¿Cómo puede un hacker desconectar su computadora de Internet?

Dependiendo de su situación, lo más probable es que este tipo de ataque a la LAN su computadora haya sido atacada y restringida por software como Network Law Enforcement Officer o P2P Terminator. Será más útil ver si. su DNS se ve afectado. La posibilidad es que el principio de falla del método de prevención de ataques ARP sea el siguiente. En la LAN, la dirección IP se convierte en la dirección física de segunda capa (es decir, la dirección MAC) a través del protocolo ARP. El protocolo ARP es de gran importancia para la seguridad de la red. La suplantación de ARP se logra falsificando direcciones IP y direcciones MAC, lo que puede generar una gran cantidad de tráfico ARP en la red y obstruir la red. En una LAN, para que dos dispositivos de red se comuniquen entre sí, deben conocer la dirección física del otro, es decir, la dirección MAC. La relación entre la dirección IP y la dirección MAC es como la relación entre los dos residentes Xiao Li y Xiao Zhang en los dos edificios A y B. Supongamos que Xiao Li vive en el Edificio A y Xiao Zhang vive en el Edificio B. Si Xiao Li quiere hablar con Xiao Zhang al otro lado del edificio, Xiao Li debe gritar el nombre de Xiao Zhang (dirección MAC) en el Edificio A antes de que las dos partes puedan hablar. De lo contrario, si Xiao Li grita Edificio B (dirección IP), no podrá tener una conversación. El contacto entre Xiao Li y Xiao Zhang antes de la conversación se completa a través del protocolo ARP. El protocolo ARP es la abreviatura de "Protocolo de resolución de direcciones". La llamada "resolución de direcciones" es el proceso en el que el host convierte la dirección IP de destino en la dirección MAC de destino antes de enviar la trama. La función básica del protocolo ARP es consultar la dirección MAC del dispositivo de destino a través de la dirección IP del dispositivo de destino para garantizar una comunicación fluida. Cada computadora con el protocolo TCP/IP instalado tiene una tabla de caché ARP. Las direcciones IP en la tabla corresponden a las direcciones MAC uno a uno, como se muestra en la siguiente tabla. Tomemos como ejemplo el host A (192.168.16.1) que envía datos al host B (192.168.16.2). Al enviar datos, el host A buscará la dirección IP de destino en su tabla de caché ARP. Si se encuentra, también conoce la dirección MAC de destino y puede simplemente escribir la dirección MAC de destino en la trama y enviarla. Si la dirección IP correspondiente no se encuentra en la tabla de caché ARP, el host A enviará una transmisión; la red, la dirección MAC de destino es "FF.FF.FF.FF.FF.FF", lo que significa que se envía dicha consulta a todos los hosts en el mismo segmento de red: "¿Cuál es la dirección MAC de 192.168.16.2? " Otros hosts en la red no responden a la consulta ARP. Solo cuando el host B recibe esta trama, responde al host A así: "La dirección MAC de 192.168.16.2 es bb-bb-bb-bb-bb-bb ". De esta manera, el host A conoce la dirección MAC del host B y puede enviar información al host B. Al mismo tiempo, también actualiza su propia tabla de caché ARP. La próxima vez que envíe información al host B, podrá buscarla directamente en la tabla de caché ARP. La tabla de caché ARP adopta un mecanismo de antigüedad. Si una fila de la tabla no se utiliza dentro de un período de tiempo, se eliminará. Esto puede reducir en gran medida la longitud de la tabla de caché ARP y acelerar la consulta. Como se puede ver en lo anterior, la base del protocolo ARP es confiar en todos en la LAN, por lo que es fácil lograr la suplantación de ARP en Ethernet. Falsifica el objetivo A. Cuando A hace ping al host C, envía el mensaje a la dirección DD-DD-DD-DD-DD-DD. Si la dirección MAC de C se falsifica como DD-DD-DD-DD-DD-DD, entonces los paquetes de datos enviados por A a C se enviarán a D. ¿No es esto solo porque D puede recibir el paquete de datos enviado por A? El rastreo es exitoso. A no estaba consciente de este cambio en absoluto, pero lo que sucedió después lo hizo sospechar. Porque A y C no se pueden conectar. D recibió el paquete de datos enviado por A a C pero no lo reenvió a C. Es decir, si hace "hombre en el medio" en D, realice la redirección ARP. Active la función de reenvío de IP de D y los paquetes de datos enviados por A se reenvían a C, como un enrutador. Sin embargo, si D envía una redirección ICMP, rompe todo el plan. D modifica y reenvía directamente el paquete completo, captura los paquetes de datos enviados por A a C, los modifica todos y luego los reenvía a C. Sin embargo, los paquetes de datos recibidos por C se consideran completamente enviados desde A.

Sin embargo, el paquete de datos enviado por C se pasa directamente a A. Si se realiza nuevamente la suplantación ARP de C. Ahora D se ha convertido por completo en el puente intermedio entre A y C y puede comprender bien la comunicación entre A y C. Solución: debido a defectos en el protocolo ARP, cualquier host actualizará su caché ARP sin ninguna verificación al recibir un paquete ARP. Cuando se produce una suplantación de identidad ARP, cambiará arbitrariamente la dirección IP+MAC de su puerta de enlace, lo que provocará la desconexión. La solución es abandonar este método de actualización dinámica del caché ARP y utilizar el método especificado estáticamente por el administrador. Para lograr un comportamiento normal de acceso a Internet en una LAN, es necesario garantizar una comunicación normal en dos aspectos: (1) la IP+MAC que apunta a la puerta de enlace local en el host (computadora) es correcta (2) en la puerta de enlace (generalmente); un enrutador), la IP+MAC que apunta a la computadora local es correcta. De acuerdo con los dos principios anteriores, podemos garantizar que la comunicación entre todos los hosts y enrutadores sea normal y evitar que nos engañen y provoquen desconexiones. La solución es realizar un enlace bidireccional; vincular la dirección IP+MAC del enrutador en todas las computadoras locales; vincular la dirección IP+MAC de todas las computadoras en la puerta de enlace (enrutador). 1. Cómo vincular las direcciones IP+MAC de todos los hosts (computadoras) en el enrutador. Por lo general, es relativamente sencillo vincular las direcciones IP+MAC de todos los hosts en el enrutador. Aitai Technology incluso proporciona vinculación de todos con un solo clic; hosts Para la función de dirección IP+MAC del host, solo necesita hacer clic en "Vincular todo" para vincular las direcciones IP+MAC de todas las computadoras a la vez, como se muestra a continuación: 2. Cómo vincular la dirección IP+MAC de la puerta de enlace. (enrutador) en el host; 1) Primero, obtenga la dirección MAC de la red interna del enrutador (por ejemplo, la dirección MAC de la dirección de puerta de enlace HiPER 192.168.16.254 es 0022aa0022aa). 2) Abra el Bloc de notas, escriba un archivo por lotes rarp.bat, guárdelo con el sufijo .bat, el contenido es el siguiente: @echo off arp -d arp -s 192.168.16.254 00-22-aa-00-22-aa Nota: Cambie la dirección IP de la puerta de enlace y la dirección MAC en el archivo por las suyas. 3) Arrastre este software de procesamiento por lotes a "Windows - Inicio - Programas - Inicio" para asegurarse de que este archivo por lotes se pueda ejecutar cada vez que se inicie Windows. 3. Después de completar los dos pasos anteriores, se completa la vinculación bidireccional. Sin embargo, en la práctica, se descubrió que después de vincular la dirección IP+MAC de la puerta de enlace (enrutador) en la computadora, algunas variantes de virus de suplantación de ARP eliminarán el enlace en la computadora después de eliminar solo el enlace en una computadora. No importa todavía, pero cuando este virus comienza a propagarse en la LAN e infecta a la mayoría de los hosts (computadoras), el enlace bidireccional realizado anteriormente es esencialmente ineficaz. En este momento, todavía habrá desconexiones a gran escala en la LAN. En respuesta a esta situación, recomendamos que los usuarios utilicen los siguientes métodos para mejorar el paso 2: 1) Omita el paso 2 anterior 2) Instale la versión independiente. del firewall AntiARP, dirección de descarga:/download.htm. Para evitar que se elimine el enlace estático en el host (computadora), el software verificará automáticamente cada período de tiempo y lo volverá a vincular si se encuentra eliminado. 3) En la IP/MAC de la puerta de enlace, configure manualmente la dirección IP y la dirección MAC de la puerta de enlace, ingrese la dirección IP+MAC de su puerta de enlace LAN y confirme, como se muestra a continuación: 4) Mantenga el software iniciado cuando la computadora comienza. 4. Cómo comprobar si el enlace estático del host actual es efectivo. Ingrese arp –a en la línea de comando. Si el tipo de enlace estático (Tipo) correspondiente es estático, significa que ha tenido efecto; si el tipo (Tipo) es dinámico, significa que el enlace no ha tenido efecto. Como se muestra a continuación: El problema del enlace estático bidireccional Siguiendo los pasos anteriores, se puede completar un sistema de defensa para lidiar con la suplantación de ARP en una LAN ordinaria. Sin embargo, no es fácil vincular la dirección IP+MAC de la puerta de enlace a todos los hosts (computadoras). Suponiendo que en una red de 200 computadoras, el administrador de la red seguirá yendo y viniendo entre las 200 computadoras, lo cual es tiempo. Consumo y requiere mucho trabajo. Definitivamente es una prueba para la resistencia del administrador de red.

En respuesta a esta situación, Aitai Technology ha propuesto otra solución: la puerta de enlace (enrutador) transmite periódicamente la información IP+MAC de la puerta de enlace (enrutador) correcta a la LAN para evitar la suplantación de identidad en la LAN. Con este método, el administrador de red solo necesita realizar dos pasos, que se pueden completar fácilmente en 5 minutos: 1) Vincular las direcciones IP+MAC de todos los hosts (computadoras) en la puerta de enlace (enrutador) con un solo clic; en la puerta de enlace (enrutador) La función de defensa activa contra ataques arp se muestra a continuación Soluciones para la suplantación de ARP en entornos de cibercafés 1. El entorno de red general de cibercafés tiene las siguientes características: (1) Todos los hosts de computadoras tienen direcciones IP fijas; . (2) La función DHCP no está habilitada en el enrutador. (3) El número de anfitriones en los cibercafés es muy estable y no habrá una situación en la que constantemente entren y salgan nuevos anfitriones de la red como en un entorno hotelero. 2. Métodos para resolver ataques ARP en el entorno de cibercafé de Aitai Technology: Método 1. Realizar enlace bidireccional (1) Vincular las direcciones IP + MAC de todos los hosts con un clic (2) Vincular la puerta de enlace (enrutador) en; la dirección IP+MAC del host (computadora) instale la versión independiente del firewall AntiARP, dirección de descarga: /download.htm. En IP/MAC de la puerta de enlace, configure manualmente la dirección IP y la dirección MAC de la puerta de enlace, e ingrese la dirección IP+MAC de la puerta de enlace de su LAN. Simplemente mantenga el software iniciándose cuando se inicie su computadora. Como se muestra a continuación: Método 2, 1) Vincular las direcciones IP+MAC de todos los hosts (computadoras) con un clic en la puerta de enlace (enrutador); 2) Habilitar la defensa activa contra ataques arp en la puerta de enlace (enrutador); entorno de pequeñas y medianas empresas Ideas de solución de engaño 1. Generalmente, el entorno de red de las pequeñas y medianas empresas tiene las siguientes características: (1) Todos los hosts de computadoras tienen una combinación de direcciones IP fijas y direcciones IP dinámicas asignadas por DHCP. (2) La función DHCP está habilitada en el enrutador. (3) El número de hosts en la red de las pequeñas y medianas empresas es muy estable y no se introducirán y sacarán continuamente nuevos hosts de la red como en un entorno hotelero. 2. Métodos para resolver ataques ARP en el entorno de las pequeñas y medianas empresas de Aitai Technology: Método 1. Enlace bidireccional (1), vincular la dirección IP + MAC del host dinámico en la puerta de enlace (enrutador) para los hosts; con direcciones IP dinámicas asignadas por DHCP, la red El administrador ha realizado la vinculación DHCP en la puerta de enlace (enrutador) de antemano, como se muestra en la figura siguiente. Después de la vinculación, la dirección IP que la computadora de Li Xiaoming se asigna dinámicamente cada vez es 192.168. 1.100. (2) Vincular la dirección IP+MAC del host con una dirección IP fija en la puerta de enlace (enrutador) (3) Vincular la dirección IP+MAC de la puerta de enlace en el host (computadora) e instalar el firewall AntiARP independiente; versión, dirección de descarga: /download. En IP/MAC de la puerta de enlace, configure manualmente la dirección IP y la dirección MAC de la puerta de enlace, ingrese la dirección IP+MAC de la puerta de enlace de su LAN y confirme. Simplemente mantenga el software iniciándose cuando se inicie su computadora. Como se muestra a continuación: Método 2: utilice la función de defensa dinámica de Aitai Technology. (1) Vincular la dirección IP + MAC del host dinámico en la puerta de enlace (enrutador); para los hosts con direcciones IP dinámicas asignadas por DHCP, el administrador de red debe realizar la vinculación DHCP en la puerta de enlace (enrutador) con anticipación, como se muestra a continuación, Después de la vinculación, la dirección IP que la computadora de Li Xiaoming se asigna dinámicamente cada vez es 192.168.1.100. (2) Vincular la dirección IP+MAC del host con una dirección IP fija en la puerta de enlace (enrutador); (3) Habilitar la función de defensa contra suplantación de identidad ARP de la puerta de enlace (enrutador). Ideas de solución para la suplantación de identidad de ARP en un entorno hotelero 1. El entorno de red general del hotel tiene las siguientes características: (1) Todos los hosts de las computadoras se asignan dinámicamente mediante DHCP. (2) La función DHCP está habilitada en el enrutador. (3) El número de anfitriones en la red del hotel es muy inestable: constantemente se incorporan nuevos anfitriones y los anfitriones originales abandonan constantemente la red. 2. La dificultad de resolver la suplantación de ARP en un entorno hotelero: (1) Todos los hosts de las computadoras son asignados dinámicamente mediante DHCP y los hosts entran y salen constantemente.

(2) El nuevo host (computadora) entrante y la puerta de enlace (enrutador) deben poder identificarse y vincularse automáticamente (3) El host (computadora) saliente y la puerta de enlace (enrutador) deben poder identificarse y eliminarse automáticamente; datos que han sido procesados ​​Enlace estático; 3. Método de Aitai Technology para resolver ataques ARP en un entorno hotelero: Método: Utilice la solución ARP única de Aitai Technology en un entorno hotelero. Ideas: (1) Para los nuevos hosts (computadoras) entrantes, el enrutador Aitai los identifica y vincula automáticamente (2) Para los hosts (computadoras) salientes, el enrutador Aitai identifica y elimina automáticamente las vinculaciones estáticas que se han realizado. Implementación: (1) Active la función DHCP del enrutador Aitai para identificar automáticamente nuevos hosts (computadoras) para el enlace IP+MAC y elimine automáticamente los enlaces DHCP del host fuera de línea (2) Active la función de defensa contra suplantación de ARP de la puerta de enlace (enrutador); 1