ARP Attack

F74952265 黃煜仁F74969034 李崇瑋

何謂 ARP?

ARP 攻擊 ?

面對 ARP 攻擊的修復與預防 ?

Outline

ARP ( Address Resolution Protocol)

建立 IP 位址與 MAC( 網路卡號 ) 的對應關係

透過查詢的方式更新 ARP table

What’s ARP(1/4)

IP MAC

What’s ARP(2/4)

PCc, IPc : 192.168.0.13MACc : 00-0b-fd-d5-7f-7f

PCb, IPb: 192.168.0.11MACb: 00-1b-11-69-fb-69

PCa , IPa: 192.168.0.10MACa: 00-E0-18-0E-B2-21

IP MAC IP MAC

ARPtable PCc

ARPtable PCa

ARPtable PCb

PCa is sending data to PCb…..in LAN

Switch

IP MAC

Where’s 192.168.0.11?

response

192.168.0.10 00-E0-18-0E-B2-21

192.168.0.11 00-1b-11-69-fb-69

What’s ARP(3/4)

查詢目前 ARP table $arp –a

靜態設置 $arp –s IP MAC

What’s ARP(4/4)

發送一個假的 ARP 封包竄改 ARP Table 使得資 料無法正確傳輸到目的地，造成網路無法 連結，便稱作 ARP Spoofing 。

ARP Spoofing(1/2)

ARP Spoofing(2/2)

崩潰

中間人攻擊 (Man-in-the-middle)

正常 arp 運作

ARP Spoofing

為何難以防禦 駭客在進行竊聽時，一般網路活動仍能正常運作不會斷線，故鮮

少有人會主動發現。

使用者電腦上不會被安裝木馬或惡意軟體，也難以被防毒軟體發現。

駭客在欺騙網路協定時，雖然可能會留下一些蛛絲馬跡，但基於效能與磁碟空間考量，網路裝置一般而言都不會保留太多紀錄檔，造成事後追蹤極為困難。

絕大多數的網路協定，仍然是基於「我相信其他人傳過來的訊息」的假設在運作的，這導致駭客有太多漏洞可以鑽，藉以欺騙網路設備、偽裝成中間人。

如何解決 Arp MITM ARP 欺騙攻擊是屬於區域網路內部的攻擊手法由二

層交換器來偵測及阻擋防禦最為恰當

Ex: NBAD switch

Net Cut 假造 ARP 封包造成目標主機 ARP table 記錄錯誤

來達成斷線目的

ARP 請求封包發送端只管接收回應訊息，卻無法分辨訊息的真偽

由於 MAC address 不正確，所以封包就再也無法傳送到目的主機上

Net Cut 症狀1. 網路時好時壞 (5-10 分鐘斷一次 )

2. " 修復連線 " 後正常

3. arp -a 指令查到的閘道位址與事實不符

1 / 5

2 / 5

3 / 5

4 / 5

5 / 5

如何防止 Net Cut

1. 就是 netcut 自己，勾選【 Protect My Computer 】 。

2. Anti Netcut 程式，啟動後按下【開始防護】即可。

3. AntiArpSinffer 程式，啟動後按下【自動防護】即可。另還有【追博攻擊者】功能，可協助找追害你的人的 IP喔。

4. 加裝 VLAN switch

Trend Micro 網站

資安論壇

WIKI

Reference