La computadora fue atacada por ARP y la velocidad de la red quedó completamente ocupada.

Métodos para resolver ataques ARP: Causa del fallo: Alguien en la LAN utiliza un programa troyano para falsificar ARP. Principio del fallo Para comprender el principio del fallo, primero comprendamos el protocolo ARP. En una LAN, la dirección IP se convierte en una dirección física de segunda capa (es decir, dirección MAC) mediante el protocolo ARP. El protocolo ARP es de gran importancia para la seguridad de la red. La suplantación de ARP se logra falsificando direcciones IP y MAC, lo que puede generar una gran cantidad de tráfico ARP en la red y obstruir la red. El protocolo ARP es la abreviatura de "Protocolo de resolución de direcciones". En una LAN, lo que realmente se transmite en la red es una "trama" y la trama contiene la dirección MAC del host de destino. En Ethernet, si un host quiere comunicarse directamente con otro host, debe conocer la dirección MAC del host de destino. Pero, ¿cómo se obtiene esta dirección MAC de destino? Se obtiene mediante el Protocolo de resolución de direcciones. La llamada "resolución de direcciones" es el proceso en el que el host convierte la dirección IP de destino en la dirección MAC de destino antes de enviar la trama. La función básica del protocolo ARP es consultar la dirección MAC del dispositivo de destino a través de la dirección IP del dispositivo de destino para garantizar una comunicación fluida. Cada computadora con el protocolo TCP/IP instalado tiene una tabla de caché ARP. Las direcciones IP en la tabla corresponden a las direcciones MAC uno a uno, como se muestra en la siguiente tabla. Dirección IP del host Dirección MAC A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd Tomemos como ejemplo el host A (192.168.16.1) que envía datos al host B (192.168.16.2). Al enviar datos, el host A buscará la dirección IP de destino en su tabla de caché ARP. Si se encuentra, también conoce la dirección MAC de destino y puede simplemente escribir la dirección MAC de destino en la trama y enviarla. Si la dirección IP correspondiente no se encuentra en la tabla de caché ARP, el host A enviará una transmisión; la red, la dirección MAC de destino es "FF.FF.FF.FF.FF.FF", lo que significa que se envía dicha consulta a todos los hosts en el mismo segmento de red: "¿Cuál es la dirección MAC de 192.168.16.2? " Otros hosts en la red no No responde a la consulta ARP. Solo cuando el host B recibe esta trama, responde al host A así: "La dirección MAC de 192.168.16.2 es bb-bb-bb-bb-bb- cama y desayuno". De esta manera, el host A conoce la dirección MAC del host B y puede enviar información al host B. Al mismo tiempo, también actualiza su propia tabla de caché ARP. La próxima vez que envíe información al host B, podrá buscarla directamente en la tabla de caché ARP. La tabla de caché ARP adopta un mecanismo de antigüedad. Si una fila de la tabla no se utiliza dentro de un período de tiempo, se eliminará. Esto puede reducir en gran medida la longitud de la tabla de caché ARP y acelerar la consulta. Como se puede ver en lo anterior, la base del protocolo ARP es confiar en todos en la LAN, por lo que es fácil lograr la suplantación de ARP en Ethernet. Falsifica el objetivo A. Cuando A hace ping al host C, envía el mensaje a la dirección DD-DD-DD-DD-DD-DD. Si la dirección MAC de C se falsifica como DD-DD-DD-DD-DD-DD, entonces los paquetes de datos enviados por A a C se enviarán a D. ¿No es esto solo porque D puede recibir el paquete de datos enviado por A? El rastreo es exitoso. A no estaba consciente de este cambio en absoluto, pero lo que sucedió después lo hizo sospechar. Porque A y C no se pueden conectar. D recibió el paquete de datos enviado por A a C pero no lo reenvió a C. Haga "man in the middle" y realice la redirección ARP. Active la función de reenvío de IP de D y los paquetes de datos enviados por A se reenvían a C, como un enrutador. Sin embargo, si D envía una redirección ICMP, rompe todo el plan.

D modifica y reenvía directamente el paquete completo, captura los paquetes de datos enviados por A a C, los modifica todos y luego los reenvía a C. Sin embargo, los paquetes de datos recibidos por C se consideran completamente enviados desde A. Sin embargo, el paquete de datos enviado por C se pasa directamente a A. Si se realiza nuevamente la suplantación ARP de C. Ahora D se ha convertido por completo en el puente intermedio entre A y C y puede comprender bien la comunicación entre A y C. Fenómeno de falla: cuando un host en la red de área local ejecuta un programa troyano de suplantación de ARP, engañará a todos los hosts y enrutadores en la red de área local, de modo que todo el tráfico de Internet debe pasar a través del host del virus. Otros usuarios que solían acceder a Internet directamente a través del enrutador ahora son redirigidos al host del virus. Durante el cambio, el usuario será desconectado. Después de cambiar al host del virus para acceder a Internet, si el usuario ha iniciado sesión en el servidor legendario, el host del virus a menudo simulará la desconexión y el usuario tendrá que iniciar sesión en el servidor legendario nuevamente, para que el host del virus pueda robar la cuenta. Cuando ocurre el programa troyano de suplantación de ARP, enviará una gran cantidad de paquetes de datos, lo que provocará congestión de las comunicaciones en la LAN y limitará sus propias capacidades de procesamiento. Los usuarios sentirán que la velocidad de Internet es cada vez más lenta. Cuando el programa troyano de suplantación de ARP deja de ejecutarse, el usuario reanudará el acceso a Internet desde el enrutador y se desconectará nuevamente durante el proceso de cambio. Los usuarios de HiPER descubrieron rápidamente el troyano de suplantación de ARP y vieron una gran cantidad de la siguiente información en el "Historial del sistema" del enrutador (este mensaje solo está disponible en versiones de software del enrutador posteriores a 440): MAC Chged 10.128.103.124 MAC Old 00:01 :6c:36 :d1:7f MAC New 00:05:5d:60:c7:18 Este mensaje representa que la dirección MAC del usuario ha cambiado. Cuando el troyano de suplantación de identidad ARP comienza a ejecutarse, las direcciones MAC de todos los hosts de la LAN son. actualizado a la dirección MAC del host del virus (es decir, la nueva dirección MAC de toda la información es consistente con la dirección MAC del host del virus. Al mismo tiempo, puede hacerlo en las "Estadísticas de usuario" del enrutador). Verifique que la información de la dirección MAC de todos los usuarios sea la misma. Si ve una gran cantidad de direcciones MAC antiguas que son consistentes en el "Historial del sistema" del enrutador, significa que se ha producido una suplantación de ARP en la LAN (cuando el programa troyano de suplantación de ARP deja de ejecutarse, el host recupera su dirección MAC real en el enrutador). Encuentre el host del virus en la LAN Arriba, ya conocemos la dirección MAC del host que utiliza troyanos de suplantación de identidad ARP, luego podemos usar la herramienta NBTSCAN (dirección de descarga: /upload/nbtscan.rar ( /upload/nbtscan.rar )). para encontrarlo rápidamente. NBTSCAN puede obtener la dirección IP real y la dirección MAC de la PC. Si hay un "troyano legendario" que causa problemas, se puede encontrar la dirección IP/MAC de la PC con el troyano. Comando: "nbtscan -r 192.168.16.0/24" (busque todo el segmento de red 192.168.16.0/24, es decir, 192.168.16.1-192.168.16.254 o "nbtscan 192.168.16.25-137" busque 192.168.16.25-); 13 7 segmentos de red, a saber, 192.168.16.25-192.168.16.137. La primera columna del resultado es la dirección IP y la última columna es la dirección MAC. Ejemplo de uso de NBTSCAN: suponga que está buscando un host de virus con una dirección MAC de "000d870d585f". 1) Descomprima nbtscan.exe y cygwin1.dll en el paquete comprimido y colóquelos en c:. 2) Inicio - Ejecutar - Abrir en Windows, ingrese cmd (ingrese "comando" en Windows 98), ingrese en la ventana de DOS que aparece: C: btscan -r 192.168.16.1/24 (aquí debe ingresar de acuerdo con el usuario segmento de red real), coche de devolución.

C:Documentos y configuracionesALAN>C: btscan -r 192.168.16.1/24 Advertencia: la opción -r no se admite en Windows. Se ejecuta sin ella. Se realiza un escaneo de nombres NBT para buscar direcciones desde la dirección IP 192.168.16.1/24 Dirección MAC del usuario del servidor de nombres NetBIOS. -------------------------------------------------- -------------------------- 192.168.16.0 Error de envío: no se puede asignar la dirección solicitada 192.168.16.50 SERVIDOR 00-e0-4c-4d-96- C6 192.168.16.111 LLF Administrator 00-22-55-66-77-88 192.168.16.121 UTT-Hiper 00-0d-87-26-7d-78 192.168.16.175 JC 00-07-95-E0-7C-D7 192.168 16.223 test123 test123 00-0d-87-0d-58-5f 3) Al consultar la tabla de correspondencia IP-MAC, se encontró que la dirección IP del host del virus "000d870d585f" es "192.168.16.223". Solución: 1. No base la relación de confianza de seguridad de su red en IP o MAC (rarp también tiene el problema del engaño. La relación ideal debería basarse en IP+MAC). 2. Configure una tabla de correspondencia estática MAC-->IP y no permita que el host actualice la tabla de conversión que configuró. 3. A menos que sea absolutamente necesario, deje de usar ARP y guarde ARP como una entrada permanente en la tabla correspondiente. 4. Utilice el servidor ARP. Utilice este servidor para buscar su propia tabla de traducción ARP para responder a las transmisiones ARP de otras máquinas. Asegúrese de que este servidor ARP no esté pirateado. 5. Utilice la transmisión IP proxy \"\"proxy\"\". 6. Utilice hardware para proteger el host. Configure su ruta para asegurarse de que la dirección IP pueda llegar a la ruta legal. (configure estáticamente las entradas ARP enrutadas), tenga en cuenta que la suplantación de ARP no se puede evitar mediante la conmutación de concentradores y puentes. 7. El administrador obtiene periódicamente una solicitud rarp del paquete IP de respuesta y luego verifica la autenticidad de la respuesta ARP. 8. El administrador realiza encuestas periódicamente para comprobar la caché ARP en el host. 9. Utilice un firewall para monitorear continuamente la red. Tenga en cuenta que cuando se utiliza SNMP, la suplantación de ARP puede provocar la pérdida de paquetes de captura. Solución para usuarios de HiPER Se recomienda que los usuarios adopten un método de enlace bidireccional para resolver el problema y evitar la suplantación de ARP. 1. Vincule la dirección IP y MAC del enrutador en la PC: 1) Primero, obtenga la dirección MAC de la red interna del enrutador (por ejemplo, la dirección MAC de la dirección de puerta de enlace HiPER 192.168.16.254 es 0022aa0022aa Dirección MAC del puerto LAN> ). 2) Escriba un archivo por lotes rarp.bat con el siguiente contenido: @echo off arp -d arp -s 192.168.16.254 00-22-aa-00-22-aa Cambie la dirección IP de la puerta de enlace y la dirección MAC en el archivo a su own La dirección IP de la puerta de enlace y la dirección MAC son suficientes. Arrastre este software de procesamiento por lotes a "Windows-Inicio-Programas-Inicio".

Herramienta para eliminar virus ARP Herramienta para eliminar virus ARP: /attachment/Mon_0609/TSC.rar ( /attachment/Mon_0609/TSC.rar ) 1. Herramienta para eliminar virus ARP de Trend Micro, ya sea que esté envenenada o no, asegúrese de descargarla y mátalo, mátalo. Después de la descarga, descomprímalo y ejecute el archivo TSC.exe en el paquete. No lo cierre hasta que se ejecute por completo. Finalmente, verifique el documento del informe para ver si está envenenado. 2. Herramienta de protección antivirus Arp Dirección de descarga de Antiarp: /soft/1/78/2006/Soft_32177.html ( /soft/1/78/2006/Soft_32177.html ) ∷ Introducción al software ∷ Versión final del software de protección contra ataques arp - Antiarp Cómo utilizar el software de seguridad: 1. Complete la dirección IP de la puerta de enlace y haga clic en "Obtener dirección de puerta de enlace" para mostrar la dirección MAC de la puerta de enlace. Haga clic en [Protección automática] para proteger la comunicación entre la tarjeta de red actual y la puerta de enlace para que no sea monitoreada por un tercero. Nota: Si aparece este tipo de mensaje de suplantación de identidad, significa que el atacante ha enviado este tipo de paquete de suplantación de identidad para obtener el paquete de datos de la tarjeta de red. Si desea rastrear el origen del ataque, recuerde la dirección MAC del atacante. Puede utilizar un escáner de direcciones MAC para encontrarla. Genere la dirección MAC correspondiente a la IP. 2. Conflictos de direcciones IP si ocurren con frecuencia, significa que los atacantes envían con frecuencia paquetes de suplantación de identidad (ARP) y aparecerán advertencias de conflicto de IP. Anti ARP Sniffer se puede utilizar para prevenir este tipo de ataques. 3. Necesita conocer la dirección MAC en conflicto; Windows registrará estos errores. El método específico para verificar es el siguiente: Haga clic derecho en [Mi PC]--[Administración]--Haga clic en [Visor de eventos]--Haga clic en [Sistema]--Ver fuente es [TcpIP]---Haga doble clic en el evento para ver la dirección mostrada ocurrió un conflicto y registre la dirección MAC. Copie la dirección MAC y complétela en el cuadro de entrada de dirección MAC local de Anti ARP Sniffer (tenga en cuenta que debe convertir: a -). Conflicto de dirección]. Para que M Para que la dirección surta efecto, deshabilite y luego habilite la tarjeta de red local. Ingrese Ipconfig /all en la línea de comando CMD para verificar si la dirección MAC actual coincide con la dirección en la dirección MAC local. cuadro de entrada. Si el cambio falla, por favor póngase en contacto conmigo. Si tiene éxito, el conflicto de direcciones ya no se mostrará. Nota: Si desea restaurar la dirección MAC predeterminada, haga clic en [Restaurar valor predeterminado]. Para que la dirección sea efectiva, desactive la tarjeta de red local y luego habilítela.