2007年4月28日星期六

APP是什么?


出处:net130.com

什么是ARP。如果你在UNIX Shell下输入 arp -a (9x下也是),你的输出看起来应该是这样的:

  Interface: xxx.xxx.xxx.xxx

  Internet Address Physical Address Type

xxx.xxx.xxx.xxx 00-00-93-64-48-d2 dynamic

  xxx.xxx.xxx.xxx 00-00-b4-52-43-10 dynamic

  ...... ......... ....

这里第一列显示的是ip地址,第二列显示的是和ip地址对应的网络接口卡的硬件地址(MAC),第三列是该ip和mac的对应关系类型。




可见,arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议,或者说ARP协议是一种将ip地址转化成MAC地址的一种协议。它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。

为什么要将ip转化成mac呢?简单的说,这是因为在tcp网络环境下,一个ip包走到哪里,要怎么走是靠路由表定义。但是,当ip包到达该网络后,哪台机器响应这个ip包却是靠该ip包中所包含的mac地址来识别。也就是说,只有机器的mac地址和该ip包中的mac地址相同的机器才会应答这个ip包。因为在网络中,每一台主机都会有发送ip包的时候。所以,在每台主机的内存中,都有一个 arp--> mac 的转换表。通常是动态的转换表(注意在路由中,该arp表可以被设置成静态)。也就是说,该对应表会被主机在需要的时候刷新。这是由于以太网在子网层上的传输是靠48位的mac地址而决定的。

通常主机在发送一个ip包之前,它要到该转换表中寻找和ip包对应的mac地址。如果没有找到,该主机就发送一个ARP广播包,看起来象这样子:

  "我是主机xxx.xxx.xxx.xxx , mac是xxxxxxxxxxx ,ip为xxx.xxx.xxx.xx1的主机请告之你的mac来"

  ip为xxx.xxx.xxx.xx1的主机响应这个广播,应答ARP广播为:

  "我是xxx.xxx.xxx.xx1,我的mac为xxxxxxxxxx2"

于是,主机刷新自己的ARP缓存,然后发出该ip包。

了解这些常识后,现在就可以谈在网络中如何实现ARP欺骗了,可以看看这样一个例子:

一个入侵者想非法进入某台主机,他知道这台主机的防火墙只对192.0.0.3(假设)这个ip开放23口(telnet),而他必须要使用telnet来进入这台主机,所以他要这么做:

1、他先研究192.0.0.3这台主机,发现这台95的机器使用一个oob就可以让他死掉。

2、于是,他送一个洪水包给192.0.0.3的139口,于是,该机器应包而死。

3、这时,主机发到192.0.0.3的ip包将无法被机器应答,系统开始更新自己的arp对应表。将192.0.0.3的项目搽去。

4、这段时间里,入侵者把自己的ip改成192.0.0.3

5、他发一个ping(icmp 0)给主机,要求主机更新主机的arp转换表。

6、主机找到该ip,然后在arp表中加入新的ip-->mac对应关系。

7、防火墙失效了,入侵的ip变成合法的mac地址,可以telnet了。

现在,假如该主机不只提供telnet,它还提供r命令(rsh,rcopy,rlogin等)那么,所有的安全约定将无效,入侵者可以放心的使用这台主机的资源而不用担心被记录什么。

有人也许会说,这其实就是冒用ip嘛。是冒用了ip,但决不是ip欺骗,ip欺骗的原理比这要复杂的多,实现的机理也完全不一样。

上面就是一个ARP的欺骗过程,这是在同网段发生的情况。但是,提醒注意的是,利用交换集线器或网桥是无法阻止ARP欺骗的,只有路由分段是有效的阻止手段。(也就是ip包必须经过路由转发。在有路由转发的情况下,ARP欺骗如配合ICMP欺骗将对网络造成极大的危害。从某种角度讲,入侵者可以跨过路由监听网络中任何两点的通讯,如果设置防火墙,请注意防火墙有没有提示过类似"某某IP是局域IP但从某某路由来"等这样的信息。

在有路由转发的情况下,发送到达路由的ip的主机其arp对应表中,ip的对应值是路由的mac。

  比如: 我ping www.xxxx.com后,那么在我主机中,www. xxxx.com的IP对应项不是xxxx的mac,而是我路由的mac,其ip也是我路由的IP。(有些网络软件通过交换路由ARP可以得到远程IP的MAC)。

有兴趣做深入一步的朋友可以考虑这样一种情况:

假设这个入侵者突然想到:我要经过一个路由才可以走到那台有防火墙的主机!!!

于是这个入侵者开始思考:

1、我的机器可以进入那个网段,但是,不是用192.0.0.3的IP。

2、如果我用那个IP,就算那台正版192.0.0.3的机器死了,那个网络里的机器也不会把ip包丢到路由传给我。

3、所以,我要骗主机把ip包丢到路由。

通过多种欺骗手法可以达到这个目的。所以他开始这样做:

1、为了使自己发出的非法ip包能在网络上活久一点,开始修改ttl为下面的过程中可能带来的问题做准备。他把ttl改成255。 (ttl定义一个ip包如果在网络上到不了主机后在网络上能存活的时间,改长一点在本例中有利于做充足的广播)


2、他掏出一张软盘,这张软盘中有他以前用sniffer时保存的各种ip包类型。

3、他用一个合法的ip进入网络,然后和上面一样,发个洪水包让正版的192.0.0.3死掉,然后他用192.0.0.3进入网络。

4、在该网络的主机找不到原来的192.0.0.3的mac后,将更新自己的ARP对应表。于是他赶紧修改软盘中的有关ARP广播包的数据,然后对网络广播说"能响应ip为192.0.0.3的mac是我"。

5、好了,现在每台主机都知道了,一个新的MAC地址对应ip 192.0.0.3,一个ARP欺骗完成了,但是,每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的ip包丢给路由。于是他还得构造一个ICMP的重定向广播。

6、他开始再修改软盘中的有关ICMP广播包的数据,然后发送这个包,告诉网络中的主机:"到192.0.0.3的路由最短路径不是局域网,而是路由。请主机重定向你们的路由路径,把所有到192.0.0.3的ip包丢给路由哦。"

7、主机接受这个合理的ICMP重定向,于是修改自己的路由路径,把对192.0.0.3 的ip通讯都丢给路由器。

8、入侵者终于可以在路由外收到来自路由内的主机的ip包了,他可以开始telnet到主机的23口,用ip 192.0.0.3。

注意,这只是一个典型的例子,在实际操作中要考虑的问题还不只这些。

现在想想,如果他要用的是sniffer会怎样?

可见,利用ARP欺骗,一个入侵者可以:

1、利用基于ip的安全性不足,冒用一个合法ip来进入主机。

2、逃过基于ip的许多程序的安全检查,如NSF,R系列命令等。



Related Posts:

  • IE浏览器打不开常见故障及解决方法一、网络设置的问题这种原因比较多出现于需要手动指定IP、网关、DNS服务器联网方式下,及使用代理服务器上网的。仔细检查计算机的网络设置。二、DNS服务器的问题当IE无法浏览网页时,可先尝试用IP地址来访问,如果可以访问,那么应该是DNS的问题,造成DNS的问题可能是连网时获取DNS出错或DNS服务器本身问题,这时你可以手动指定DNS服务(地址可以是你当地ISP提供的DNS服务器地址,也可以用其它地方可正常使用DNS服务器地址。在网络的属性里进行(… Read More
  • 在移动硬盘安装多个虚拟随身系统你从本文可以学到  ★如何将系统安装到移动设备  ★怎样将多个系统集成封装  在一块硬盘上安装多个操作系统,不仅安装麻烦,多系统的维护更是一个棘手的难题。相信很多朋友都用过虚拟系统软件来解决多操作系统并存的难题,不过常规的虚拟系统软件不仅需要安装,而且配置也较为复杂。Qemu则是一款免费、绿色的虚拟系统软件,这样借助移动硬盘就可以轻松拥有多个随身系统了。  一、简单设置,Qemu轻松上手  首先点击这里下载其图形化运行软件_Qemu manger… Read More
  • Windows缓存写入失败故障分析与解决方法无法为该文件保存数据,这可能是因为你的网络连接错误或计算机硬件造成,请另保存数据。关闭以后还会弹出类似对话框,都是system32下的文件,好象很多是*.log文件,系统无法启动,但重新插拔内存后故障消失。故障分析Windows使用了一个特殊的子系统,用于对一些基于磁盘的操作提供支持,例如有一种技术,能够把对磁盘的写入操作暂时缓存起来,然后等到系统空闲的时候再执行相应操作。这种叫做"写入缓存"的技术做能够提升系统地性能,不过默认情况下系统可能并没… Read More
  • 用cmd命令实现加密文件夹引自:挨踢巨子sina博客来源:《计算机与网络》1、运行cmd2、在cmd窗口中输入如下命令:md D:\test..\(在D盘创建文件夹名为test.)D:\test.这个文件夹普通方式是无法打开的,不信自己可以试;3、在运行中输入命令:d:\test..\即可以打开文件夹test.,并可以在文件夹内操作,和一般文件夹一样,记住,只能通过这个方式可以打开D盘的文件夹test.;4、如果需要删除这个文件夹,请在cmd窗口中用命令:rd D:\te… Read More
  • 卧倒起立 WPS用转置实现表格行列转换有时,我们需要将已经做好的表格的行、列对调一下,如果手工转换不仅费时费力,还容易出错,那么,有没有更简单也更可靠的方式实现表格中的行列转换呢?  方法一:用WPS表格的"选择性粘贴"实现转换。  在WPS表格2005中,选中整个表格,复制到剪贴版,然后将光标置于空白处,从菜单中点选"编辑-选择性粘贴",在弹出的对话框中选中"转置"(图1),确定后即把整个表格"翻了个个儿"粘贴到指定位置了(图2)。如果要转换的是WPS文字中的表格,可以先在WPS文… Read More

0 评论: