ARP攻擊 A0943309 吳峻誠
ARP協定 ARP(Address Resolution Protocol) -在Internet TCP/IP網路中擔任IP位址與網卡MAC轉換的工作,當某一台電腦要傳送資料到某個IP位址時,會先傳送ARP封包詢問網路上哪台電腦的MAC Address對應到該個IP位址 DHCP 詢問可用IP 給與可用IP:140.127.220.129
ARP協定 更新ARP TABLE ARP TABLE: .129的傳給MAC A .128的傳給MAC B .127的傳給MAC C ROUTER MAC: C IP: 127 MAC: A IP: 129 MAC: B IP: 128 更新ARP TABLE
ARP 攻擊 ROUTER的ARP TABLE: .129 -MAC A .128 -MAC B 被攻擊的ROUTER ROUTER MAC: R IP: .1 1.對網路閘道攻擊 誤導ROUTER:A電腦的MAC是B A的ARP TABLE: .1 -MAC R .128 -MAC B A MAC: A IP: .129 B MAC: B IP: .128 被攻擊者 攻擊者 2.對區域電腦攻擊 誤導A:ROUTER的MAC是B
ARP 攻擊-對網路閘道攻擊 ROUTER的ARP TABLE: .129 -MAC B 被攻擊的ROUTER ROUTER MAC: R IP: .1 誤以為B是A A會收不到封包 A的ARP TABLE: .1 -MAC B 1.對網路閘道攻擊 對內傳遞封包工作大亂 A MAC: A IP: .129 B MAC: B IP: .128 被攻擊者 攻擊者
ARP 攻擊-對區域電腦攻擊 ROUTER的ARP TABLE: .129 -MAC B 被攻擊的ROUTER ROUTER MAC: R IP: .1 A的ARP TABLE: .1 -MAC B 2.對區域電腦攻擊 該電腦封包有去無回 A MAC: A IP: .129 B MAC: B IP: .128 被攻擊者 誤以為B是ROUTER 攻擊者
ARP 攻擊-症狀 1. 網路有時候變得很慢。 2. 網路時通時不通。 3. 瀏覽網頁時,被導向到不明網站(瀏覽後即可能中毒)。
ARP 攻擊-防治 ARP echo 綁定IP方式 捨棄ARP協定 -但基本設定必須重設 針對ARP協議不堅定之特性,強制綁定該電腦IP,即綁定之後就不接受更改。 捨棄ARP協定 不採用ARP傳送機制,而使用其他如PPPoE。 -但基本設定必須重設
參考文件 http://www.qno.com.tw/web/referrence_doc_view.asp?e_id=141 (俠諾) http://www.qno.com.tw/web/referrence_doc_view.asp?e_id=91 (俠諾) http://tw.network01.net/modules/newbb/viewtopic.php?topic_id=104&forum=10 資安人雜誌2009年四月 感謝聆聽 敬請指教