您当前位置: 首页 » [linux总结] » *生活* » object » 思考 » 沉默式-防火墙-软件(ARP)

沉默式-防火墙-软件(ARP)

2011-01-16 |

现在在一些小型局域网里面,由于网络分配问题,导致网内进场出现一些攻击。

针对网络争夺,最简单的就是arp攻击。他的原理很简单,将目标机的arp缓存表中的网管mac地址,频繁刷新,并将其写成目标机的mac地址。这样在数据包在第二层打包时,就会将错误的mac写进去,这时数据包就会被转发到目标机上。而目标机具有一定的转发能力,并且还会动态控制报文速度,报文大小等等。这样就可以达到了,争夺网速的目的。

arp防火墙具有如下几个功能:

1,通过sniff识别。侦查攻击者,而这种侦查是不准确的,如果出现2个以上的攻击者,同时攻击者稍微有些技巧,就能让防火墙很难区分出是谁在攻击。

2,arp缓存表的绑定。一般通过dhcp相互通讯得到网关ip,通过前面的侦查,来识别正确的网关mac 。同时,在这个识别过程中,又存在防火墙能否正确识别。所以这样做是存在一定风险。

3,沉默式防火墙。最初的目的是让攻击者扫描不到被保护的机器,从而达到攻击软件使用人无法选择到。

沉默式防火墙,最大的特点是。他只响应网关的arp请求,对于其他arp请求均被忽略。

实际上这样的小技巧,对于有经验或者真正的arp攻击者来说完全不是问题。

要得到目标ip的mac地址,实际上只要伪造一个和网关一模一样的arp请求,这样就会出现相应的arp应答报文。如果在未管理局域网内的话,这样的arp应答报文会被广播,从而被接收到。

因此就得到了目标机的mac。这样一方面能够了解网内用户在网情况,另一方面又能了解到对方的mac。

至于arp攻击,我们要争夺对方的网络资源。要么让对方的报文通过我们,要么让对方的报文发送不出来。

于是采取高并发攻击,就能够然对方的网络或者计算机进入瘫痪。 尤其是采用了具有缺陷的一类防火墙更容易如此。

事实告诉我们,软件防火墙并非那么安全。主要的瓶颈还在于防火墙和被保护者是共享同一块硬件资源的。