Prevención y ataques de suplantación de IP
Principios de suplantación de ARP y soluciones de suplantación de ARP
El software actualmente conocido con funciones de suplantación de ARP incluye "QQ Sixth Sense", "Network Law Enforcement Officer" y "P2P Terminator" ", " Internet Cafe Legend Killer", etc. Algunos de estos programas se operan manualmente para destruir la red, y otros aparecen como virus o troyanos. Es posible que los usuarios ni siquiera sepan de su existencia, lo que amplía aún más el daño de los ataques ARP.
Desde la perspectiva de afectar la fluidez de las conexiones de red, la suplantación de ARP tiene dos posibilidades de ataque: una es falsificar la tabla ARP del enrutador y la otra es falsificar la tabla ARP de la computadora de la intranet. Es posible que ambos ataques se realicen simultáneamente. Si no lo administra, después de la suplantación de identidad, los datos enviados entre la computadora y el enrutador pueden enviarse a la dirección MAC incorrecta. En la superficie, significa "no se puede acceder a Internet", "no se puede acceder al enrutador", ". el enrutador se ha bloqueado" "Porque la tabla ARP se reconstruirá tan pronto como se reinicie el enrutador. Si el ataque ARP no siempre existe, la red parecerá normal. Por lo tanto, los propietarios de cibercafés estarán más seguros de que el enrutador. Está "deprimido" y no pensará en otras razones. Por esta razón, los enrutadores de banda ancha han tenido mucha "culpa", pero en realidad es el problema del propio protocolo ARP.
Si ocurre este problema, generalmente tiene las siguientes características:
1. Todas (o la mayoría) de las PC en la LAN no pueden hacer ping a la dirección de la puerta de enlace y no pueden acceder a Internet; La tarjeta de red no puede, las luces indicadoras de conexión del interruptor son todas normales.
2. Debido al largo tiempo de espera ARP predeterminado del sistema Windows, incluso si descubre inmediatamente qué PC está causando el problema, simplemente apagar la PC no resolverá el problema de inmediato. bórrelo en la PC del cliente. La tabla ARP [ejecutar arp /d en modo CMD] se puede volver a aprender o simplemente reiniciar la PC.
3. Aunque estas falsificaciones de ARP están falsificando la dirección MAC del puerto de red del enrutador, en realidad no necesitan configurar la IP/MAC de su tarjeta de red para que sea la misma que la del enrutador, por lo que El enrutador generalmente no recibirá ninguna advertencia sobre conflictos de direcciones.
El método para confirmar este problema también es muy simple. Después de asegurarse de que el conmutador LAN esté funcionando correctamente y que el cable de red esté conectado normalmente, simplemente busque una PC que no pueda acceder a Internet y abra la línea de comando CMD. interfaz, ejecute arp /a y verifique Compruebe si la mac correspondiente a la dirección IP de la puerta de enlace es la dirección mac del puerto de red del enrutador. Si no, entonces es básicamente seguro que se trata de una suplantación de ARP. Por ejemplo:
Esta es la entrada ARP en el lado de la PC:
C:\arp/a
Interfaz: 192.168.19.180 --- 0x2
Dirección de Internet Tipo de dirección física
192.168.0.3 00-90-27-a7-ad-00 dinámica
192.168.0.1 00-e0-0f-58 -cc- 1c (información de la dirección MAC del puerto Ethernet del router) dinámica
192.168.0.10 00-0a-5e-04-72-50 dinámica
Comprueba la dirección MAC del Información del puerto Ethernet del enrutador: 00-e0-0f-58-cc-1c 192.168.0.1 Si lo que ve arriba no es la MAC del enrutador, significa que alguien lo está interrumpiendo deliberadamente.
Si es un problema de ARP, normalmente provocará que se desconecte toda la red, lo que tendrá un gran impacto y será fácil de encontrar y localizar. El método de tratamiento de emergencia no es difícil, como dije antes. Como método de prevención, puede usar el comando CMD en cada PC: arp -s 192.168.1.6 00-e0-0f-62-c6-09 para vincular entradas ARP estáticas, pero cada PC debe configurarse e implementarse, es más problemático para mantener.
Las entradas ARP estáticas se volverán a vincular cada vez que se encienda la computadora, por lo que es muy problemático. Puede crear un nuevo archivo por lotes como static_arp.bat y tenga en cuenta que el sufijo es bat. Edítelo y podrá ejecutar este comando haciendo doble clic en él en el futuro. También puede colocarlo en el directorio de inicio del sistema para ejecutarlo al inicio. Abra la computadora "Inicio" -> "Programas", haga doble clic en "Inicio" para abrir el directorio de la carpeta de inicio y copie el static_arp.bat que acaba de crear en él. En el futuro, la computadora ejecutará el comando arp -s cada vez. hora en que comienza.
También hay un comando de enlace estático ARP en el enrutador, pero la suplantación de ARP consiste en falsificar la identidad de la puerta de enlace para engañar a las PC en la LAN, por lo que tiene poca importancia vincular las direcciones mac de cada uno. PC en el enrutador. Sin embargo, este método puede evitar que la PC de la LAN cambie la dirección IP indiscriminadamente.
Los principios y soluciones del virus arp
Los principios y soluciones del virus arp
El virus arp invade la red y hace sufrir a muchos cibercafés y familias. ! ! Síntoma de ser golpeado: desconectado ~~~~~~`
Aquí está la información relevante que encontré en Internet, y los expertos en redes la estudiarán ~~
Métodos para resolver arp ataques
Causa de la falla
Alguien en la red de área local utilizó un programa troyano de suplantación de identidad arp (por ejemplo: el legendario software de robo de cuentas, este programa también se cargó maliciosamente en algunos complementos legendarios).
Principio de falla
Para comprender el principio de falla, primero comprendamos el protocolo arp.
En la LAN, el protocolo arp se utiliza para completar la conversión de la dirección IP en la dirección física de segunda capa (es decir, dirección mac). El protocolo arp es de gran importancia para la seguridad de la red. La suplantación de identidad de arp se logra falsificando direcciones IP y direcciones mac, lo que puede generar una gran cantidad de tráfico arp en la red y bloquear la red.
El protocolo arp es la abreviatura de "protocolo de resolución de direcciones". En la LAN, lo que realmente se transmite en la red es una "trama", y la trama contiene la dirección MAC del host de destino. En Ethernet, si un host quiere comunicarse directamente con otro host, debe conocer la dirección MAC del host de destino. Pero, ¿cómo se obtiene esta dirección mac de destino? Se obtiene mediante el Protocolo de resolución de direcciones. La llamada "resolución de direcciones" es el proceso en el que el host convierte la dirección IP de destino en la dirección Mac de destino antes de enviar la trama. La función básica del protocolo arp es consultar la dirección mac del dispositivo de destino a través de la dirección IP del dispositivo de destino para garantizar una comunicación fluida.
Cada computadora con el protocolo TCP/IP instalado tiene una tabla de caché arp. Las direcciones IP en la tabla corresponden a las direcciones mac uno a uno, como se muestra en la siguiente tabla.
Dirección IP del host dirección mac
a 192.168.16.1 aa-aa-aa-aa-aa-aa
b 192.168.16.2 bb-bb-bb -bb-bb-bb
c 192.168.16.3 cc-cc-cc-cc-cc-cc
d 192.168.16.4 dd-dd-dd-dd-dd-dd
Tomemos como ejemplo el host a (192.168.16.1) que envía datos al host b (192.168.16.2). Al enviar datos, el host A buscará la dirección IP de destino en su propia tabla de caché ARP.
Si se encuentra, también conoce la dirección mac de destino y puede simplemente escribir la dirección mac de destino en el marco y enviarla. Si la dirección IP correspondiente no se encuentra en la tabla de caché arp, el host a enviará una transmisión; la red, la dirección mac de destino es "ff.ff.ff.ff.ff.ff", lo que significa que se envía dicha consulta a todos los hosts en el mismo segmento de red: "¿Cuál es la dirección mac de 192.168.16.2? " Otros hosts en la red no No responde a la consulta arp. Solo cuando el host b recibe esta trama, responde al host a de esta manera: "La dirección mac de 192.168.16.2 es bb-bb-bb-bb-bb -cama y desayuno". De esta manera, el host a conoce la dirección mac del host b y puede enviar información al host b. Al mismo tiempo, también actualiza su propia tabla de caché de arp. La próxima vez que envíe información al host b, se podrá buscar directamente desde la tabla de caché de arp. La tabla de caché arp adopta un mecanismo de envejecimiento. Dentro de un período de tiempo, si el virus ARP en la tabla
invade la red, el virus ARP ha invadido la red, lo que hace que la mayoría de los cibercafés y familias experimenten el problema. fenómeno: fuera de línea ~~~~~ ~`Aquí está la información relevante que encontré en Internet, investigue un poco con expertos en redes ~~ Métodos para resolver ataques ARP Causa de la falla: algunas personas en la red de área local usan troyanos de suplantación de ARP (por ejemplo: software legendario para robar cuentas, algunos complementos legendarios también se cargan maliciosamente en este programa). Principio de falla Para comprender el principio de falla, primero comprendamos el protocolo ARP. En la LAN, la dirección IP se convierte en una dirección física de segunda capa (es decir, dirección MAC) mediante el protocolo ARP. El protocolo ARP es de gran importancia para la seguridad de la red. La suplantación de ARP se logra falsificando direcciones IP y direcciones MAC, lo que puede generar una gran cantidad de tráfico ARP en la red y obstruir la red. El protocolo ARP es la abreviatura de "Protocolo de resolución de direcciones". En una red de área local, lo que realmente se transmite en la red es una "trama" y la trama contiene la dirección MAC del host de destino. En Ethernet, si un host quiere comunicarse directamente con otro host, debe conocer la dirección MAC del host de destino. Pero, ¿cómo se obtiene esta dirección MAC de destino? Se obtiene mediante el Protocolo de resolución de direcciones. La llamada "resolución de direcciones" es el proceso en el que el host convierte la dirección IP de destino en la dirección MAC de destino antes de enviar la trama. La función básica del protocolo ARP es consultar la dirección MAC del dispositivo de destino a través de la dirección IP del dispositivo de destino para garantizar una comunicación fluida. Cada computadora con el protocolo TCP/IP instalado tiene una tabla de caché ARP. Las direcciones IP en la tabla corresponden a las direcciones MAC uno a uno, como se muestra en la siguiente tabla. Dirección IP del host Dirección MAC A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd Tomemos como ejemplo el host A (192.168.16.1) que envía datos al host B (192.168.16.2). Al enviar datos, el host A buscará la dirección IP de destino en su tabla de caché ARP. Si se encuentra, también conoce la dirección MAC de destino y puede simplemente escribir la dirección MAC de destino en la trama y enviarla. Si la dirección IP correspondiente no se encuentra en la tabla de caché ARP, el host A enviará una transmisión; la red, la dirección MAC de destino es "FF.FF.FF.FF.FF.FF", lo que significa que se envía dicha consulta a todos los hosts en el mismo segmento de red: "¿Cuál es la dirección MAC de 192.168.16.2? " Otros hosts en la red no No responde a la consulta ARP. Solo cuando el host B recibe esta trama, responde al host A así: "La dirección MAC de 192.168.16.2 es bb-bb-bb-bb-bb- cama y desayuno".
De esta manera, el host A conoce la dirección MAC del host B y puede enviar información al host B. Al mismo tiempo, también actualiza su propia tabla de caché ARP. La próxima vez que envíe información al host B, podrá buscarla directamente en la tabla de caché ARP. La tabla de caché ARP adopta un mecanismo de antigüedad. Si una fila de la tabla no se utiliza dentro de un período de tiempo, se eliminará. Esto puede reducir en gran medida la longitud de la tabla de caché ARP y acelerar la consulta. Como se puede ver en lo anterior, la base del protocolo ARP es confiar en todos en la LAN, por lo que es fácil lograr la suplantación de ARP en Ethernet. Falsifica el objetivo A. Cuando A hace ping al host C, envía el mensaje a la dirección DD-DD-DD-DD-DD-DD. Si la dirección MAC de C se falsifica como DD-DD-DD-DD-DD-DD, entonces los paquetes de datos enviados por A a C se enviarán a D. ¿No es esto solo porque D puede recibir el paquete de datos enviado por A? El rastreo es exitoso. A no estaba consciente de este cambio en absoluto, pero lo que sucedió después lo hizo sospechar. Porque A y C no se pueden conectar. D recibió el paquete de datos enviado por A a C pero no lo reenvió a C. Haga "hombre en el medio" y realice la redirección ARP. Active la función de reenvío de IP de D y los paquetes de datos enviados por A se reenvían a C, como un enrutador. Sin embargo, si D envía una redirección ICMP, rompe todo el plan. D modifica y reenvía directamente el paquete completo, captura los paquetes de datos enviados por A a C, los modifica todos y luego los reenvía a C. Los paquetes de datos recibidos por C se consideran completamente enviados desde A. Sin embargo, el paquete de datos enviado por C se pasa directamente a A. Si se realiza nuevamente la suplantación ARP de C. Ahora D se ha convertido por completo en el puente intermedio entre A y C y puede comprender bien la comunicación entre A y C. Fenómeno de falla: cuando un host en la red de área local ejecuta un programa troyano de suplantación de ARP, engañará a todos los hosts y enrutadores en la red de área local, de modo que todo el tráfico de Internet debe pasar a través del host del virus. Otros usuarios que solían acceder a Internet directamente a través del enrutador ahora cambian para acceder a Internet a través del host del virus. Durante el cambio, el usuario se desconectará. Después de cambiar al host del virus para acceder a Internet, si el usuario ha iniciado sesión en el servidor legendario, el host del virus a menudo simulará la desconexión y el usuario tendrá que iniciar sesión en el servidor legendario nuevamente, para que el host del virus pueda robar la cuenta. Cuando ocurre el programa troyano de suplantación de ARP, enviará una gran cantidad de paquetes de datos, lo que provocará congestión de las comunicaciones en la LAN y limitará sus propias capacidades de procesamiento. Los usuarios sentirán que la velocidad de Internet es cada vez más lenta. Cuando el programa troyano de suplantación de ARP deja de ejecutarse, el usuario reanudará el acceso a Internet desde el enrutador y se desconectará nuevamente durante el proceso de cambio. Los usuarios de HiPER descubrieron rápidamente el troyano de suplantación de ARP y vieron una gran cantidad de la siguiente información en el "Historial del sistema" del enrutador (este mensaje solo está disponible en versiones de software del enrutador posteriores a 440): MAC Chged 10.128.103.124 MAC Old 00:01 :6c:36 :d1:7f MAC New 00:05:5d:60:c7:18 Este mensaje representa que la dirección MAC del usuario ha cambiado. Cuando el troyano de suplantación de identidad ARP comienza a ejecutarse, las direcciones MAC de todos los hosts de la LAN son. actualizado a la dirección MAC del host del virus (es decir, la nueva dirección MAC de toda la información es consistente con la dirección MAC del host del virus. Al mismo tiempo, en las "Estadísticas de usuario" del enrutador). Se verá que la información de la dirección MAC de todos los usuarios es la misma. Si ve una gran cantidad de direcciones MAC antiguas que son consistentes en el "Historial del sistema" del enrutador, significa que se ha producido una suplantación de ARP en la LAN (cuando el programa troyano de suplantación de ARP deja de ejecutarse, el host recupera su dirección MAC real en el enrutador). Encuentre el host del virus en la LAN. Arriba ya conocemos la dirección MAC del host que usa troyanos de suplantación de ARP, luego podemos usar la herramienta NBTSCAN (dirección de descarga:) para encontrarlo rápidamente. NBTSCAN puede obtener la dirección IP real y la dirección MAC de la PC. Si hay un "troyano legendario" que causa problemas, se puede encontrar la dirección IP/MAC de la PC con el troyano.
Comando: "nbtscan -r 192.168.16.0/24" (busque todo el segmento de red 192.168.16.0/24, es decir, 192.168.16.1-192.168.16.254 o "nbtscan 192.168.16.25-137" busque 192.168.16.25-); 13 7 segmentos de red, a saber, 192.168.16.25-192.168.16.137. La primera columna del resultado es la dirección IP y la última columna es la dirección MAC. Ejemplo de uso de NBTSCAN: Supongamos que encuentra un host de virus con una dirección MAC de "000d870d585f". 1) Descomprima nbtscan.exe y cygwin1.dll en el paquete comprimido y colóquelos en c:. 2) Inicio - Ejecutar - Abrir en Windows, ingrese cmd (ingrese "comando" en windows98), ingrese en la ventana de DOS que aparece: C: btscan -r 192.168.16.1/24 (aquí debe ingresar de acuerdo con el usuario real segmento de red), coche de retorno. C: Documentos y configuracionesALAN C: btscan -r 192.168.16.1/24 Advertencia: la opción -r no se admite en Windows. Se ejecuta sin ella. Se realiza un escaneo de nombres NBT para direcciones desde la dirección IP 192.168.16.1/24 Dirección MAC del usuario del servidor de nombres NetBIOS. -------------------------------------------------- ----------------------- 192.168.16.0 Error de envío: no se puede asignar la dirección solicitada 192.168.16.50 SERVIDOR 00-e0-4c-4d -96 -c6 192.168.16.111 ADMINISTRADOR LLF 00-22-55-66-77-88 192.168.16.121 UTT-HIPER 00-0d-87-26-7d-78 192.168.16.175 JC 00-07-95-e0-7c -d7 192.168.16.223 test123 test123 00-0d-87-0d-58-5f 3) Al consultar la tabla de correspondencia IP-MAC, se encontró que la dirección IP del host del virus "000d870d585f" es "192.168.16.223". Solución: 1. No base la relación de confianza de seguridad de su red en IP o MAC (rarp también tiene el problema del engaño. La relación ideal debería basarse en IP MAC). 2. Configure una tabla de correspondencia MAC-IP estática y no permita que el host actualice la tabla de conversión que configuró. 3. A menos que sea necesario, deje de usar ARP y guarde ARP como una entrada permanente en la tabla correspondiente. 4. Utilice el servidor ARP. Utilice este servidor para buscar su propia tabla de traducción ARP para responder a las transmisiones ARP de otras máquinas. Asegúrese de que este servidor ARP no esté pirateado. 5. Utilice ""proxy"" para la transmisión IP por proxy. 6. Utilice hardware para proteger el host. Configure su ruta para asegurarse de que la dirección IP pueda llegar a la ruta legal. (configure estáticamente las entradas ARP enrutadas), tenga en cuenta que la suplantación de ARP no se puede evitar mediante la conmutación de concentradores y puentes. 7. El administrador obtiene periódicamente una solicitud rarp del paquete IP de respuesta y luego verifica la autenticidad de la respuesta ARP. 8. El administrador realiza encuestas periódicamente para comprobar la caché ARP en el host.
9. Utilice un firewall para monitorear continuamente la red. Tenga en cuenta que cuando se utiliza SNMP, la suplantación de ARP puede provocar la pérdida de paquetes de captura. Solución para usuarios de HiPER Se recomienda que los usuarios adopten un método de enlace bidireccional para resolver el problema y evitar la suplantación de ARP. 1. Vincule la dirección IP y MAC del enrutador en la PC: 1) Primero, obtenga la dirección MAC de la red interna del enrutador (por ejemplo, la dirección MAC de la puerta de enlace HiPER 192.168.16.254 es la dirección MAC del puerto LAN de 0022aa0022aa). 2) Escriba un archivo por lotes rarp.bat con el siguiente contenido: @echo off arp -d arp -s 192.168.16.254 00-22-aa-00-22-aa Cambie la dirección IP de la puerta de enlace y la dirección MAC en el archivo a su own La dirección IP de la puerta de enlace y la dirección MAC son suficientes. Arrastre este software de procesamiento por lotes a "Windows--Inicio--Programa--Inicio"