Cómo finalizar los ataques ARP
Generalmente, los atacantes utilizan software como "Network Law Enforcement Officer" para enviar paquetes de datos para cambiar la dirección MAC correspondiente a la IP de la puerta de enlace en el caché ARP, lo que hace que no se pueda encontrar la puerta de enlace real y no poder para conectarse a Internet. Resulta que la solución a este ataque es modificar la dirección MAC de uno, lo que hace que el atacante pierda temporalmente el objetivo real y luego volver a conectarse a la red para obtener la dirección MAC correcta de la puerta de enlace para que la red pueda restaurarse después de ser atacado en el futuro.
El método es el siguiente: ingrese al modo DOS virtual y haga ping a su propia puerta de enlace, luego use el comando arp -a para ver la dirección MAC correspondiente a la puerta de enlace en el caché y luego regístrela. Cuando sea atacado nuevamente y no pueda acceder a Internet, puede usar arp -s gateway dirección MAC de la puerta de enlace ip para establecer manualmente una relación de mapeo en DOS y reanudar la comunicación con la puerta de enlace.
Sin embargo, este método es muy problemático cuando se encuentran ataques continuos maliciosos y afecta seriamente el uso normal, porque hay que modificar el caché con frecuencia. Afortunadamente, encontré la herramienta de detección Anti Arp de ColorSoft. Es muy fácil de usar. Simplemente ingrese la MAC correcta de la puerta de enlace que registró, complete la MAC de su propia tarjeta de red y luego active la protección automática y el conflicto de direcciones. Protection, filtrará automáticamente los paquetes de suplantación de ataques, haciendo así que su red sea más estable. Jaja, ya no tengo que preocuparme de que el juego esté desconectado debido a ataques. Ahora el sniffer Anti Arp se lanzó a la versión 2.0, pero todavía no parece lo suficientemente conveniente. No puede obtener automáticamente la tarjeta de red MAC actual de la máquina. Cuando está bajo ataque continuo, sigue apareciendo el mensaje de ataque, lo cual es muy. irritante. Pero en general es algo bueno
arp -a descubre la dirección MAC de la puerta de enlace
arp -s 192.168.x.x 00-00-00-00-00-00 -00 p>
Entre ellos: 192.168.x.x (IP de puerta de enlace)
00-00-00-00-00-00 (MAC de puerta de enlace)
No mucho Consulta la ayuda, viene con el sistema
2.
Parche de ataque ARP para evitar tijeras de red
Categoría: virus de PC
Porque el principio de herramientas como Network Scissors utilizan la suplantación de ARP. Por lo tanto, siempre que se evite la suplantación de ARP, es equivalente a prevenir la suplantación de Network Scissors.
Solución: debe establecer la relación de confianza en la seguridad de su red basándose en la dirección IP+MAC, configurar una tabla de correspondencia estática dirección MAC->IP y no permitir que el host actualice la tabla de conversión que configuró. .
Primero busque algunos buscadores de direcciones MAC en Internet y luego use un software de edición para editarlos en el siguiente archivo por lotes,
@echo off
arp - d
arp -s 192.168.5.10 00:0A:EB:C1:9B:89
arp -s 192.168.5.11 00:05:5D:09:41:09
arp -s 192.168.5.12 52:54:AB:4F:24:9D
arp -s 192.168.5.34 00:E0:4C:82:06:60
arp -s 192.168.5.35 00:E0:4C:62:F4:7C
arp -s 192.168.5.36 02:E0:4C:A0:F6:A2
arp -s 192.168.5.201 00:10:5C:B9:AD:99
arp -s 192.168.5.215 00:0A:EB:10:DE:74
arp -s 192.168.5.220 00:E0:4C:5B:CF:49
arp -s 192.168.5.221 00:11:D8:AE:8F:C5
arp - s 192.168.5.223 00:11:2F:E4:32:EB
(Simplemente cambie la dirección IP y la dirección MAC en el archivo a su propia dirección IP y dirección MAC de red), guárdelo, si alguien actualiza su arp, simplemente ejecute su archivo por lotes.
Materiales de referencia: :81/bbs/index.php?mods=topicdisplay&forumid=22&postid=220&p=1
Debido a que el principio de las manos de tijera en red y otras herramientas es utilizar la suplantación de ARP, Por lo tanto, siempre que se evite la suplantación de identidad de ARP, también se evitarán las tijeras de red.
Solución (1): debe establecer la relación de confianza de seguridad de su red en función de la dirección IP+MAC, configurar una tabla de correspondencia estática dirección MAC->IP y no permitir que el host actualice su configuración. tabla de conversión.
Pasos específicos: escriba un archivo por lotes arp.bat con el siguiente contenido (suponiendo que la dirección mac de 192.168.1.2 sea 00-22-aa-00-22-aa):
@ eco desactivado
arp -d
arp -s 192.168.1.2 00-22-aa-00-22-aa
. >
.
.
arp -s 192.168.1.254 00-99-cc-00-99-cc
(Todas las IP y MAC correspondientes). Las direcciones se escriben en el formato anterior) y cambie la dirección IP y la dirección MAC en el archivo a su propia dirección IP y dirección MAC de red.
Arrastre este software de procesamiento por lotes al "Inicio-Programa-Inicio de Windows" de cada host. De esta forma, la tabla ARP se actualizará cada vez que se encienda la computadora.
Solución (2):
Descarga el parche de ataque anti-ARP e instálalo.
Solución (3)
LAN ARP. inmunidad al ataque
Esto se puede usar normalmente en 2000, xp 1, xp 2 y 2003 y no tendrá ningún impacto en el sistema o el juego. De hecho, 98 no ha sido probado.
Por debajo de 98, este paquete.dll pthreadVC.dll wpcap.dll "dispositivo inmune a ataques LAN ARP" debe descomprimirse en c:\windows\system para que sea efectivo. El otro npf.sys todavía está descomprimido en c:\windows\system. system32 Justo dentro de \drivers.
¡Te lo puedo decir con responsabilidad!
Después de usarlo, ya no podrás usar Network Law Enforcement Officer.
¡Pero si usas un complemento con! arp virus, aún puedes usarlo. ¡¡Se caerá!!
Me gustaría decirlo en detalle nuevamente: este material se puede usar normalmente en 2000, XP y 2003, y no tendrá ninguno. impacto en el sistema o el juego. Para 98, debe utilizar comandos de DOS para lograr los atributos libres de modificaciones de estos archivos. Software como Internet Law Enforcement Officer e Internet Terminator pueden bloquearse para asestar un golpe devastador a los cibercafés. En cuanto al daño causado por el virus, no se puede hacer nada. Nada es perfecto.
Su principio es evitar que WinPcap se instale correctamente. El programa anterior simplemente encuentra aleatoriamente archivos sys y dll para reemplazar los archivos de instalación de WinPcap y hace que estos archivos sean de solo lectura. win98, el principio Del mismo modo, primero instale WinPcap, luego use el desinstalador para ver qué archivos ha escrito WinPcap en el sistema y luego busque los archivos sys y dll para reemplazar las tres claves wpcap.dll, paquete.dll y npf.sys. En win98 puede haber dos. ¿En cuanto a si este método es seguro? Creo que, en general, en primer lugar, los virus arp no se pueden prevenir y se pueden romper fácilmente
1 Ataque ARP
Hay dos tipos principales de ataques contra ARP, uno es DOS y uno. el otro es La especie es Spoof.
La suplantación de ARP a menudo se aplica a una red interna y podemos utilizarla para ampliar una vulnerabilidad de seguridad de red existente.
Si puedes hackear una máquina en una subred, la seguridad de otras máquinas también se verá amenazada por la suplantación de ARP. De manera similar, DOS que usa APR puede incluso paralizar una subred completa.
2. Protección contra ataques ARP
Es difícil prevenir ataques ARP y es imposible modificar el protocolo. Pero hay algunas cosas que puedes hacer para mejorar la seguridad de tu red local.
En primer lugar, debes saber que si se inserta un registro incorrecto en la tabla de rutas ARP o IP, se puede eliminar de dos maneras.
a. Utilice arp –d host_entry
b. Caducará automáticamente y será eliminado por el sistema
Terminador local, Oficial de aplicación de la ley de red, Manos de tijera de red
p>p>1. Copie los tres archivos dll que contiene en windows\system32 y copie el archivo npf.sys en windows\system32\drivers.
2. Cambie estos 4 archivos a solo lectura en las propiedades de seguridad. Es decir, nadie puede modificarlo
3.
1. Establezca un servidor DHCP (se recomienda construirlo en la puerta de enlace, porque DHCP no ocupa nada). Los ataques de suplantación de CPU y ARP generalmente comienzan primero. Para atacar la puerta de enlace, debemos permitirle atacar la puerta de enlace primero, porque hay un programa de monitoreo en la puerta de enlace. Se recomienda elegir 192.168.10.2 como dirección de puerta de enlace y dejarlo. 192.168.10.1 en blanco Si el programa criminal es estúpido, déjelo atacar la dirección vacía). Además, las direcciones IP de todos los clientes y la información de su host relacionada solo se pueden obtener desde la puerta de enlace. El servicio DHCP está habilitado en la puerta de enlace. pero se debe vincular una dirección IP única a cada tarjeta de red. Asegúrese de mantener una correspondencia uno a uno entre la IP/MAC de las máquinas en la red. De esta forma, aunque el cliente utiliza DHCP para obtener la dirección, la dirección IP es la misma cada vez que se enciende.
2. Establezca una base de datos MAC, registre las direcciones MAC de todas las tarjetas de red en el cibercafé y cargue cada MAC, IP y ubicación geográfica en la base de datos para consultarlas y archivarlas oportunamente.
3. Desactive el proceso de actualización dinámica de ARP en la máquina de la puerta de enlace y utilice correo de ruta estática. En este caso, incluso si el sospechoso utiliza la suplantación de identidad de ARP para atacar la puerta de enlace, será inútil para la puerta de enlace y. garantizar la seguridad del anfitrión.
El método para que la puerta de enlace establezca un enlace IP/MAC estático es crear el archivo /etc/ethers, que contiene la correspondencia IP/MAC correcta, en el siguiente formato:
192.168.2.32 08: 00:4E:B0:24:47
Luego agregue lo siguiente a /etc/rc.d/rc.local:
arp -f tomará efecto
4. Gateway monitorea la seguridad de la red. La puerta de enlace utiliza el programa TCPDUMP para interceptar cada paquete ARP y se utiliza un software de análisis de scripts para analizar estos protocolos ARP. Los paquetes de ataque de suplantación de identidad ARP generalmente tienen las dos características siguientes. Si se cumple una de ellas, puede considerarse como una alarma de paquete de ataque: la dirección de origen y la dirección de destino del primer encabezado del paquete Ethernet no coinciden con la dirección de protocolo del paquete ARP. . O bien, las direcciones de envío y destino de los paquetes ARP no están en la base de datos MAC de la propia tarjeta de red, o no coinciden con la MAC/IP de la base de datos MAC de la propia red. Todo esto alertará a la policía de inmediato. Si verifica la dirección de origen de estos paquetes de datos (paquetes de datos Ethernet) (que también pueden ser falsificados), sabrá aproximadamente qué máquina está lanzando el ataque.