arp常见攻击类型.doc

个人认为常见的ARP攻击为两种类型:ARP扫描和ARP欺骗。1ARP扫描(ARP请求风暴)通讯模式(可能):请求->请求->请求->请求->请求->请求->应答->请求->请求->请求...描述:网络中出现大量ARP请求广播包,几乎都是对网段的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源;ARP扫描一般为ARP攻击的前奏。出现原因(可能):*病毒程序,侦听程序,扫描程序。*如果网络分析软件部署正确,可能是我们只镜像了交换机上的部分端口,所以大量ARP请来自与非镜像口连接的其它主机发出的。*如果部署不正确,这些ARP请求广播包是来自和交换机相连的其它主机。2ARP欺骗ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中,有人发送一个自己伪造的ARP应答,网络可能就会出现问题。这可能就是协议设计者当初没考虑到的!,网有三台主机,分别为主机A、B、C。主机详细信息如下描述:A的地址为:IP::AA-AA-AA-AA-AA-AAB的地址为:IP::BB-BB-BB-BB-BB-BBC的地址为:IP:.---CC正常情况下A和C之间进行通讯,但是此时B向A发送一个自己伪造的ARP应答,(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(--,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A被欺骗了),这时B就伪装成C了。同时,B同样向C发送一个ARP应答,(A的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA),当C收到B伪造的ARP应答,也会更新本地ARP缓存(C也被欺骗了),这时B就伪装成了A。这样主机A和C都被主机B欺骗,A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么:)。这就是典型的ARP欺骗过程。注意:一般情况下,ARP欺骗的某一方应该是网关。:一种是欺骗主机作为“中间人”,被欺骗主机的数据都经过它中转一次,这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据;另一种让被欺骗主机直接断网。第一种:窃取数据(嗅探)通讯模式:应答->应答->应答->应答->应答->请求->应答->应答->请求->应答...描述:这种情况就属于我们上面所说的典型的ARP欺骗,欺骗主机向被欺骗主机发送大量伪造的ARP应答包进行欺骗,当通讯双方被欺骗成功后,自己作为了一个“中间人“的身份。此时被欺骗的主机双方还能正常通讯,只不过在通讯过程中被欺骗者“窃听”了。出现原因(可能):*木马病毒*嗅探*人为欺骗第二种:导致断网通讯模式:应答->应答->应答->应答->应答->应答->请求…描述:这类情况就是在ARP欺骗过程中,欺骗者只欺骗了其中一方,如B欺骗了A,但是同时B没有对C进行欺骗,这样A实质上是在和B通讯,所以A就不能和C通讯了,另外一种情况还可能就是欺骗者伪造一个不存在地址进行欺骗。对于伪造地址进行的欺骗,在排查上比较有难度,这里最好是借用TAP设备(呵呵,这个东东好像有点贵勒),分别捕获单向数据流进行分析!出现原因(可能):*木马病毒*人为破坏*一些网管软件的控制功能ARP的处理方法前言:今年算是ARP和LOGO1病毒对网吧的危害最大,在前期我们一般采用双向梆定的方法即可解决但是ARP变种 出现日期大概在10月份,大家也许还在为网关掉线还以为是电信的问题还烦恼吧,其实不然变种过程ARP病毒-变种OK病毒-,我把自己遇到过的情况说给大家听听,如果大家有这些情况,不好意思“恭喜你”你奖了,呵呵~~病毒发作情况:现在的ARP变种 不是攻击客户机的MAC地址攻击路由网网关,改变了它的原理,这点实在佩服直接攻击您的路由的什么地址你知道吗?哈哈~~猜猜吧~~不卖关了~~新的变种ARP直接攻击您路由的MAC地址和外网网关而且直接就把绑定IP与MAC的批处理文件禁用了。一会儿全掉线,一会儿是几台几台的掉线。而且中了ARP的电脑会把那台电脑转变成网的***进行盗号和发动攻击。如果大家发现中了ARP没有掉线,那说明你中了最新的变种,你只要重启了那台中了ARP病毒的电脑,那么受到ARP攻击的