La suplantación de ARP conduce a cadenas de red. Este es el mayor riesgo de seguridad en LAN. Ahora hay una gran cantidad de software anti-ARP, pero aún es necesario el conocimiento de defensa necesario. El artículo describe cómo evitar la falsificación de ARP en Vista.
Las redes internas de muchas escuelas y empresas a menudo tienen personas poco éticas que utilizan el software de suplantación de identidad de ARP para atacar a otros, lo que hace que muchas personas dejen de lado la línea e incluso paralicen la red completa. En respuesta a este problema, puede adoptar el siguiente enfoque.
Introducción a un cortafuegos: Outpost Firewall. Puede proteger software de LAN como "P2P Terminator", el efecto es super bueno y también puede descubrir qué máquina está en uso, es poderosa y ocupa menos recursos, puede obtener 5 estrellas.
De hecho, un software similar, como la administración de redes, utiliza el engaño de arp para lograr el propósito. El principio es hacer que la computadora no pueda encontrar la dirección Mac de la puerta de enlace. Entonces, ¿qué es la falsificación ARP?
En primer lugar, vamos a hablar de lo que es ARP. ARP (Address Resolution Protocol) es un protocolo de resolución de direcciones, que es un protocolo para convertir una dirección IP en una dirección física. Hay dos formas de asignar la dirección IP a la dirección física: tabular y no tabular.
ARP se refiere específicamente a la capa de red (capa IP, que es equivalente a la tercera capa de OSI), la dirección se resuelve a la capa de conexión de datos (capa MAC, que es equivalente a la segunda capa de OSI) dirección de Mac. Principio de ARP: Una máquina A envía un mensaje al host B, consultará la tabla de caché ARP local y, después de encontrar la dirección MAC correspondiente a la dirección IP de B, realizará la transmisión de datos. Si no se encuentra, transmita un mensaje de solicitud de ARP (con la dirección IP Ia del host A - dirección física Pa) y solicite al host B con la dirección IP Ib que responda a la dirección física Pb. Todos los hosts de la red, incluido B, reciben una solicitud ARP, pero solo el host B identifica su propia dirección IP y luego envía un paquete de respuesta ARP al host A. Contiene la dirección MAC de B. Después de recibir la respuesta de B, A actualizará el caché ARP local. Luego, use esta dirección MAC para enviar datos (la tarjeta de red adjunta la dirección Mac). Por lo tanto, esta tabla ARP de la memoria caché local es la base para la circulación de la red local, y esta memoria caché es dinámica.
El protocolo ARP no solo recibe respuestas ARP cuando se envía una solicitud ARP. Cuando la computadora recibe el paquete de respuesta ARP, actualiza la memoria caché ARP local y almacena las direcciones IP y Mac en la respuesta en la memoria caché ARP. Por lo tanto, cuando una máquina B en la red de área local envía una respuesta de ARP autofalsificada a A, y si la respuesta es B falsificada, es decir, la dirección IP es C y la dirección MAC se falsifica, entonces A Después de recibir la respuesta ARP forjada con B, actualizará el caché ARP local, de modo que la dirección IP de A no haya cambiado y su dirección Mac no sea la original. Dado que la circulación de la red de la red de área local no se basa en la dirección IP, se transmite de acuerdo con la dirección MAC. Por lo tanto, la dirección MAC falsa se cambia a una dirección Mac inexistente en A, lo que hará que la red no sea accesible, lo que hará que A no haga ping a C. Esta es una simple parodia ARP.
La solución se resume de la siguiente manera:
1. Use VLAN
Siempre que su PC y el software P2P Terminator no estén en la misma VLAN, no podrá llevarlo a cabo.
2. Uso de dos vías Enlace de IP /Mac
Vincule la dirección MAC de su enrutador de salida en la PC. El software P2P Terminator no puede falsificar ARP. Naturalmente, no puede controlarlo, pero es solo que el MAC de la PC no es seguro. Debido a que el software P2P Terminator puede falsificar el enrutamiento, la mejor solución es usar una PC, enlace IP /MAC bidireccional en la ruta, es decir, vincular la dirección MAC de la ruta saliente en la PC y vincular la IP de la PC a la ruta. Y la dirección MAC, esto requiere enrutamiento para admitir el enlace IP /Mac, como el enrutador HIPER.
3. Utilice la dirección IP /MAC para robar el enlace + IP /Mac. Simplemente cambie su dirección MAC y su dirección IP La IP y MAC son las mismas que las que ejecutan el software P2P Terminator. Vea cómo se las arregla. Este es un enfoque doble. Hay algunos trucos en los cambios. De lo contrario, se informarán los conflictos de IP. Primero debe cambiar la dirección de Mac y luego cambiar la IP. De esta manera, WINDOWS no informará conflictos de IP (Windows estúpido))), haga El paso aún no ha finalizado. Lo mejor es que también enlace la dirección Mac de la ruta en la PC, de modo que el terminador P2P que falsifica la ruta también sea en vano. Bloqueo de la solución de aplicación de la ley de la red
Uso de Look N Stop Cortafuegos, evitar la suplantación de arp. 1. Prevenir el control de la aplicación de la ley en la red. El protocolo ARP se utiliza para resolver la correspondencia entre IP y Mac, por lo que los siguientes métodos pueden usarse para resistir el control de los oficiales de la ley de la red. Si su máquina no está lista para comunicarse con las máquinas en la LAN, puede utilizar el siguiente método:
A. Hay una regla "ARP: Autorizar todos los paquetes ARP" en "Filtrado de Internet", y se coloca un indicador de prohibición frente a esta regla.; .B. Pero esta regla deshabilitará de manera predeterminada la información de la puerta de enlace, la forma de tratarla es poner la dirección MAC de la puerta de enlace (generalmente la puerta de enlace está fija) en el área "objetivo" de esta regla, en "Ethernet En la "Dirección", seleccione "No igual a" y complete la dirección MAC de la puerta de enlace en ese momento; coloque la dirección de su Mac en el área "Fuente" y seleccione "No igual a" en "Ethernet: Dirección".
C. En el último "Todos los demás paquetes", modifique el área de "destino" de esta regla, seleccione "no igual" en "Ethernet: Dirección", complete FF: FF: FF: FF en la dirección MAC : FF: FF; ponga su dirección de Mac en el área "Fuente", y seleccione "No es igual a" en "Ethernet: Dirección". Otros no cambian.
Este tipo de agente de la ley de la red no puede hacer nada al respecto. Este método es adecuado cuando no se está comunicando con otras máquinas en la LAN y la dirección de la puerta de enlace es fija.
Si su máquina necesita comunicarse con las máquinas en la LAN, solo necesita deshacerse del control del oficial de la ley de la red, entonces el siguiente método es más simple y práctico (este método es independiente del firewall):
Ingrese el estado de la línea de comando, ejecute "ARP -s Gateway IP gateway MAC "está bien. Para obtener el MAC de la puerta de enlace, solo haga ping en la puerta de enlace y luego use el comando Arp -a para ver la IP y MAC de la puerta de enlace. Este método debería ser más versátil y funciona bien cuando la dirección de la puerta de enlace es variable. Repita una vez el "ARP -s Gateway IP Gateway Mac". Este comando se utiliza para establecer una tabla de resolución ARP estática.
Además, escuché que el firewall op también puede ser bloqueado, esto no ha sido probado.
Prevenir ataques de terminadores P2P
1: El primer método es modificar su dirección Mac. Aquí está el método de modificación:
Ingrese regedit en "Ejecutar" del menú "Inicio" para abrir el editor de registro. Para expandir el registro a: HKEY_LOCAL_MACHINE \\ System \\ CurrentControlSet \\ Control \\ Class \\ {4D36E9E} subclave, busque DriverDesc en las 0000, 0001, 0002 sucursales debajo de la subclave (si tiene más de una tarjeta de red, hay 0001 , 0002 ...... Aquí está la información sobre su tarjeta de red, el contenido de DriverDesc es la descripción de la tarjeta de red, por ejemplo, mi tarjeta de red es Controlador de Ethernet basado en Intel 210 41), aquí asuma que su tarjeta de red está en 0000 Subclave Agregue una cadena debajo de la subclave 0000, llamada "Dirección de red", y el valor clave es la dirección MAC modificada, que debe ser 12 números hexadecimales consecutivos. Luego cree una nueva subclave llamada NetworkAddress en NDI \\ params debajo de la subclave "0000". Agregue una cadena llamada "default" debajo de la subclave. El valor clave es la dirección Mac modificada.
Continúe creando una cadena llamada "ParamDesc" bajo la subclave de NetworkAddress, que se utiliza para especificar la descripción de la dirección de red, y su valor puede ser "Dirección MAC". De esta manera, después de abrir las "Propiedades" del vecino de la red, haga doble clic en la tarjeta de red correspondiente y encontrará una configuración "Avanzada". Hay una opción para la Dirección de MAC debajo. Es el nuevo elemento "Dirección de Red" que agregó en el registro. Modificar la dirección MAC. Cierre el registro, reinicie, y la dirección de su tarjeta de red se ha cambiado. Abra las propiedades del vecino de la red, haga doble clic en el elemento correspondiente de la tarjeta de red y encontrará una configuración avanzada de la dirección MAC para la modificación directa de la dirección Mac.
2: El segundo método es modificar la asignación de IP a MAC para invalidar la falsificación ARP de los ataques P2P y romper sus limitaciones. El método consiste en usar el comando ARP-a para obtener la dirección MAC de la puerta de enlace en cmd, y finalmente usar el comando de dirección MAC de la NIC IP de ARP para asignar la dirección IP de la puerta de enlace y su dirección Mac.
Sistemas Vista y XP: simplemente use el comando arp para enlazar su propio MAC y enrutar su Mac, como por ejemplo:
arp -s posee su propia IP para Mac
arp -s enrutamiento enrutamiento de IP Mac
Enlazarla, solo enlazar la ruta, entonces el conflicto de IP no aumentará, otros aún podrán desviarte de la línea, si te vinculas, el conflicto de IP también puede acceder a Internet.
Windows 9x /2000 requiere software, busca anti arp sniffer, configura enrutamiento IP, Mac. Sin embargo, los sistemas XP y Vista también pueden instalar este software, puedes ver claramente quién quiere que te desconectes o que te limiten. Por supuesto, también se recomienda reemplazar este sistema con Vista o XP, siempre y cuando se realicen las configuraciones anteriores, se eliminará el terminador p2p.
Vista y XP de la entrada del sistema en estado cmd: arp -a
Si la IP de enrutamiento tiene su propio IP, el último estado es estático, entonces el enlace es exitoso
arp -d
Lo mejor es ingresarlo y eliminar el enlace ilegal.
Al ver esto, todos lo entienden, no es difícil.