恢复正常,则说明此次掉线可能是受ARP欺骗所致。
2).个人主机ARP绑定
通过执行“arp-s210.31.197.9400-03-6b-7f-ed-02”,临时绑定主机IP与MAC地址。
或者,通过建立一批处理文件,绑定IP和MAC。
方法如下:
@echooff
arp-d
arp-sIPMAC
每次开机,计算机都会执行一次静态ARP地址绑定,从而较好地防范ARP欺骗。
如果能在机器和路由器中都进行绑定,效果会更好。
3).采用适当的杀毒与防范软件
诺顿、卡巴斯基、瑞星等杀毒软件均可查杀此类病毒。
蓝盾防火墙、蓝盾UTM、ARP防火墙、风云防火墙等,都是针对性较强的防ARP欺骗攻击软件,可以起到防范甚至追踪ARP攻击源的作用。
5.实验步骤及结果
1).清空ARP缓存
点击“开始”按钮->选择“运行”->输入“arp-d”->点击“确定”按钮,然后重新尝试上网,如能恢复正常,则说明此次掉线可能是受ARP欺骗所致。
2).个人主机ARP绑定
通过执行“arp-s210.31.197.9400-03-6b-7f-ed-02”,临时绑定主机IP与MAC地址。
或者,通过建立一批处理文件,绑定IP和MAC。
方法如下:
@echooff
arp-d
arp-sIPMAC
每次开机,计算机都会执行一次静态ARP地址绑定,从而较好地防范ARP欺骗。
如果能在机器和路由器中都进行绑定,效果会更好。
3).采用适当的杀毒与防范软件
诺顿、卡巴斯基、瑞星等杀毒软件均可查杀此类病毒。
蓝盾防火墙、蓝盾UTM、ARP防火墙、风云防火墙等,都是针对性较强的防ARP欺骗攻击软件,可以起到防范甚至追踪ARP攻击源的作用。
6.问题答疑
1).ARP协议有哪些缺陷?
ARP协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。
它是无状态的协议,不会检查自己是否发过请求包,也不管(其实也不知道)是否是合法的应答,只要收到目标MAC是自己的ARPreply包或arp广播包(包括ARPrequest和ARPreply),都会接受并缓存。
这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至可以做“中间人”。
2).ARP欺骗的两种工作原理分别是什么?
1.主机型欺骗,欺骗者主机冒充网关设备对其他主机进行欺骗,如图:
2.网关型欺骗,欺骗者主机冒充其他主机对网关设备进行欺骗,如图:
3).ARP欺骗发生时,所表现出的基本特征是什么?
主机:
网络时断时续或网速特别慢,在命令行提示符下执行“arp–d”命令就能好上一会;在命令行提示符下执行“arp–a”命令查看arp缓存表,网关对应的MAC地址发生了改变。
这些现象就表名,你被ARP攻击了。
设备:
在设备中查看arp缓存表,发现同一个mac地址对应许多ip地址,那这个设备就是被arp攻击了。
4).如何防范ARP欺骗?
方法一:
绑定IP和MAC地址:
目前,网吧使用的可网管型交换机中都支持IP地址与MAC地址绑定功能。
通过绑定这两个地址,可以较好地抵御ARP欺骗攻击。
此外,还可以在单机中进行网关的IP地址与MAC地址的绑定,通过双向绑定可以彻底解决ARP攻击。
方法二:
编写批处理文件先使用工具把所有主机的IP地址和MAC地址导出为文本文件,接着,将文本文件进行修改(ARP-S后面的IP和MAC地址请根搪实际情况修改)。
方法三:
使用“金山ARP防火墙”工具,目前有很多专业的ARP欺骗防御工具可以使用,“金山ARP防火墙”是其中使用比较多的一款工具。
——————————————————————————装订线—————————————————————————————————
指导教师评语:
实验成绩:
指导(辅导)教师:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GFARP 攻击
![提示](https://static.bdocx.com/images/bang_tan.gif)