¿Alguien en la LAN cambió su propia IP a la IP de la puerta de enlace?

Si simplemente cambia su propia IP a la IP de la puerta de enlace, se producirá un conflicto. La IP de la máquina que usa esta IP primero es válida.

Si se realiza una suplantación de ARP... déjame presentártelo.

Aquí me gustaría recordarles que la mayoría de las suplantaciones de arp no son creadas por el hombre, pero algunos virus lo hacen, por lo que no es seguro si hay actores maliciosos.

El principio de suplantación de ARP es el siguiente:

Supongamos que en dicha red, un Hub está conectado a 3 máquinas

HostA HostB HostC entre ellas

La dirección de A es: IP: 192.168.10.1 MAC: AA-AA-AA-AA-AA-AA

La dirección de B es: IP: 192.168.10.2 MAC: BB-BB- BB-BB- BB-BB

La dirección de C es: IP: 192.168.10.3 MAC: CC-CC-CC-CC-CC-CC

Normalmente C:\arp -a

Interfaz: 192.168.10.1 en la interfaz 0x1000003

Dirección de Internet Tipo de dirección física

192.168.10.3 CC-CC-CC-CC-CC-CC dinámico

p>

Ahora supongamos que el Host B inicia una suplantación de ARP malvada:

B envía una respuesta ARP falsificada a A, y los datos de esta respuesta son la dirección IP del remitente de 192.168.10.3 (dirección IP de C), la dirección MAC es DD-DD-DD-DD-DD-DD (la dirección MAC de C debería haber sido CC-CC-CC-CC-CC-CC, pero fue falsificada aquí) . Cuando A recibe la respuesta ARP falsificada de B, actualizará la caché ARP local (A no sabe que ha sido falsificada). Además, A no sabe que en realidad fue enviado desde B. A solo tiene 192.168.10.3 (dirección IP de C) y una dirección mac DD-DD-DD-DD-DD-DD no válida. No hay evidencia relacionada con el criminal B. Jaja, ¿no serían felices los criminales así?

Ahora el caché ARP de la máquina A está actualizado:

C:\gt;arp -a

Interfaz: 192.168.10.1 en la interfaz 0x1000003

Dirección de Internet Tipo de dirección física

192.168.10.3 DD-DD-DD-DD-DD-DD dinámica

Esto no es un asunto menor. El tráfico de red en la LAN no se basa en direcciones IP, sino en direcciones MAC. Ahora la dirección MAC de 192.168.10.3 se cambia en A a una dirección MAC que no existe. Ahora A comienza a hacer ping a 192.168.10.3 y la dirección MAC enviada por la tarjeta de red es DD-DD-DD-DD-DD-DD. ¡La red está bloqueada y A no puede hacer ping a C en absoluto! !

Si necesita usar B como puerta de enlace, cambie DD-DD-DD-DD-DD-DD a BB-BB-BB-BB-BB-BB, entonces B se convierte en la "Puerta de enlace" real. .

Por lo tanto, si una máquina en la LAN envía repetidamente paquetes de respuesta ARP falsos e inválidos a otras máquinas, especialmente a la puerta de enlace, NND, ¡comenzará una grave congestión de la red! Comienza la pesadilla del administrador del cibercafé.

Mi objetivo y misión es atraparlo lo antes posible. Sin embargo, según la descripción anterior, parece que los delincuentes han explotado perfectamente los defectos de Ethernet para encubrir sus crímenes. Pero, de hecho, los métodos anteriores también dejaron pistas. Aunque el paquete ARP no sale de la dirección de HostB, la trama Ethernet que transporta este paquete ARP sí contiene la dirección de origen de HostB. Además, en circunstancias normales, en una trama de datos Ethernet, la dirección MAC de origen/destino en el encabezado de la trama debe emparejarse con la información ARP en el paquete de datos de la trama, de modo que dicho paquete ARP sea correcto. Si es incorrecto, debe ser una bolsa falsa, ¡recuérdanoslo! Pero si hay una coincidencia, no significa necesariamente que sea correcta. Quizás el falsificador también haya tenido en cuenta este paso y haya falsificado un paquete ARP que cumple con los requisitos de formato pero tiene contenido falso. Pero esto no importa, siempre que la puerta de enlace tenga la base de datos de la tarjeta de red de todas las direcciones MAC en este segmento de red, si no coincide con los datos de la base de datos de Mac, también será un paquete ARP falso. También puede alertar a los delincuentes para que tomen medidas.

2. Medidas preventivas

1. Establezca un servidor DHCP (se recomienda construirlo en la puerta de enlace, porque DHCP no ocupa mucha CPU y los ataques de suplantación de ARP generalmente atacan el puerta de enlace primero. Déjelo atacar la puerta de enlace primero, porque hay un programa de monitoreo en la puerta de enlace. Se recomienda elegir 192.168.10.2 como dirección de puerta de enlace y dejar 192.168.10.1 en blanco. atacar la dirección vacía), y las direcciones IP de todos los clientes. La dirección y la información del host relacionada solo se pueden obtener desde la puerta de enlace. El servicio DHCP se activa aquí, pero cada tarjeta de red debe estar vinculada a una dirección IP fija y única. Asegúrese de mantener una correspondencia uno a uno entre el IP/MAC de las máquinas en la red. De esta forma, aunque el cliente utiliza DHCP para obtener la dirección, la dirección IP es la misma cada vez que se enciende.

2. Establezca una base de datos MAC, registre las direcciones MAC de todas las tarjetas de red en el cibercafé y cargue cada MAC, IP y ubicación geográfica en la base de datos para consultarlas y archivarlas oportunamente.

3. Desactive el proceso de actualización dinámica de ARP en la máquina de la puerta de enlace y utilice correo de ruta estática. En este caso, incluso si el sospechoso utiliza la suplantación de ARP para atacar la puerta de enlace, será inútil para la puerta de enlace y. garantizar la seguridad del anfitrión.

El método para que la puerta de enlace establezca un enlace IP/MAC estático es crear el archivo /etc/ethers, que contiene la correspondencia IP/MAC correcta, en el siguiente formato:

192.168.2.32 08: 00:4E:B0:24:47

Luego agregue el último a /etc/rc.d/rc.local:

arp -f tendrá efecto

4. Gateway de monitorización de la seguridad de la red. Utilice el programa TCPDUMP en la puerta de enlace para interceptar cada paquete ARP y utilice un software de análisis de scripts para analizar estos protocolos ARP. Los paquetes de ataque de suplantación de identidad ARP generalmente tienen las dos características siguientes. Si se cumple una de ellas, puede considerarse como una alarma de paquete de ataque: la dirección de origen y la dirección de destino del primer encabezado del paquete Ethernet no coinciden con la dirección de protocolo del paquete ARP. . O bien, las direcciones de envío y destino de los paquetes ARP no están en la base de datos MAC de la propia tarjeta de red, o no coinciden con la MAC/IP de la base de datos MAC de la propia red. Todo esto alertará a la policía de inmediato. Si verifica la dirección de origen de estos paquetes de datos (paquetes de datos Ethernet) (que también pueden ser falsificados), sabrá aproximadamente qué máquina está lanzando el ataque.

5. Acérquese sigilosamente a la máquina y vea si el usuario es intencional o fue incriminado por un programa troyano. Si este último es el caso, busque tranquilamente una excusa para deshacerse de él, desconecte el cable de red (sin apagarlo, especialmente verifique las tareas programadas en Win98), observe los registros de uso actuales y las condiciones operativas de la máquina, y determine si es un ataque.