使用Lns杜絕Arp欺騙

2021-09-21 10:06:23 字數 2301 閱讀 3033

使用lns杜絕arp欺騙

對於伺服器來說,arp欺騙是一種很煩人的攻擊

為了便於說明,我們先假設乙個子網環境:

閘道器 : ip = ip-1, mac = 11:11:11:11:11:11

本機 : ip = ip-2, mac = 22:22:22:22:22:22

主機a: ip = ip-a, mac = aa:aa:aa:aa:aa:aa

主機b: ip = ip-b, mac = bb:bb:bb:bb:bb:bb

主機c: ip = ip-c, mac = cc:cc:cc:cc:cc:cc

arp 查詢過程

在乙個正常的子網內,一次完整的 arp 查詢需要一次查詢廣播和一次點對點的應答。查詢廣播中包含了要查詢主機的ip,此廣播可以被子網內的每一台主機的網絡卡收到,網絡卡會檢查要查詢的ip是否與自己的ip相等,不等則直接丟棄,相等則將此資料報提交給系統核心(乙個中斷),核心呼叫網絡卡驅動解析收到的資料報,然後構建乙個應答資料報回送到查詢的主機,查詢主機收到應答後更新自己的arp快取表。

對應 lns 的設定,此通訊過程需要兩條規則,以本機查詢主機b的mac為例

① 22:22:22:22:22:22 => ff:ff:ff:ff:ff:ff (允許本機廣播出站)

② 22:22:22:22:22:22 <= bb:bb:bb:bb:bb:bb (允許主機b應答本機入站)

規則說明方式:=> 表示傳出,<= 表示傳入,== 表示雙向。

注意按此設定 lns 規則時,有方向規定的始終要將源放在左邊,目標放在右邊,對方向為雙向的始終將本機放在左邊,遠端放在右邊。

只要將此查詢過程中的任何一步掐斷,則該查詢過程就會失敗。比如有人找你公司的討債,總經理秘書可以想各種理由使債主見不到總經理,即使見到了,總經理也可以找財務不在或目前實在沒錢為由不付錢,討債就失敗了。這兩個方法就好比攔截廣播和攔截應答。

① 22:22:22:22:22:22 => ff:ff:ff:ff:ff:ff (允許本機廣播出站)

② 22:22:22:22:22:22 <= bb:bb:bb:bb:bb:bb (允許主機b應答本機入站)

③ ff:ff:ff:ff:ff:ff <= bb:bb:bb:bb:bb:bb (允許主機b廣播入站)

④ 22:22:22:22:22:22 => bb:bb:bb:bb:bb:bb (允許本機應答主機b出站)

顯然規則②④在lns中是可以合併的,則兩台機器完整通訊只須 3 條規則:

① 22:22:22:22:22:22 => ff:ff:ff:ff:ff:ff (允許本機廣播出站)

② ff:ff:ff:ff:ff:ff <= bb:bb:bb:bb:bb:bb (允許主機b廣播入站)

③ 22:22:22:22:22:22 == bb:bb:bb:bb:bb:bb (允許本機與主機b相互應答)

簡單的 arp 欺騙

前面說了,一次查詢過程需要一次廣播和一次應答,但 arp 協議中並不要求廣播與應答成對出現,也就是可以沒有廣播,任何一台主機都可以主動傳送應答資料報,如果目標主機沒有使用靜態mac,則只要收到應答廣播就 會更新自己的arp快取表。因此,我們可以人為的構建乙個錯誤的應答資料報讓目標主機更新自己的arp快取。

比如從本機控制,不讓主機a與主機b通訊:

本機向主機a傳送應答資料報,告訴它 ip-b 的 mac 是 xx:xx:xx:xx:xx:xx

本機向主機b傳送應答資料報,告訴它 ip-a 的 mac 是 yy:yy:yy:yy:yy:yy

大家常說的網路執法官就是利用arp欺騙來踢人的。執法官執行時首先會大量傳送廣播,獲得所有主機的mac位址,然後,想欺騙誰,就向誰傳送偽造的應答資料報。

arp 防範

說到這樣,大家肯定已經發現乙個問題:欺騙者必須能與被欺騙者通訊,以便傳送偽造的應答資料報,否則欺騙過程就不能完成。基於這點,我們可以從幾個地方來防止 arp 欺騙:

一、不讓非信任的主機查詢自己的mac,欺騙者不能與本機通訊,自然無從欺騙了

可以攔截它的查詢廣播(要錢的一律不許進門)

可以攔截本機對它的應答(都來要吧,我就一句話,沒錢,死豬不怕開水燙)

二、使用靜態mac,拒絕更新arp快取。

即使有仿造應答到達本機,但本機不使用該包更新自己的arp快取,欺騙失敗。 那麼為什麼使用變種二方法的網友實際中「可行」了?說可行是因為過濾太嚴格,能防止絕大數大arp欺騙,加引號是因為可行是暫時的,連續的長時間測試,很可能會斷網的。

這跟具體的網路環境有關係,可能的原因比較多。一種可能的原因是lns有bug,過濾起作用在本機與閘道器建立連線之後,或者使用了靜態mac、指定ip避免dhcp租約失效之類,具體的我也分析不清楚。但從原理上說,這方法是錯誤的。

安全是相對的

使用arpspoof進行ARP欺騙

使用虛擬機器上的kail進行測試 我們將執行實際的arp中毒攻擊,重定向資料報流並使其流經我們的裝置arpspooef i 網絡卡 t 目標ip 預設閘道器下面是我作為被攻擊的kail,ip為192.168.25.129 下面是我作為攻擊的kail,網絡卡對應ip,網絡卡名字為eth0,ip為192...

嗅探 欺騙 ARP欺騙

二 kali上實現arp欺騙 三 防範arp欺騙 arp欺騙 arp spoofing 又稱arp毒化或arp攻擊。它是針對乙太網位址解析協議 arp 的一種攻擊技術。通過欺 域網內訪問者的閘道器mac位址,使訪問者錯以為攻擊者更改後的mac位址是閘道器的mac,導致應當發往閘道器地資料報傳送到攻擊...

ARP欺騙原理

乙太網內的嗅探sniff對於網路安全來說並不是什麼好事,雖然對於網路管理員能夠跟蹤資料報並且發現網路問題,但是如果被破壞者利用的話,就對整個網路構成嚴重的安全威脅。arp快取表假設這樣乙個網路 e cellspacing 0 bordercolordark ffffff cellpadding 2 ...