¿Qué es UDP y qué es un ataque ARP?

UDP (Protocolo de datagramas de usuario) Protocolo de datagramas de usuario (RFC 768)

El Protocolo de datagramas de usuario (UDP) es un protocolo de capa de transporte sin conexión en el modelo de referencia OSI. Servicios de mensajería orientados, simples y poco confiables. El protocolo UDP es básicamente una interfaz entre el protocolo IP y los protocolos de capa superior. El protocolo UDP es adecuado para ejecutar múltiples aplicaciones en diferentes puertos del mismo dispositivo.

Dado que la mayoría de las aplicaciones de red se ejecutan en la misma computadora, la computadora debe poder garantizar que el programa de software en la computadora de destino obtenga los paquetes de la computadora en la dirección de origen y que la computadora de origen reciba la dirección correcta. paquetes. Esto se puede lograr utilizando el "número de puerto" UDP. Por ejemplo, si una estación de trabajo usara DNS en la estación de trabajo 128.1.123.1, enviaría el paquete como destino 128.1.123.1 e insertaría el número de puerto de destino 53 en el encabezado UDP. El número de puerto de origen identifica la aplicación que solicita el servicio de nombre de dominio desde la computadora local, y todos los paquetes de respuesta generados por el destino deben asignarse a ese puerto en el host de origen. Para obtener una descripción detallada de los puertos UDP, consulte el artículo relacionado.

A diferencia de TCP, UDP no proporciona los mecanismos de confiabilidad, control de flujo y recuperación de errores del protocolo IP. Debido a su simplicidad, los encabezados UDP contienen menos bytes que TCP y consumen menos carga.

UDP es adecuado para situaciones donde no se requiere la confiabilidad de TCP, por ejemplo, donde el protocolo o aplicación de nivel superior proporciona capacidades de control de flujo y errores. UDP es un protocolo de capa de transporte que sirve a muchos protocolos de capa de aplicación conocidos, incluido el sistema de archivos de red (NFS), el protocolo simple de administración de red (SNMP), el sistema de nombres de dominio (DNS) y el sistema trivial de transferencia de archivos (TFTP).

Ataque ARP

Definición de ARP

ARP (Protocolo de resolución de direcciones) es un protocolo subyacente en la pila TCP/IP, responsable de analizar las direcciones IP en las MAC correspondientes. DIRECCIÓN.

La función básica del protocolo ARP es consultar la dirección MAC del dispositivo de destino a través de su dirección IP para garantizar la comunicación.

Principio del ataque ARP

El ataque ARP logra la suplantación de ARP falsificando direcciones IP y direcciones MAC. Puede generar una gran cantidad de tráfico ARP en la red y bloquear la red. solamente Al enviar continuamente paquetes de respuesta ARP falsificados, las entradas IP-MAC en la caché ARP del host de destino se pueden cambiar, lo que provoca interrupciones en la red o ataques de intermediario.

La caché ARP se puede utilizar para diversos fines.

Los ataques ARP se producen principalmente en redes de área local. Las personas infectadas con troyanos ARP intentarán interceptar las comunicaciones de otros ordenadores de la red mediante "ARP spoofing", provocando fallos de comunicación en otros ordenadores de la red.

Fenómeno después del ataque ARP

El fenómeno del envenenamiento del troyano suplantador de ARP es el siguiente: al usar la LAN, la conexión se desconectará repentinamente y luego volverá a la normalidad después de un período de tiempo. Por ejemplo, el estado del cliente a menudo se vuelve rojo, los usuarios a menudo se desconectan de Internet, el navegador IE a menudo falla, algunos programas de uso común fallan, etc. Si accede a la LAN a través de la autenticación, de repente podrá pasar la autenticación pero no podrá acceder a Internet (no puede hacer ping a través de la puerta de enlace). En este momento, debe reiniciar la máquina o ejecutar el comando arp -d en el MS-. ventana de DOS y luego restablezca el acceso a Internet.

El troyano de suplantación de identidad ARP solo necesita infectar con éxito una computadora, lo que puede provocar que toda la red de área local no pueda acceder a Internet. En casos graves, incluso puede provocar que toda la red quede paralizada. Además de provocar que otros usuarios de la misma LAN tengan acceso intermitente a Internet, los troyanos también pueden robar contraseñas de usuarios.

El robo de contraseñas y números de cuentas para varios juegos en línea y el robo de cuentas bancarias en línea para transacciones ilegales son trucos comunes utilizados por los troyanos, que traen muchos inconvenientes y enormes pérdidas económicas a los usuarios.

De acuerdo con esta característica de funcionamiento del protocolo ARP, los piratas informáticos continúan enviando paquetes ARP fraudulentos a la computadora de la otra parte, que contienen una dirección Mac duplicada con el dispositivo actual, lo que hace que la otra parte responda al mensaje. debido a una dirección simple. Los errores repetidos impiden la comunicación normal de la red. En términos generales, las computadoras bajo ataque ARP experimentarán dos fenómenos:

1. El cuadro de diálogo "La dirección de hardware 0-255 de la máquina local entra en conflicto con la dirección 0-255 de la red" sigue apareciendo.

2. La computadora no puede acceder a Internet normalmente y se presentan síntomas de interrupción de la red.

Dado que este ataque utiliza paquetes de solicitud ARP para "falsificar", el firewall lo confundirá con un paquete de solicitud normal y no lo interceptará. Por lo tanto, es difícil para los firewalls comunes prevenir este ataque.

Prevenir ataques ARP

Prevenir ataques ARP es muy difícil y es imposible modificar el protocolo. Pero hay pasos que puedes seguir para mejorar la seguridad de tu red local.

En primer lugar debes saber que si se inserta un registro incorrecto en la tabla de enrutamiento ARP o IP, existen dos formas de eliminarlo.

a. Utilice arp -d host_entry

b. Caducará automáticamente y será eliminado por el sistema

De esta manera, puede utilizar algunos de los siguientes métodos. :

1).Acortar el tiempo de caducidad

#ndd -set /dev/arp arp_cleanup_interval 60000

#ndd -set /dev/ip ip_ire_flush_interval 60000

60000= El valor predeterminado de 60000 milisegundos es 300000

Acelerar el tiempo de caducidad no evitará los ataques, pero aumentará la dificultad de los ataques. El efecto es que habrá un. gran cantidad de solicitudes y respuestas ARP en la red, así que no lo use en redes ocupadas.

2) Crear una tabla ARP estática

Este es un método muy efectivo con poco impacto en el sistema. La desventaja es que rompe el protocolo ARP dinámico. Se pueden crear los siguientes archivos.

test.nsfocus.com 08:00:20:ba:a1:f2

usuario Sin embargo, una vez que cambia la dirección de hardware de la tarjeta de red host legítima, el archivo arp debe. actualizarse manualmente. Este método no es adecuado para entornos de red que cambian con frecuencia.

3) Deshabilitar ARP

Puede deshabilitar completamente ARP a través de la interfaz ipconfig -arp, para que la tarjeta de red no envíe ARP ni acepte paquetes ARP. Sin embargo, esto requiere el uso de una tabla ARP estática y las computadoras que no estén en la tabla apr no podrán comunicarse entre sí. Este enfoque no es adecuado para la mayoría de los entornos de red porque aumenta los costos de administración de la red. Pero sigue siendo eficaz y factible para redes pequeñas y seguras.

Sin embargo, los virus ARP actuales están surgiendo sin cesar y no podemos simplemente confiar en métodos tradicionales para prevenirlos, como simplemente vincular la tabla ARP local. También necesitamos tener una comprensión más profunda de los principios. de ataques ARP antes de que podamos pasar los síntomas Para analizar y resolver el problema de la suplantación de ARP, el artículo citado aquí analiza el último virus ARP: Black Gold. Puede comprender mejor la tendencia de la suplantación de identidad ARP avanzada a través de este artículo: /viewthread.php?tid=72amp;extra=page3D1.