遭遇arp攻击

下载贤集网APP入驻自媒体

遭遇arp攻击 




arp攻击遭遇记
3月11日，周六。公司一台服务器，IP为18.45，出现如下现象：
首先是服务器远程连接不上，所有网络服务失效，Ping不通。让机房重启了，故障仍没有解决。让机房人员接显示器进系统查看。 
反馈信息说，服务器上有报错，IP地址有冲突！机器上不了网。
初步判断，服务器IP被人盗用。
于是，我马上在服务器上加上另外一个IP，18.44，绑定在同一网卡上。 
于是用44访问通了。但45仍然是不通的。 在交换机上对服务器上MAC地址作分析，并没有其它机器盗用44这个IP。 
故障陷入僵局。
一个偶然，我发现服务器mac缓存里有一条奇怪的记录。 它记载着网关的Mac地址是11：22：33：44：55：66. 
我们知道Mac地址的前24个字节表示的是厂商的编号，后24个字节是网卡流水号。 
奇怪的是，从来没有看见哪一家厂商的编号是11:22:33，而且整个一个Mac地址由1到6组成，也巧了吧！？ 
于是，怀疑服务器被人实施了ARP欺骗！
ARP攻击是利用免费ARP这个漏洞实施的！ 让我们来回顾一下免费ARP的原理。 
基本上，每个系统在开机的时候会发送一个ARP查询数据包，包中包含了自己的IP地址。 当以太网上有与其它与其IP相同的机器时，它会回复这个ARP包。 
很显然，发送ARP包的这个机器不希望与别的机器有相同的IP，也就是说它不希望收到任何回复。如果没有收到回复，那就表明自己的IP地址是可以用的。 
免费ARP就是起这个作用的。
但是，ARP有个缺点，它是完全信任的。 
就是说不管谁发来ARP包，接收到包的主机，都会在ARP缓存里面记录对方的IP及MAC地址。举个例子，C主机发个ARP包给B主机，说，A主机的MAC地址是11:22:33:44:55:66，B主机会不加思索的相信它！
好了，回到我们的问题上来，如果网络中某台主机发送一个ARP包给18.45. 
说网关18.1的MAC地址是11:22:33:44:55:66，那么18.45就会在自己的MAC缓存里面加入这条记录。 
当18.45要向18.1发送数据的时候，它就会把数据直接发送给MAC地址为11:22:33:44:55:66的机器。当然这个MAC不是18.1的MAC，也就是说18.45根本连不上网关。连不上网关，当然就上不了网了！
但是还有一个问题，单独欺骗一个机器的MAC除了让他掉线之外 
，没有别的好处。 但如果是连同网关一起欺骗，则可实现网络监听的目的 
！！
我们来看，怎么监听。
C主机告诉网关，说44的MAC是11:22:33:44:55:66，C同时告诉45，说网关的Mac是11:22:33:44:55:66。 
而C在自己的机器上虚拟出一个11:22:33:44:55:66的MAC来。 
好了，环境已经完成。来看看45与网关之间会如何通信！
45要发送信息给网关，它会把包发给11:22:33:44:55:66这个MAC地址，即发给C；
网关要发送信息给45，它会把包发给11:22:33:44:55:66这个Mac地址，即发给C；
这个时候，C就起来了个网络中间人的作用了！ 
45与网关之间的通信都在它的掌控之中也！
解决办法：治标很简单，在45上运行一下ARP静态绑定IP与MAC的命令即可。 如： arp -s 
202.11.138.1 00-00-63-0f-01-22
同时在网关上绑定arp -s 202.11.18.45 
00-30-48-09-c3-1e
现在一般使用Antiarp这类的软件，能起到一点的防护效果。即使防不了，也会有报警，可以找到报的IP，把它断网。