View
256
Download
11
Embed Size (px)
Citation preview
ARP Attack
F74952265 黃煜仁F74969034 李崇瑋
何謂 ARP?
ARP 攻擊 ?
面對 ARP 攻擊的修復與預防 ?
Outline
ARP ( Address Resolution Protocol)
建立 IP 位址與 MAC( 網路卡號 ) 的對應關係
透過查詢的方式更新 ARP table
What’s ARP(1/4)
IP MAC
What’s ARP(2/4)
PCc, IPc : 192.168.0.13MACc : 00-0b-fd-d5-7f-7f
PCb, IPb: 192.168.0.11MACb: 00-1b-11-69-fb-69
PCa , IPa: 192.168.0.10MACa: 00-E0-18-0E-B2-21
IP MAC IP MAC
ARPtable PCc
ARPtable PCa
ARPtable PCb
PCa is sending data to PCb…..in LAN
Switch
IP MAC
Where’s 192.168.0.11?
response
192.168.0.10 00-E0-18-0E-B2-21
192.168.0.11 00-1b-11-69-fb-69
What’s ARP(3/4)
查詢目前 ARP table $arp –a
靜態設置 $arp –s IP MAC
What’s ARP(4/4)
發送一個假的 ARP 封包竄改 ARP Table 使得資 料無法正確傳輸到目的地,造成網路無法 連結,便稱作 ARP Spoofing 。
ARP Spoofing(1/2)
ARP Spoofing(2/2)
崩潰
中間人攻擊 (Man-in-the-middle)
正常 arp 運作
ARP Spoofing
為何難以防禦 駭客在進行竊聽時,一般網路活動仍能正常運作不會斷線,故鮮
少有人會主動發現。
使用者電腦上不會被安裝木馬或惡意軟體,也難以被防毒軟體發現。
駭客在欺騙網路協定時,雖然可能會留下一些蛛絲馬跡,但基於效能與磁碟空間考量,網路裝置一般而言都不會保留太多紀錄檔,造成事後追蹤極為困難。
絕大多數的網路協定,仍然是基於「我相信其他人傳過來的訊息」的假設在運作的,這導致駭客有太多漏洞可以鑽,藉以欺騙網路設備、偽裝成中間人。
如何解決 Arp MITM ARP 欺騙攻擊是屬於區域網路內部的攻擊手法由二
層交換器來偵測及阻擋防禦最為恰當
Ex: NBAD switch
Net Cut 假造 ARP 封包造成目標主機 ARP table 記錄錯誤
來達成斷線目的
ARP 請求封包發送端只管接收回應訊息,卻無法分辨訊息的真偽
由於 MAC address 不正確,所以封包就再也無法傳送到目的主機上
Net Cut 症狀1. 網路時好時壞 (5-10 分鐘斷一次 )
2. " 修復連線 " 後正常
3. arp -a 指令查到的閘道位址與事實不符
1 / 5
2 / 5
3 / 5
4 / 5
5 / 5
如何防止 Net Cut
1. 就是 netcut 自己,勾選【 Protect My Computer 】 。
2. Anti Netcut 程式,啟動後按下【開始防護】即可。
3. AntiArpSinffer 程式,啟動後按下【自動防護】即可。另還有【追博攻擊者】功能,可協助找追害你的人的 IP喔。
4. 加裝 VLAN switch
Trend Micro 網站
資安論壇
WIKI
Reference