¡Acerca de las frecuentes desconexiones de la red~!

Descargar arp firewall

En primer lugar debemos aclarar qué es arp. arp es el protocolo de resolución de direcciones, a través del cual se completa el mapeo de ip a mac. Debido a que hay innumerables hosts en la red, a menos que se vinculen manualmente, la lista ARP de IP a MAC es generalmente dinámica y se actualiza en tiempo real en función de las últimas direcciones IP y MAC. Los ataques ARP aprovechan esta característica dinámica.

Hay muchos tipos de ataques arp, el más simple es enviar paquetes simples de suplantación de identidad arp. El principio es el siguiente: suponga que hay tres hosts A, B y C. A quiere comunicarse con C, por lo que A agrega la dirección IP de C delante de su mensaje. En este momento, la dirección IP de C debe resolverse como dirección ARP y C se puede encontrar a través de la lista ARP dinámica (o estática) guardada en A. . Dirección MAC, entonces el mensaje puede encontrar con precisión la ubicación de C en la red y transmitirla. En este momento, si B quiere realizar una suplantación de ARP, envía un paquete de suplantación de ARP a A. En este paquete, B puede falsificar su propia dirección IP y MAC a voluntad si falsifica su dirección IP con la de C (en este momento). tiempo, arp de A La lista dinámica será la IP de C correspondiente a la MAC de B), por lo que el mensaje enviado por A a C se enviará a B. Esto crea la forma más simple de suplantación de ARP. De la misma manera, si C en este ejemplo no es un host, sino un sistema de administración de red en el segmento de red A, o un servidor al que A desea acceder, en este caso, habrá un problema de no poder acceder a Internet. . Debido a que los ataques ARP generalmente envían una gran cantidad de paquetes de suplantación de transmisión ARP en unos pocos minutos, cuando la fuente del ataque no envía paquetes, la asignación correcta de IP y MAC volverá a corregir la lista dinámica ARP en el host y podrá acceder Internet nuevamente. Habrá el fenómeno de desconexión cada pocos minutos como lo describiste. Por supuesto, existen muchos tipos de suplantación de identidad ARP. Por ejemplo, la suplantación de identidad de terceros también puede monitorear todos los flujos de información que pasan a través de su host y robar su número de cuenta, información de contraseña, etc.

En cuanto al método de protección. Los virus de suplantación de ARP pueden propagarse dentro de la LAN. El impacto es que un determinado host de la LAN sigue enviando paquetes de suplantación de ARP al mundo exterior y otros usuarios de la LAN son atacados. Debido a que no hay un ataque activo consciente por parte del host, cuando hay muchos hosts en la red local, no es fácil encontrar o resolver la fuente del ataque. Por lo tanto, para los ataques ARP, la defensa sigue siendo el mejor método. Hay muchos métodos de defensa. Si se trata de una LAN pequeña con pocos hosts, incluso puede vincular manualmente IP y mac mediante el método arp -s ip mac. En este momento, la lista se convierte en una lista estática, lo que elimina los peligros ocultos. También se puede utilizar. Tenga en cuenta que no basta con vincular su propia máquina, sino vincular doblemente el host y la puerta de enlace. Por tanto, la carga de trabajo de este método también es muy grande. Si se trata de un usuario individual en una LAN más grande, el método más sencillo y eficaz es utilizar un firewall arp. Los firewalls arp que he probado incluyen el firewall Rising, el firewall 360 ARP y el firewall independiente Caiying antiarp. Siento que los efectos de los dos primeros no son obvios, y la última versión independiente de Caiying antiarp tiene un efecto más obvio. Aunque a menudo no es preciso para encontrar fuentes de ataque, básicamente es suficiente como firewall arp. Se recomienda que también utilice esto. Los usuarios generales pueden usarlo como firewall y los administradores de red pueden usarlo para consultar y analizar fuentes de ataque.

No copié y pegué los comentarios de otras personas. Espero que lo que dije sea claro y útil para ti.

Ahora ARP no es sólo la abreviatura de protocolo, sino también sinónimo de desconexión. Muchos cibercafés y empresas tienen redes inestables y se desconectan sin motivo alguno, lo que provoca enormes pérdidas económicas. De la situación se puede ver que este es un problema común que existe en la red. La razón principal de estos problemas son los ataques ARP. Debido a su gran número de versiones variantes y su rápida difusión, muchos técnicos y empresas no pueden hacer nada al respecto. Hablemos de este tema desde el principio hasta la aplicación. Espero que pueda ayudar a todos a resolver este tipo de problemas y purificar el entorno de red.

Análisis del principio del ataque de suplantación de identidad ARP

En la LAN, el protocolo ARP se utiliza para completar la conversión de la dirección IP en la dirección física de segunda capa y realizar la comunicación de las máquinas LAN. El protocolo ARP es de gran importancia para la seguridad de la red. Esto se basa en la confianza mutua.

Si la suplantación de ARP se logra falsificando direcciones IP y direcciones MAC, se generará una gran cantidad de tráfico ARP en la red, lo que provocará congestión, desconexión, redirección y ataques de rastreo de la red.

Sabemos que cada host utiliza un caché ARP para almacenar registros de mapeo entre direcciones IP recientes y direcciones de hardware MAC. La vida útil de cada registro en la caché de Windows es generalmente de 60 segundos, a partir del momento en que se crea. De forma predeterminada, ARP lee las entradas IP-MAC del caché y las entradas IP-MAC en el caché cambian dinámicamente según los paquetes de respuesta ARP. Por lo tanto, siempre que se envíe un paquete de respuesta ARP a la máquina en la red, se actualizará la entrada IP-MAC en la caché ARP. Por ejemplo: la dirección MAC real es CC-CC-CC-CC-CC-CC, que está falsificada aquí). Cuando Y reciba la respuesta ARP falsificada de X, actualizará la caché ARP local (Y no sabe que ha sido falsificada). Entonces, ¿qué pasa si se simula como una puerta de enlace?

El conmutador también mantiene un caché MAC dinámico, que generalmente es así. Primero, hay una lista correspondiente dentro del conmutador y el puerto del conmutador corresponde al. Tabla de direcciones MAC Puerto n < -> Mac registra las direcciones MAC que existen en cada puerto. Esta tabla está vacía al principio y el conmutador aprende de las tramas de datos entrantes y salientes. Debido a que la tabla de caché MAC-PORT se actualiza dinámicamente, toda la tabla de puertos del conmutador cambia. Flood falsifica la dirección MAC del conmutador y envía continuamente una gran cantidad de paquetes con direcciones MAC falsas. El conmutador actualiza la caché MAC-PORT si puede. A través de este método, se destruye la relación normal anterior entre MAC y Puerto, luego el Switch se inundará y enviará a cada puerto, haciendo que el Switch se convierta básicamente en un HUB, enviando paquetes de datos a todos los puertos y se requiere el rastreo. El ataque todavía se puede lograr. También hará que la caché MAC-PORT del conmutador colapse, como se muestra en el registro del conmutador a continuación:

Internet 192.168.1.4 0000b.cd85.a193 ARPAVlan256

Internet 192.168. 1.5 0000b.cd85 .a193 ARPAVlan256

Internet 192.168.1.6 0000b.cd85.a193 ARPAVlan256

Internet 192.168.1.7 0000b.cd85.a193 ARPAVlan256

Internet 192.16 8 .1.8 000 0b. cd85.a193 ARPAVlan256

Internet 192.168.1.9 0000b.cd85.a193 ARPAVlan256

Principales fenómenos durante los ataques ARP

Pérdida frecuente de la banca online y datos confidenciales. Cuando un host en la red de área local ejecuta un programa troyano de suplantación de ARP, engañará a todos los hosts y enrutadores de la red de área local, de modo que todo el tráfico de Internet debe pasar a través del host del virus. Otros usuarios que solían acceder a Internet directamente a través del enrutador ahora cambian para acceder a Internet a través del host del virus. Durante el cambio, el usuario se desconectará. Después de cambiar al host del virus para acceder a Internet, si el usuario ha iniciado sesión en el servidor, el host del virus a menudo simulará la desconexión y el usuario tendrá que iniciar sesión en el servidor nuevamente para que el host del virus pueda robar. toda la información de la máquina.

La velocidad de la red es a veces rápida y a veces lenta, y es extremadamente inestable, pero todo es normal cuando se prueban datos de fibra óptica en una sola máquina.

Frecuentes desconexiones regionales o generales en la LAN, y la computadora o equipo de red volverá a la normalidad después de reiniciar

Cuando ocurre el programa troyano de suplantación de ARP, enviará una gran cantidad de paquetes de datos, causando congestión En la comunicación LAN y su propia capacidad de procesamiento, los usuarios sentirán que la velocidad de Internet es cada vez más lenta. Cuando el programa troyano de suplantación de ARP deja de ejecutarse, el usuario reanudará el acceso a Internet desde el enrutador y se desconectará nuevamente durante el proceso de cambio.