欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

免费ARP:地址冲突了怎么办 图解ARP协议(5)

来源:本站整理 作者:佚名 时间:2017-09-03 TAG: 我要投稿

一、不收费ARP概述
收集天下纷纷繁杂,除各类黑客进击行动对收集能形成现实损坏以外,另有一类平安成绩或泛平安成绩,看上去成绩不大,但实在仍旧可以或许形成极大的杀伤力。本日跟人人探究的,也是技巧道理比拟简略,但现实防备比拟头疼的一个成绩:地点抵触。

这个局域网中,人人地点IP网段是192.168.1.0/24,PC1的地点是192.168.1.1,而PC2和PC3的地点产生抵触,都是192.168.1.2。那末,假如PC1必要将数据包发送给192.168.1.2,数据包终极到了PC2照样PC3手里?照样负载平衡?不论成果若何,这里的地点抵触确定会对失常通讯形成费事。
上面这个电脑/手机之间的地点抵触,人人可以或许感到没甚么太大的成绩,那末接上去再看上面这个图片=>

这里的Server1和Server2处在 [办事集群]中,供给着企业的某种办事,比方Web网站、邮箱体系、FTP文件办事器等,此时办事器的地点产生了抵触,都是10.1.1.1。这类地点抵触则会影响大规模的用户无奈拜访这个办事器,若办事器承载的是焦点营业,对付企业则会形成极大的影响。
 
以是,地点抵触成绩可大可小,可以或许收集运维职员安排上的疏忽,也可以或许是通俗电脑小白有意招致的,更有可以或许是自动的黑客行动,比方进击者制作地点抵触场景,捣乱失常营业,招致营业办事中止。
 
因此,若安在IP地点抵触的时刻实时检测,并且做出办理方案呢?
二、收费ARP道理
Gratuitous ARP,被翻译为『收费ARP』也被称为『无端ARP』,用于检测局域网内的IP地点抵触,在一定程度上可以或许给用户和收集运维职员供给赞助。比拟『收费』这个翻译,『无端』这个词实在会加倍好懂得:"在没有人问本身的环境下,无缘无端自问自答"。

这项技巧不必要电脑和办事器装置甚么平安软件或产物比方防火墙之类的,也不必要互换机和路由器购置甚么license,只需装备具有联网功效(有网卡)就内置了这项功效,由于收费ARP本色是ARP协定的完成,以是只需有TCP/IP协定栈的网卡,就可以支撑。比拟其余平安进攻技巧,收费ARP是一项轻量级的"用户无感知"的技巧。
 
接上去,咱们来回想下以前的图片=>

当用户发送数据包给192.168.1.2的时刻,互换机遇将数据包转发给谁呢?
①依据咱们以前学过的ARP道理,互换机遇拆开这个数据包,并且依据目的MAC停止转发;
②那末PC1在数据封装的时刻,目的MAC是封装PC2照样PC3的MAC?
③目的MAC则取决于电脑当地的ARP缓存表,以是PC1终极把数据包给PC2照样PC3,则取决于收到的ARP回应,并且依据"后到优先"准则作出抉择。
 
以是,若PC2提早回应ARP,则PC1不绝发给PC3;若PC3提早回应ARP,则PC1不绝发送给PC2。另有一种环境,PC2和PC3瓜代回应ARP,PC1有可以或许将部门数据给PC2,部门数据给PC3(而PC1则处于懵逼状况,由于对于192.168.1.2的MAC映照不绝在更改)。这个更多是理论推导,现实环境分歧装备测试进去的后果有些差异,前面章节我会带人人做实在和虚构收集的试验。
 
咱们来看看收费ARP是若何事情的并参与这场抵触的?

当电脑检测到本身的IP地点跟其余电脑抵触时,它们会互相发送收费ARP("互怼"),用来提示对方:你的IP地点跟我的抵触啦! 这里要留意一点:收费ARP因此ARP Request或Reply播送情势发送,将IP和MAC地点信息绑定,并宣布到全部局域网。假如在宣布的进程中,其余电脑监听到,并且地点跟本身异样,也会间接参与这个"互怼"进程。
 
上面PC2和PC3不绝不绝地对外发送收费ARP:我的地点是192.168.1.2,MAC是xxx。与此同时,统一局域网的其余主机,则依据这两个收费ARP信息赓续的改动当地ARP表,192.168.1.2一会映照到MAC2,一会映照到MAC3。
 
那末,这个凌乱的争抢进程,会不会停上去呢?
可以或许会连续一段时间,也可以或许不绝连续上来(前面有试验验证)。抵触方之间可以或许会不绝发送,直到有一边做出妥协并改动IP地点。(分歧体系办理办法分歧)
 
很多人在这里开端有怀疑,即使收费ARP帮咱们检测到了地点抵触,然则也是在协定底层在"互怼",咱们作为"客人",若何收到地点抵触提示,并且做出改动和妥协呢?由于不管是通俗用户照样业余工程师,也不可以或许每天挂在wireshark这类抓包软件,每时每刻盯着收费ARP包,断定能否有人跟咱们地点抵触了。以是,这又触及到电脑(操作体系)若何依据收费ARP的地点抵触检测,更好的提示或赞助用户了。
 
今朝行业的办理方案是如许的:假如是图形化操作体系,比方Windows或许MacOS,是经由进程体系弹框的办法提示用户;而假如是命令行操作体系(互换机/路由器/防火墙),则经由进程日记报错信息提示用户。
 
也便是说,不管通俗电脑照样业余的防火墙装备,经由进程收费ARP检测到地点抵触以后,装备都邑弹进去跟他说:喂,客人,你地点跟人家抵触了,该改改了!

[1] [2] [3] [4] [5]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载