常见ARP防火墙的攻击源追踪功能可靠吗追踪原理是啥
ARP防火墙追踪攻击源,是根据攻击特征和数据包进行回溯处理,所有ARP欺骗攻击,都基本要涉及『ARP扫描』和『ARP欺骗』两个动作,这两个动作的行为特征非常突出,作为专业的ARP防火墙,可以判断出是攻击行为。如果题主是网络和安全技术工程师的话,自己通过Wireshark进行攻击分析和溯源也是完全可以的。为了方便你理解追踪原理,这里数据包截图:
ARP扫描过程:
上面这种ARP广播扫描其实特征是非常明显,从这里我们就即便可以判断,这个扫描者来者不善。
只要被扫描之后,其他主机会乖乖把自己的IP和MAC信息回应出来。如下:
ARP欺骗/攻击过程:(这里才是重点!)
根据之前的信息,我们知道00:08:ca:86:f8:0f其实就是hacker的mac地址,并且对应的真正的IP地址应该是10.1.20.253。而这里很明显是hacker在欺骗局域网其他主机,它对外声称:自己就是"所有人"。这样做的意义在于覆盖掉其他主机的ARP缓存表信息,并生成错误的ARP映射,最终将通信流量交给hacker。
所以,无论是ARP扫描还是ARP欺骗,这些ARP攻击软件(Cain、Ettercap、P2P终结者)等等,发生出来的攻击都有非常明显的特征,ARP防火墙根据数据包特征(非常有"节奏感"),就可以揪出『内鬼』。
【相关推荐】
图解ARP协议(二)ARP攻击篇
图解ARP协议(一)
《TCP/IP协议栈视频教程》
新浪微博:@拼客学院陈鑫杰
微信公众号:拼客院长陈鑫杰
拼客学院:http://www.pinginglab.net
■网友
感谢邀请,有些惶恐^^。拿“常见”的360说事吧,如Bruce所说,有主机不断发应答包,360的ARP防火墙就会以“为你拦截了n次攻击”的形式告诉你有局域网内有坏人了——但它做不了任何事。只要攻击者改了MAC(这太容易了),他就追踪不到IP源了。所以它的追踪原理很幼稚——直接发广播包问你是谁。当然了,它还能记住网关地址防止攻击者冒充网关,但你们内部的事它做不了什么,一个聚生网管或许就能叫你掉线。相比之下彩影、欣向等是比较专业的ARP防火墙、防火墙路由,使用时会配套一些前期准备,比如双绑,直接读取烧在网卡上的MAC地址等,让ARP攻击不仅无效还一下就被揪出来。ARP协议本身就是有缺陷的协议,静态绑定几乎是为了这个弥补缺陷必须付出的代价
■网友
你指的是攻击溯源吗?在网络上,判断是否存在攻击,一个是看多次的请求,大于普通的或者正常的网络行为。或者根据URPF去判断是否是虚假的东西。ARP攻击就是利用ARP老化时间那一会会,因为不知道什么时候老化,那么就要无限发请求。非正常行为,就被记录了。ARP报文中,有target ip,也有sender ip,就溯源了。有点困倦,胡言乱语,有疑问再提吧
■网友
ARP欺骗分为上行和下行,就是伪造客户端IP欺骗路由,和伪造路由欺骗客户端。如果客户端在欺骗机上一次伪造欺骗路由前确定了与路由的联系,刷新混乱的路由表就可以脱离欺骗机的中间伪造。追踪的话主要应该是分析MAC地址是否确定为局域网内的路由及pc地址。
■网友
arp 攻击如果发生在局域网内,随着现在的无线设备的额增多,双绑越来越不适合(几十人的小企业)太专业的设备企业又不愿意用
■网友
查看ARP攻击的IP地址。用360的ARP防火墙。
360安全卫士里面有个木马防火墙,其中有一项是局域网防护ARP,默认是关闭的,需要手动开启。
推荐阅读
![价格发现功能|[快讯]上交所阙波:注册制的本质是厘清政府和市场的基本关系](/renwen/images/defaultpic.gif)
- 请问有哪些机器人大赛是比较权威的
- 汽车驾驶|开车6年才明白车窗起雾不用开暖风只需用一常见物,半年都不起雾
- MG|标配CarPlay系统 新款AMG A 35 L售39.98万元
- 汽车|排气改的再好,进气也不能落下,这些知识你知道吗?
- 疾病|什么是癌前病变?4种常见的小毛病,也许是癌症前兆,别大意
- 对 2.5D 的 ARPG 来说用 cocos2d-x 还是 Unity3D是否会面临同屏人数的问题
- |水果也伤胃,常见的3种水果,胃不好的人要少碰,否则胃会受不了
- 花椒|厨房常见1物,或是“祛湿高手”,泡脚水里放一些,止痒又助眠
- 今日汽车|汽车常见的几种悬挂,哪一种最可靠?这些你都得知道
- 幸福街道|幸福街道:创新网格管理 筑牢安全“防火墙”