Responda a los agentes de la ley de la red y a los ataques de suplantación de ARP

Noticias de la tienda de computadoras: muchas escuelas, las redes internas de las empresas a menudo tienen personas poco éticas que utilizan el software de suplantación de ARP para atacar a otros, permiten que muchas personas abandonen la línea e incluso permiten que toda la red 瘫痪. En respuesta a este problema, puede adoptar el siguiente enfoque. Presentar un cortafuegos: Outpost Firewall. Puede proteger software de LAN como "P2P Terminator", y es muy bueno. También puede saber qué máquina está en uso, es poderosa y ocupa menos recursos. Puede obtener 5 estrellas. Haga clic aquí para descargar Outpost Firewall. De hecho, un software como la administración de redes usa ARP para lograr su propósito. El principio es hacer que la computadora no pueda encontrar la dirección MAC de la puerta de enlace. Entonces, ¿qué es la falsificación ARP? Déjame decirte primero qué es ARP. ARP (Address Resolution Protocol) es un protocolo de resolución de direcciones, que es un protocolo para convertir una dirección IP en una dirección física. Hay dos formas de asignar la dirección IP a la dirección física: tabular y no tabular. Específicamente, ARP resuelve la dirección de la capa de red (capa IP, que es equivalente a la tercera capa de OSI) a la dirección MAC de la capa de conexión de datos (capa de MAC, que es equivalente a la segunda capa de OSI). Principio ARP: una máquina A envía un mensaje al host B. Consulta la tabla de caché ARP local y encuentra la dirección MAC correspondiente a la dirección IP de B. Si no se encuentra, transmita un mensaje de solicitud ARP (que lleva la dirección IP del host A y mdash; dirección física Pa) y solicita el host B con la dirección IP Ib para responder a la dirección física Pb. Todos los hosts de la red, incluido B, reciben una solicitud ARP, pero solo el host B identifica su propia dirección IP y luego envía un paquete de respuesta ARP al host A. Contiene la dirección MAC de B. Después de recibir la respuesta de B, A actualizará el caché ARP local. Luego, estos datos se envían utilizando esta dirección MAC (la dirección de la tarjeta MAC se adjunta a la dirección MAC). Por lo tanto, esta tabla ARP de la memoria caché local es la base para la circulación de la red local, y esta memoria caché es dinámica. El protocolo ARP no solo recibe una respuesta ARP cuando se envía una solicitud ARP. Cuando la computadora recibe el paquete de respuesta ARP, actualiza la caché ARP local y almacena la dirección IP y MAC en la respuesta en la caché ARP. Por lo tanto, cuando una máquina B en la red de área local envía una respuesta de ARP autofalsificada a A, y si la respuesta es B falsificada, es decir, la dirección IP es C y la dirección MAC se falsifica, entonces A Después de recibir la respuesta ARP forjada en B, la caché ARP local se actualiza, de modo que la dirección IP de A no ha cambiado y su dirección MAC no es la original. Dado que la circulación de la red de la red de área local no se basa en la dirección IP, se transmite de acuerdo con la dirección MAC. Por lo tanto, la dirección MAC falsa se cambia a una dirección MAC no existente en A, lo que hará que la red no sea accesible, lo que hará que A no haga ping a C! Esta es una simple parodia ARP. La solución se puede resumir de la siguiente manera: 1. Uso de VLAN Siempre y cuando su PC y el software P2P Terminator no estén en la misma VLAN, no puede llevarlo a usted. 2. Use enlace IP /MAC bidireccional. Vincule la suya en el PC. La dirección MAC del enrutador de salida, el software P2P Terminator no puede falsificar ARP por usted y, naturalmente, no lo puede controlar, pero el MAC de la ruta vinculada a la PC no es seguro, ya que el software P2P Terminator puede falsificar la ruta, por lo que la mejor solución Es una PC que utiliza enlace bidireccional IP /MAC en la ruta. Es decir, la dirección MAC de la ruta saliente está vinculada al PC, y la dirección IP y MAC de la PC están vinculadas a la ruta. Esto requiere enrutamiento para admitir el enlace IP /MAC. Por ejemplo, el enrutador HIPER. 3. Use la dirección IP /MAC para robar el enlace + IP /MAC. Simplemente cambie su dirección MAC y la dirección IP a la misma IP y MAC que el software de terminación P2P. Vea cómo se las arregla. Un método para perder ambos lados, debe haber algunos trucos en el cambio, de lo contrario se informará el conflicto de IP. Primero debe cambiar la dirección MAC, luego cambiar la IP, por lo que WINDOWS no informará los conflictos de IP (ventanas de prueba)), haga esto Aun no un paso Para finalizar, lo mejor es que también vincules la dirección MAC del enrutador en la PC, de modo que el terminador P2P falsifique la ruta también sea en vano Bloqueo de la solución de aplicación de la ley de la red Uso del firewall Look N Stop para evitar la suplantación de arp 1. Bloquea la red Control de los oficiales de la ley Los oficiales de la ley de la red utilizan el fraude ARp para lograr propósitos de control. El protocolo ARP se usa para resolver la correspondencia entre IP y MAC, por lo que los siguientes métodos pueden usarse para resistir el control del oficial de cumplimiento de la ley de la red. Si su máquina no está lista para comunicarse con las máquinas en la LAN, puede usar los siguientes métodos:

A. En "Filtrado de Internet", hay una regla de "ARP: Autorizar todos los paquetes ARP". Esta regla está precedida por un indicador de prohibición; B. Pero esta regla también deshabilitará la información de la puerta de enlace de manera predeterminada. La solución es colocar la dirección MAC de la puerta de enlace (generalmente la puerta de enlace está fija) en el área de "destino" de esta regla. En la opción "Ethernet: Dirección", seleccione "No igualar" " y complete la dirección MAC de la puerta de enlace en ese momento; ponga su propia dirección MAC en el área "Fuente", en "Ethernet: En la dirección " seleccione " no es igual a ". C. En el último <; Todos los demás paquetes ", modifique el área " target " de esta regla, en " Ethernet: Address "; seleccione " no es igual a ", rellene FF: FF en la dirección MAC : FF: FF: FF: FF; coloque su propia dirección MAC en el área "Fuente", y seleccione "<; No es igual a" en "<; Ethernet: Dirección". Otros no cambian. Este tipo de oficial de la ley de la red no puede hacer nada. Este método es adecuado cuando no se está comunicando con otras máquinas en la LAN y la dirección de la puerta de enlace es fija. Si su máquina necesita comunicarse con las máquinas en la LAN, solo necesita deshacerse del control del oficial de la ley de la red, entonces el siguiente método es más simple y más práctico (este método es independiente del firewall): ingrese el estado de la línea de comando, ejecute "puerta de enlace IP de la puerta de enlace de ARP" MAC " Muy bien, si desea obtener el MAC de la puerta de enlace, solo haga ping en la puerta de enlace, y luego use el comando Arp -a para ver, puede obtener la correspondencia de IP y MAC de la puerta de enlace. Este método debería ser más versátil, y funciona bien cuando la dirección de la puerta de enlace es variable, repitiendo “ARP -s Gateway IP Gateway MAC”. Este comando se utiliza para establecer una tabla de resolución ARP estática. Además, escuché que el firewall op también puede ser bloqueado, esto no ha sido probado. Prevenga el ataque 1 del terminador P2P: el primer método es modificar su propia dirección MAC. Aquí está el método de modificación: ingrese regedit en el menú " Inicio " " Ejecutar ", abra el Editor del Registro, expanda el registro Para: HKEY_LOCAL_MACHINE \\ System \\ CurrentControlSet \\ Control \\ Class \\ {4D36E9E} subclave, busque DriverDesc en las 0000, 0001, 0002 sucursales debajo de la subclave (si tiene más de una tarjeta de red, hay 0001, 0002 ... ... aquí la información sobre su tarjeta de red se guarda aquí, el contenido de DriverDesc es la descripción de la tarjeta de red, por ejemplo, mi tarjeta de red es un controlador Ethernet basado en Intel 210 41), aquí asuma que su tarjeta de red está en la subclave 0000. Agregue una cadena debajo de la subclave 0000, llamada "" NetworkAddress "", y el valor clave es la dirección MAC modificada, que debe ser de 12 números hexadecimales consecutivos. Luego, cree una nueva subclave llamada NetworkAddress en NDI \\ params debajo de la subclave " 0000 ". Agregue una cadena llamada " default " debajo de la subclave, y el valor clave es la dirección MAC modificada. Bajo la subclave de NetworkAddress, continúe creando una cadena llamada "ParamDesc", que actúa como una descripción de la Dirección de red especificada, que puede ser un valor de "Dirección MAC". De esta manera, abra la propiedad " del vecino de la red y haga doble clic en la tarjeta de red correspondiente para encontrar una configuración avanzada, bajo la cual hay una opción de Dirección de MAC, que es el nuevo elemento que agregó al registro " Dirección de Red " En el futuro, solo necesita modificar la dirección MAC aquí. Cierre el registro, reinicie, y la dirección de su tarjeta de red se ha cambiado. Abra las propiedades del vecino de la red y haga doble clic en el elemento NIC correspondiente para encontrar que hay un elemento de configuración avanzada de la dirección MAC para modificar directamente la dirección MAC. 2: el segundo método es modificar la asignación de IP a MAC para invalidar la falsificación ARP del ataque P2P y romper el límite. El método consiste en usar el comando ARP-a para obtener la dirección MAC de la puerta de enlace en cmd, y finalmente usar el comando de dirección MAC de la tarjeta de red IP de ARP para asignar la dirección IP de la puerta de enlace y su dirección MAC. Sistemas Vista y XP: solo use el comando arp para enlazar su propio MAC y enrutar el MAC, como por ejemplo: arp -s propio IP propio MAC arp -s enrutamiento enrutamiento IP MAC es mejor enlazado, solo enrutamiento enlazado, fuera Los conflictos de IP no pueden aumentar, otros aún pueden sacarlo de la línea de ensamblaje. Si se compromete, los conflictos de IP también pueden conectarse. Windows 9x /2000 requiere software, busca el sniffer anti arp, configura el enrutamiento IP, mac. Sin embargo, los sistemas XP y Vista también pueden instalar este software, puedes ver claramente quién quiere que te desconectes o que te limiten. Por supuesto, también se recomienda reemplazar este sistema con Vista o XP, siempre y cuando se realicen las configuraciones anteriores, se eliminará el terminador p2p. Entrada del sistema Vista y XP en el estado cmd: arp -a Si la IP de enrutamiento tiene su propia IP y el último estado es estático, entonces el enlace es exitoso. Arp -d también es mejor ingresar antes del enlace, elimine el enlace ilegal. Viendo esto, todos lo entienden, no es difícil.