如定义,ARP高速缓存的一个任务是保存ARP答复和数据。为了减少ARP高速缓存入口的数量,ARP高速缓存用新接受到的IP地址和相应的MAC地址更新。这么做是为一个减少网络传输的方法。如果我映射我的局域网中其它节点的硬件地址,ARP高速缓存在高速缓存中保留它的入口,这样我不需要在我的通信中不断把它映射出来。
2.3 ARP如何工作
特别地对于第四版因特网协议 (IPv4),ARP在网络层和开放式系统互连(OSI)模型数据链接层之间映射。
数据链接层被分割成两个子层,媒体存取控制层和逻辑链接控制层。MAC层有权控制数据流的存取而且不论传送是否被允许。然而,逻辑链接控制层的任务是控制框架同步,包流(象MAC),和数据包中的错误检查。这两个子层同时工作来产生数据链接层。
对于成功的包传送下一步是最重要的。传送自身。网络层通过在网络上节点间传送数据提供交换和路由。不仅仅是这个层的一部分包传送,而且也有选址,网络工作和错误处理。这个层保证了每一个包没有错误的和可能冲突的根据它们最终地址被发送。
为了更加完整和彻底地解释地址解析是如何工作的,以及协议的详情,请参考RFC 826 (David C. Plummer, 1982)。RFC 826是在1982年由C. Plummer写的,而被新手认为是过时的和复杂的材料。参考5.1部分文章最后的关于ARP,MAC,和基于ARP的攻击的进一步讨论的文档链接。
2.4 协议漏洞
ARP的主要漏洞在于它的高速缓存。知道它对于ARP更新现存的入口以及增加入口到高速缓存是必要的后,这使人相信能够伪造应答,它导致了ARP高速缓存致命的攻击。我将在3部分中论述每一类型的攻击,而在3.1部分中是术语和定义的回顾。
3 ARP 攻击方法
3.1 术语 和 定义
A. ARP 高速缓存毒药
在一个局域网中广播伪造的ARP应答。某种意义上,”愚弄”网络上的节点。能这么做是因为ARP缺少鉴定特性,因此盲目的接受接受或者发送的任何请求和答复。
B. MAC 地址洪水
一个ARP高速缓存毒药攻击主要应用在交换机环境下。通过用伪造的MAC地址洪水攻击一个交换机,交换机会过载。因为这样,它广播所有的网络传输到每一个连接的节点。这个结果提及到”广播模式”因为,所有通过交换机的传输被广播出来象一个Hub那样。这个接着能导致嗅探所有的网络传输。
3.2 连接劫持 和 监听
包或者连接劫持和监听是使任何连接客户在一个可能完全控制的方式下得到他们的连接操作成为牺牲的行为。
那些易受这种类型攻击的人们经常通过象Telnet或者Rlogin这样的没有加密的协议连接服务器和计算机。这个能导致嗅探,以及连接劫持和监听。
3.3 连接重置
名字很好的解释了它本身。当我们重置一个客户端连接的时候,我们切断了他们对系统的连接。使用特殊技术的代码很容易就能做到这点。幸运的是,我们有很好的软件帮助我们来做这个。
特别容易做到这点的一个代码是在DSniff工具集中。为了做到这个,我们将使用’tcpkill’。TCPKILL的使用和TCPDump类似,都使用BPF(伯克利包过滤器)。
起因:
1. tcpkill -9 port ftp &>/dev/null
2. tcpkill -9 host 192.168.10.30 &>/dev/null
3. tcpkill -9 port 53 and port 8000 &>/dev/null
4. tcpkill -9 net 192.168.10 &>/dev/null
5. tcpkill -9 net 192.168.10 and port 22 &>/dev/null
|
共5页: 上一页 [1] 2 [3] [4] [5] 下一页
|
