1、美白針美白針價格上海整形上海整形醫(yī)院美白針美白針價格上海整形上海整形醫(yī)院，中文名為地址解析協(xié)議，它工作在數(shù)據(jù)鏈路層，在本層和硬 32位IP地址，它IP目的地址轉(zhuǎn)換成以太網(wǎng)目的地址。在以太網(wǎng)MAC地址。但這個目標 MAC地址是如ARP協(xié)議用于將網(wǎng)絡(luò)中的IP地址解析為的硬件地址（MACARP攻擊與防護完全手冊1。ARP既念咱們談ARP之前，還是先要知道 ARP的概念和工作原理，理解了原理知識，才能更好去面對和分析處 理問題。1。1ARP既念知識ARP 全稱 AddressResolutionProtocol件接口聯(lián)系，同時對上層提供服務(wù)。IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送，以太網(wǎng)設(shè)備并不識別們是以48位以

2、太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包。因此，必須把 中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的何獲得的呢？它就是通過地址解析協(xié)議獲得的。地址），以保證通信的順利進行。1。2ARP工作原理首先，每臺主機都會在自己的 ARF緩沖區(qū)中建立一個 ARP列表，以表示IP地址和MAC!址的對應(yīng)關(guān)系。當源主機需要將一個數(shù)據(jù)包要發(fā)送到目的主機時，會首先檢查自己ARP列表中是否存在該IP地址對應(yīng)的MAC地址，如果有，就直接將數(shù)據(jù)包發(fā)送到這個MAC地址；如果沒有，就向本地網(wǎng)段發(fā)起一個ARP請求的廣播包，查詢此目的主機對應(yīng)的 MACt址。此ARP請求數(shù)據(jù)包里包括源主機的 IP地址、硬件地址、以及目 的主機的I

3、P地址。網(wǎng)絡(luò)中所有的主機收到這個 ARP請求后，會檢查數(shù)據(jù)包中的目的IP是否和自己的IP地 址一致。如果不相同就忽略此數(shù)據(jù)包；如果相同，該主機首先將發(fā)送端的 MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經(jīng)存在該IP的信息，則將其覆蓋，然后給源主機發(fā)送一個ARP響應(yīng)數(shù)據(jù)包，告訴對方自己是它需要查找的 MAC地址；源主機收到這個 ARP響應(yīng)數(shù)據(jù)包后，將得到的目的主機的IP地址 和MAC地址添加到自己的 ARP列表中，并利用此信息開始數(shù)據(jù)的傳輸。如果源主機一直沒有收到ARP響應(yīng)數(shù)據(jù)包，表示ARP查詢失敗。根據(jù)上面的所講的原理，我們簡單說明這個過程：A發(fā)送一個ARP請求廣播（誰是19

4、2。168。10。2,自己，結(jié)果發(fā)現(xiàn)和自己的一致，然后就向A發(fā)送一個A要和B通訊，A就需要知道B的以太網(wǎng)地址，于是 請告訴192。168。10。1），當B收到該廣播，就檢查 ARP單播應(yīng)答（192。168。10。2 在 BB-BB-BB-BB-BB-BB）。ARP美白針美白針價格上海整形上海整形醫(yī)院例如:A 的地址為：IP: 192。168。10。1MAC AA-AA-AA-AA-AA-AAB 的地址為：IP: 192。168。10。2MAC BB-BB-BB-BB-BB-BB1。3ARP通訊模式通訊模式（PatternAnalysis ）：在網(wǎng)絡(luò)分析中，通訊模式的分析是很重要的，不同的協(xié)議和

5、不同的應(yīng) 用都會有不同的通訊模式。更有些時候，相同的協(xié)議在不同的企業(yè)應(yīng)用中也會出現(xiàn)不同的通訊模式。 在正常情況下的通訊模式應(yīng)該是：請求- 應(yīng)答- 請求- 應(yīng)答，也就是應(yīng)該一問一答。2。常見ARP攻擊類型個人認為常見的ARP攻擊為兩種類型：ARP掃描和ARP欺騙。2。1ARP掃描（ARP請求風(fēng)暴）通訊模式（可能）：請求- 請求- 請求- 請求- 請求- 請求- 應(yīng)答- 請求- 請求- 請求。ARP請求廣播可能A B、C。主機詳細信息如下描描述：網(wǎng)絡(luò)中出現(xiàn)大量ARP請求廣播包，幾乎都是對網(wǎng)段內(nèi)的所有主機進行掃描。大量的 會占用網(wǎng)絡(luò)帶寬資源； ARP掃描一般為ARP攻擊的前奏。出現(xiàn)原因（可能）：*

6、病毒程序，偵聽程序，掃描程序。*如果網(wǎng)絡(luò)分析軟件部署正確，可能是我們只鏡像了交換機上的部分端口，所以大量ARP請求是來自與非鏡像口連接的其它主機發(fā)出的。*如果部署不正確，這些 ARP請求廣播包是來自和交換機相連的其它主機。2。2ARP欺騙ARP協(xié)議并不只在發(fā)送了 ARP請求才接收ARP應(yīng)答。當計算機接收到 ARP應(yīng)答數(shù)據(jù)包的時候，就會對 本地的ARP緩存進行更新，將應(yīng)答中的IP和MAC地址存儲在ARP緩存中。所以在網(wǎng)絡(luò)中，有人發(fā)送一個自 己偽造的ARP應(yīng)答，網(wǎng)絡(luò)可能就會出現(xiàn)問題。這可能就是協(xié)議設(shè)計者當初沒考慮到的！2。2。 1 欺騙原理假設(shè)一個網(wǎng)絡(luò)環(huán)境中，網(wǎng)內(nèi)有三臺主機，分別為主機 述：A 的

7、地址為：IP： 192。 168。 10。1MAC：AA-AA-AA-AA-AA-AAB 的地址為：IP： 192。 168。 10。2MAC：BB-BB-BB-BB-BB-BBC的地址為:IP： 192。 168。 10。3MAC: CC-CC-CC-CC-CC-CC正常情況下?lián)榘l(fā)送方IP地址是192。168。10。3（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（ C的MAC地址本來應(yīng)該是CC-CC-CC-CC-CC-CC這里被偽造了）。當 A接收到B偽造的ARP應(yīng)答，就會更新本地的 緩存（A被欺騙了），這時 B就偽裝成C了。同時，B同樣向C發(fā)送一個ARP應(yīng)答，應(yīng)答包中

8、發(fā)送方址四192。168。10。1（ A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB （A的MAC地址本來應(yīng)該是AA-AA-AA-AA-AA-AA，當C收到B偽造的ARP應(yīng)答，也會更新本地 ARP緩存（C也被欺騙了），這時A和C之間進行通訊，但是此時 B向A發(fā)送一個自己偽造的 ARP應(yīng)答，而這個應(yīng)答中的數(shù)ARPIP 地偽裝成了 A。這樣主機A和C都被主機B欺騙，A和C之間通訊的數(shù)據(jù)都經(jīng)過了 B。主機B完全可以知道他 們之間說的什么：）。這就是典型的ARP欺騙過程。注意：一般情況下，ARP欺騙的某一方應(yīng)該是網(wǎng)關(guān)。2。2。2 兩種情況ARP欺騙存在兩種情況：一種是欺騙主機作為“中間

9、人”，被欺騙主機的數(shù)據(jù)都經(jīng)過它中轉(zhuǎn)一次，這 樣欺騙主機可以竊取到被它欺騙的主機之間的通訊數(shù)據(jù)；另一種讓被欺騙主機直接斷網(wǎng)。第一種:竊取數(shù)據(jù)（嗅探）通訊模式：應(yīng)答 -應(yīng)答-應(yīng)答-應(yīng)答-應(yīng)答-請求-應(yīng)答-應(yīng)答-請求-應(yīng)答。描述：這種情況就屬于我們上面所說的典型的ARP欺騙，欺騙主機向被欺騙主機發(fā)送大量偽造的ARP應(yīng)答包進行欺騙，當通訊雙方被欺騙成功后，自己作為了一個“中間人“的身份。此時被欺騙的主機雙方 還能正常通訊，只不過在通訊過程中被欺騙者“竊聽”了。出現(xiàn)原因（可能）：*木馬病毒*嗅探*人為欺騙第二種：導(dǎo)致斷網(wǎng)通訊模式：應(yīng)答 - 應(yīng)答-應(yīng)答- 應(yīng)答 -應(yīng)答 - 應(yīng)答-請求,描述：這類情況就是在

10、 ARP欺騙過程中，欺騙者只欺騙了其中一方，如B欺騙了 A但是同時B沒有對C進行欺騙，這樣A實質(zhì)上是在和B通訊，所以A就不能和C通訊了，另外一種情況還可能就是欺騙者 偽造一個不存在地址進行欺騙。對于偽造地址進行的欺騙，在排查上比較有難度，這里最好是借用TAP設(shè)備（呵呵，這個東東好像有點貴勒），分別捕獲單向數(shù)據(jù)流進行分析！出現(xiàn)原因（可能）：*木馬病毒*人為破壞*一些網(wǎng)管軟件的控制功能3。常用的防護方法搜索網(wǎng)上，目前對于ARP攻擊防護問題出現(xiàn)最多是綁定 IP和MAC和使用ARP防護軟件，也出現(xiàn)了具有 ARP防護功能的路由器。呵呵，我們來了解下這三種方法。3。 1靜態(tài)綁定最常用的方法就是做IP和MA

11、C靜態(tài)綁定，在網(wǎng)內(nèi)把主機和網(wǎng)關(guān)都做 IP和MAC綁定。欺騙是通過 ARP 的動態(tài)實時的規(guī)則欺騙內(nèi)網(wǎng)機器， 所以我們把ARP全部設(shè)置為靜態(tài)可以解決對內(nèi)網(wǎng) PC的欺騙，同時在網(wǎng)關(guān) 也要進行IP和MAC勺靜態(tài)綁定，這樣雙向綁定才比較保險。方法：對每臺主機進行IP和MAC地址靜態(tài)綁定。通過命令，arp-s可以實現(xiàn)“ arp - sIPMAC地址”。例如：“ arp - S192。168。10。1AA-AA-AA-AA-AA-AA。如果設(shè)置成功會在PC上面通過執(zhí)行arp-a可以看到相關(guān)的提示:InternetAddressPhysicalAddressType192。 168。 10。 1AA-AA-A

12、A-AA-AA-AAstatic（ 靜態(tài)）一般不綁定，在動態(tài)的情況下：InternetAddressPhysicalAddressType192。 168。10。1AA-AA-AA-AA-AA-AAdynamic（動態(tài)）說明：對于網(wǎng)絡(luò)IP 。中有很多主機， 500 臺， 1000 臺。，如果我們這樣每一臺都去做靜態(tài)綁定， 工作量是非常大的。 這種靜態(tài)綁定，在電腦每次重起后，都必須重新在綁定，雖然也可以做一個批處理文件，但是還是比較麻 煩的！3。2使用ARP防護軟件目前關(guān)于ARP類的防護軟件出的比較多了， 大家使用比較常用的 ARP工具主要是欣向ARP工具，Antiarp 等。它們除了本身來檢測

13、出 ARP攻擊外，防護的工作原理是一定頻率向網(wǎng)絡(luò)廣播正確的ARP信息。我們還是來簡單說下這兩個小工具。3。2。1欣向ARP工具使用該工具，它有 5 個功能：A。 IP/MAC 清單選擇網(wǎng)卡。如果是單網(wǎng)卡不需要設(shè)置。如果是多網(wǎng)卡需要設(shè)置連接內(nèi)網(wǎng)的那塊網(wǎng)卡。IP/MAC掃描。這里會掃描目前網(wǎng)絡(luò)中所有的機器的IP與MAC地址。請在內(nèi)網(wǎng)運行正常時掃描，因為這個表格將作為對之后 ARP的參照。之后的功能都需要這個表格的支持，如果出現(xiàn)提示無法獲取IP或MAC時，就說明這里的表格里面沒有相應(yīng)的數(shù)據(jù)。Bo ARP欺騙檢測這個功能會一直檢測內(nèi)網(wǎng)是否有PC冒充表格內(nèi)的IP。你可以把主要的IP設(shè)到檢測表格里面，例如

14、,路由器，電影服務(wù)器，等需要內(nèi)網(wǎng)機器訪問的機器這條信息的意思是：在 22 : 22:1433次，他發(fā)送的欺騙信息的內(nèi)容是：IP的欺騙，會出現(xiàn)提示。可以按照提示查到內(nèi)網(wǎng)的 ARP欺騙的根源。IP與MAC所以即使提示出某個IP或MAC在發(fā)送欺騙信息，美白針美白針價格上海整形上海整形醫(yī)院（補充）“ ARP欺騙記錄”表如何理解:Time” ：發(fā)現(xiàn)問題時的時間;“sender ”：發(fā)送欺騙信息的IP或MAC“Re peat ”：欺詐信息發(fā)送的次數(shù);ARP info ”：是指發(fā)送欺騙信息的具體內(nèi)容。如下面例子:timesenderRe peatAR Pinfo22: 22: 22192o 168。1 o

15、221433192。168。1 o 1isat00 : 0e: 03: 22: 02: e822的時間，檢測到由192。168。1 0 22發(fā)出的欺騙信息，已經(jīng)發(fā)送了192O 168o 10 1 的 MAC地址是 00: Oe: 03: 22: 02: e8o打開檢測功能，如果出現(xiàn)針對表內(nèi)提示一句，任何機器都可以冒充其他機器發(fā)送也未必是100%的準確。所有請不要以暴力解決某些問題。C。主動維護這個功能可以直接解決 ARP欺騙的掉線問題，但是并不是理想方法。他的原理就在網(wǎng)絡(luò)內(nèi)不停的廣播制定的IP的正確的MAC地址。“制定維護對象”的表格里面就是設(shè)置需要保護的IP O發(fā)包頻率就是每秒類似于網(wǎng)絡(luò)分析

16、軟件的抓包，保存格式是。cap。IP對應(yīng)的MAC地址。B。 IP 地址沖突如頻繁的出現(xiàn) 突的警告，利用 AntiARPSniffer發(fā)送多少個正確的包給網(wǎng)絡(luò)內(nèi)所有機器。強烈建議盡量少的廣播IP，盡量少的廣播頻率。一般設(shè)置1次就可以，如果沒有綁定IP的情況下，出現(xiàn) ARP欺騙，可以設(shè)置到 50- 100次，如果還有掉線可以設(shè)置更高， 即可以實現(xiàn)快速解決 ARP欺騙的問題。但是想真正解決 ARP問題，還是請參照上面綁定方法。D。欣向路由器日志收集欣向路由器的系統(tǒng)日志，等功能。E。抓包3。 2。 1Antiarp這個軟件界面比較簡單，以下為我收集該軟件的使用方法。A。填入網(wǎng)關(guān)IP地址，點擊獲取網(wǎng)關(guān)地

17、址將會顯示出網(wǎng)關(guān)的MAC地址。點擊自動防護即可保護當前網(wǎng)卡與該網(wǎng)關(guān)的通信不會被第三方監(jiān)聽。注意：如出現(xiàn)ARP欺騙提示，這說明攻擊者發(fā)送了 ARP欺騙數(shù)據(jù)包來獲取網(wǎng)卡的數(shù)據(jù)包，如果您想追蹤攻擊來源請記住攻擊者的MAC地址，利用MAC地址掃描器可以找出IP地址沖突，這說明攻擊者頻繁發(fā)送ARP欺騙數(shù)據(jù)包，才會出現(xiàn)IP沖可以防止此類攻擊。ARP信息啊？如果攻擊者每C。您需要知道沖突的 MAC地址，Windows會記錄這些錯誤。 查看具體方法如下：右擊我的電腦-管 理-點擊事件查看器-點擊系統(tǒng)-查看來源為TcpIP卜-雙擊事件可以看到顯示地址發(fā)生沖突，并記錄了該MAC地址，請復(fù)制該 MAC地址并填入 A

18、ntiARPSniffer 的本地MAC地址輸入框中（請注意將：轉(zhuǎn)換為 -），輸入完成之后點擊防護地址沖突，為了使MAC地址生效請禁用本地網(wǎng)卡然后再啟用網(wǎng)卡，在CMD命令行中輸入Ipconfig/all，查看當前MAC地址是否與本地 MAC地址輸入框中的 MAC地址相符，如果更改失敗請與我聯(lián)系。如果成功將不再會顯示地址沖突。注意：如果您想恢復(fù)默認 MAC地址，請點擊恢復(fù)默認,為了使MAC地址生效請禁用本地網(wǎng)卡然后再啟用網(wǎng)卡。3。3具有ARP防護功能的路由器這類路由器以前聽說的很少，對于這類路由器中提到的ARP防護功能，其實它的原理就是定期的發(fā)送自己正確的ARP信息。但是路由器的這種功能對于真正意義上的攻擊，是不能解決的。ARP的最常見的特征就是掉線，一般情況下不需要處理一定時間內(nèi)可以回復(fù)正常上網(wǎng)，因為ARP欺騙是有老化時間的，過了老化時間就會自動的回復(fù)正常。現(xiàn)在大多數(shù)路由器都會在很短時間內(nèi)不停廣播自己的正確ARP信息，使受騙的主機回復(fù)正常。但是如果出現(xiàn)攻擊性ARP欺騙（其實就是時間很短的量很大的欺騙ARP, 1秒有個幾百上千的），它是不斷的發(fā)起ARP欺騙包來阻止內(nèi)網(wǎng)機器上網(wǎng)，即使路由器不斷廣播正確的包也會被他大量的 錯誤信息給淹沒。可能你會有疑問：我們也可以發(fā)送比欺騙者更多更快正確的 秒發(fā)送1000個ARP