Master te enseña a identificar el principio de la falsificación de ARP y evitar que te engañen

A menudo escucho a amigos a mi alrededor decir que la red de mi computadora ha sido atacada. A menudo hay personas sin escrúpulos que usan el software de suplantación de identidad de ARP para atacar a otros, lo que hace que muchas personas dejen la línea e incluso paralicen toda la red. En respuesta a este problema, primero entendemos su principio de ataque y su principio de decepción, y los amigos que están profundamente heridos se apresuran a echar un vistazo.

Primero, el principio de la falsificación de ARP es el siguiente:

Supongamos que en una red de este tipo, un concentrador se conecta a 3 máquinas

HostA HostB HostC donde

A La dirección es: IP: 192.168.10.1 MAC: AA-AA-AA-AA-AA-AA

La dirección de B es: IP: 192.168.10.2 MAC: BB-BB-BB-BB-BB-BB

La dirección de C es: IP: 192.168.10.3 MAC: CC-CC-CC-CC-CC-CC

Normalmente C: \\ arp -a

Interfaz: 192.168.10.1 en la Interfaz 0x1000003

Tipo de dirección física de la dirección de Internet

192.168.10.3 CC-CC-CC-CC-CC-CC-dinámica

Ahora suponga que se inicia HostB Sinful ARP spoofing:

B envía una respuesta ARP falsa a A, y los datos en esta respuesta son la dirección IP del remitente es 192.168.10.3 (la dirección IP de C), y la dirección MAC es DD- DD-DD-DD-DD-DD (la dirección MAC de C debería haber sido CC-CC-CC-CC-CC-CC, que se forjó aquí). Cuando A recibe una respuesta ARP forjada en B, actualiza la caché ARP local (A no sabe que fue falsificada). Y A no sabe que en realidad se envía desde B, A aquí solo 192.168.10.3 (dirección IP de C) y una dirección MAC de DD-DD-DD-DD-DD no válida, no hay evidencia relacionada con el criminal B, Jaja, entonces los criminales son infelices.

Ahora se actualiza la caché ARP para una máquina:

C: \\ > arp -a

Interfaz: 192.168.10.1 en la Interfaz 0x1000003

Internet Dirección Tipo de dirección física

192.168.10.3 DD-DD-DD-DD-DD-DD dinámica

Esto no es un asunto menor. La circulación de la red de la red de área local no se basa en la dirección IP, sino que se transmite de acuerdo con la dirección MAC. La dirección MAC de 192.168.10.3 ahora se cambia en A a una dirección MAC que no existe. Ahora, A inicia Ping 192.168.10.3, la dirección MAC enviada por la tarjeta de red es DD-DD-DD-DD-DD-DD, ¿cuál es el resultado? ¡La red es inalcanzable, A no puede hacer ping a C!

Entonces, Una máquina en la LAN envía repetidamente dichos paquetes de respuesta ARP no válidos y falsos a otras máquinas, especialmente a la puerta de enlace. ¡NND, comienza una grave congestión de la red! Comenzó la pesadilla del administrador del cibercafé. Mi objetivo y misión es atraparlo la primera vez. Sin embargo, de la declaración anterior, parece que los delincuentes explotaron perfectamente los defectos de Ethernet y ocultaron sus delitos. Pero, de hecho, los métodos anteriores han dejado una pista. Aunque el paquete ARP no deja la dirección de HostB, la trama de Ethernet que lleva el paquete ARP contiene la dirección de origen de HostB. Además, en la trama de datos de Ethernet en circunstancias normales, la dirección de origen /destino de MAC en el encabezado de la trama debe emparejarse con la información ARP en el paquete de datos de la trama, y ​​dicho paquete ARP se considera correcto. Si no es correcto, debe ser un paquete falso. Se le puede recordar. Pero si coincide, no significa necesariamente que sea correcto. Tal vez el falsificador también tome en cuenta este paso y falsifique el paquete ARP que cumple con los requisitos de formato, pero el contenido es falso. Sin embargo, no importa, siempre que la puerta de enlace tenga una base de datos de tarjeta de red con todas las direcciones MAC de este segmento de red, si no coincide con los datos de la base de datos de Mac, también es un paquete ARP falso. También se puede recordar a los criminales que comiencen. Anterior 12 Página siguiente Total 2 páginas