幻境网盾的原理以及防御方法

前些日子我在HIPS专区看到有个朋友问怎么防御幻境网盾，他说按照百度百科中对幻境网盾的防御方法不管用。 http://baike.baidu.com/view/2439077.htm 在这里我需要向那位朋友和看过百科的朋友说声抱歉，这个百科里面的防御方法是本人在被幻境网盾限速一怒之下写进去的，写的时候并没有实际测试过可不可行。 另外，我浏览了一些卡饭关于局域网限速攻击的帖子，发现其 中有错误，在这里也纠正一下。 ================================================================== 现存的限速型局域网欺骗攻击有两种： 1.ARP欺骗攻击 2.MAC地址 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 欺骗攻击 局域网拓扑结构示意地图（校园局域网比这个复杂得多） 1.ARP 欺骗攻击 ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中，有人发送一个自己伪造的ARP应答，网络可能就会出现问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 。这可能就是协议设计者当初没考虑到的！　　 欺骗原理 　　 假设一个网络环境中，网内有三台主机，分别为主机A、B、C。主机详细信息如下描述： 　　 A的地址为：IP：192.168.10.1MAC: AA-AA-AA-AA-AA-AA 　　 B的地址为：IP：192.168.10.2MAC: BB-BB-BB-BB-BB-BB 　　 C的地址为：IP：192.168.10.3MAC: CC-CC-CC-CC-CC-CC 　　 正常情况下A和C之间进行通讯，但是此时B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本来应该是CC- CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A被欺骗了），这时B就伪装成C了。同时，B 同样向C发送一个ARP应答，应答包中发送方IP地址四192.168.10.1（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A 的MAC地址本来应该是AA-AA-AA-AA-AA-AA），当C收到B伪造的ARP应答，也会更新本地ARP缓存（C也被欺骗了），这时B就伪装成了 A。这样主机A和C都被主机B欺骗，A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么：）。这就是典型的ARP欺骗过程。 要论攻击目标，ARP欺骗攻击的目标其实很明确，就是用户的PC机 想要防御也不是什么难事，只要受攻击用户绑定本机IP和MAC地址或者安装一个ARP防火墙就能解决问题。 实际上现在的P2P终结者、聚生网管发动的都是ARP欺骗攻击，但并不是说装个ARP防火墙就管用，各家做出来的ARP防火墙性能千差万别，国内最好的 ARP防火墙推荐使用彩影ARP防火墙和风云防火墙。 2.MAC 地址表欺骗 目前很多网络都使用Hub进行连接的，众所周知，数据包经过Hub传输到其他网段时，Hub只是简单地把数据包复制到其他端口。因此，对于利用Hub组成 的网络来说，没有安全而言，数据包很容易被用户拦截 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 并实施网络攻击（MAC地址欺骗、IP地址欺骗及更高层面的信息骗取等）。为了防止这种数据包的无限扩散，人们越来越倾向于运用交换机来构建网络，交换机具有MAC地址学习功能，能够通过VLAN等技术将用户之间相互隔离，从而保证一定的网络安全性。 交换机队于某个目的MAC地址明确的单址包不会像Hub那样将该单址包简单复制到其他端口上，而是只发到起对应的特定的端口上。如同一般的计算机需要维持一张ARP高速缓冲表一样，每台交换机里面也需要维持一张MAC地址(有时是MAC地址和VLAN)与端口映射关系的缓冲表，称为地址表，正是依靠这张表，交换机才能将数据包发到对应端口。 地址表一般是交换机通过学习构造出来的。学习过程如下： （1）? ? 交换机取出每个数据包的源MAC地址，通过算法找到相应的位置，如果是新地址，则创建地址表项，填写相应的端口信息、生命周期时间等； （2）? ? 如果此地址已经存在，并且对应端口号也相同，则刷新生命周期时间； （3）? ? 如果此地址已经存在，但对应端口号不同，一般会改写端口号，刷新生命周期时间； （4）? ? 如果某个地址项在生命周期时间内没有被刷新，则将被老化删除。 如同ARP缓冲表存在地址欺骗的问题，交换机里的这种MAC地址表也存在地址欺骗问题。在实际应用中，人们已经发现早期设计的许多交换机都存在这个问题，以Cisco2912交换机为例，阐明一下如何进行MAC地址欺骗。 如图所示，两个用户PcA和PcB分别连接Cisco2912的portA和portB两个端口。 ? ?? ?? ?? ?? ?? ?? ?? ?? ? PortC? ?? ?? ?00.00.CC.CC.CC.CC? ?Internet ? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?| ? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?| ? ?? ?? ?? ?? ?? ?? ?? ?? ?Cisco2912 ? ?? ?? ?? ?? ?? ?? ? portA /? ?? ???\portB ? ?? ?? ?? ?? ?? ?? ?? ???/? ?? ?? ? \ ? ?? ?? ?? ?? ?? ?? ?? ?Hub? ?? ?? ?Hub ? ?? ?? ?? ?? ?? ?? ?? ? |? ?? ?? ?? ? | ? ?? ?? ?? ?? ?? ?? ???PcA? ?? ?? ? PcB ? ?? ?? ???00.00.AA.AA.AA.AA? ?? ? 00.00.BB.BB.BB.BB 假定PcA的MAC的地址是 00.00.AA.AA.AA.AA ? ???PcB的MAC的地址是00.00.BB.BB.BB.BB 在正常的情况下，Cisco2912里会保存如下的一对映射关系： （00.00.AA.AA.AA.AA）<—>portA (00.00.BB.BB.BB.BB)??<—>portB (00.00.CC.CC.CC.CC)??<—>portC 依据这个映射关系，Cisco2912把从PortC上收到的发给PcA的包通过PortA发出，而不会从PortB发出。但是如果我们通过某种手段使交换机改变了这个映射关系，则Cisco2912就会将数据包转发到不应该去的端口，导致用户无法正常访问Internet等服务。最为简单的一种方法就是 用户PcB构造一种数据包，该包的源MAC地址不再是自己的MAC地址00.00.BB.BB.BB.BB，而是PcA的MAC地址00.00.AA.AA.AA.AA，从上面的地址学习过程可以看出，Cisco2912就会错误的认为MAC地址00.00.AA.AA.AA.AA是 从portB上来的，因此映射关系也就改为： （00.00.AA.AA.AA.AA）<—>portB (00.00.BB.BB.BB.BB) <—>portB 这样，Cisco2912就会错误地把从PortC上收到的目的地址为MAC A的数据包通过PortB发出，而不再发给PortA.。显然，如果PcB一直在发这种特意构造的包。用户PcA就无法通过Cisco2912正常访问 Internet。更为严重的是，如果用户PcB构造portC上联设备（如路由器）的MAC地址（00.00.CC.CC.CC.CC），则会导致 Cisco 2912下面所有的用户无法正常访问Internet等业务。 现在最流行的MAC地址表欺骗攻击器要数幻境网盾，别看MAC地址表欺骗与ARP欺骗的目的都是限速，但他们的攻击方式却完全不同，MAC地址表欺骗并不针对用户电脑，是向交换机发动，从而侦测出由此交换机负责的所有计算机中正在使用网络的计算机的IP地址，然后攻击者会随意选定几个IP进行网速限。 想要防御这种欺骗攻击，防火墙可就不起作用了，因为防火墙这东西属于被动防御，它只能对自身以及下级网络提供防护，而如果上层网络遭到攻击，防火墙不能跨到上层网络进行防御，在本机绑定IP和MAC地址只是在用户所处的网络层进行虚拟绑定，而MAC地址表欺骗对于这些完全无视，如果想要防御，必须与给你提供网络服务的服务商进行磋商， 要求 对教师党员的评价套管和固井爆破片与爆破装置仓库管理基本要求三甲医院都需要复审吗 网络服务商更换采用既能把IP跟MAC静态绑定，也能把 MAC地址跟物理接入端口静态绑定，或者做基于接口的VLAN的交换机，但是VLAN交换机的价格不便宜，维护费用也高，现在的局域网服务商一般只顾赚钱，所以大部分还是使用自适应式交换机，给不给换就要看网络服务商的好坏了，因为幻境网盾所攻击的是用户的上层网络，也就是交换机，而处于底层网络的用户，如果还是使用被动防御型防火墙，不管用软件防火墙还是硬件防火墙都是徒劳的，根本不能够防御，事实上现在不能防御，将来也永远不能防御。 如果有新手看不懂，可以这样打个比方 两个“工厂”（用户电脑），A工厂和B工厂共同使用一个“变电站”（交换机），某天A工厂引进了一批“生产效率较高但耗能比较大的设备”（P2P软件，如 迅雷、PPS等），这大量电力（带宽）被A厂的设备抽走，于是B厂就到A厂对其电力设施实施“破坏”（ARP欺骗攻击），而后来A厂的保卫科增派了“人 手”（ARP防火墙）使得B厂无法对其破坏，于是B厂干脆派“电工”（MAC地址表欺骗）去2厂共用的变电站那里进行设置限制或完全掐断了对A厂的“电力供 应”，而这时虽然A厂的保卫科很努力的防守自己的工厂，但是电力供应是从变电站那里被限制的，而工厂本身并没有受到外人的直接破坏，所以保卫科加派的那些“人手”也不会起到任何作用。 事实上对于MAC地址表欺骗，ARP防火墙根本就不会报警。 说了这么多，也许有些人已经绝望了，服务商不换VLAN交换机，ARP防火墙不能防，那不是完了吗？ 答案是：还有防御方法。 被动防御没办法，主动防御倒是可以，虽说不能杜绝MAC地址表欺骗，但是也管用。 这里说的主动防御不是使用HIPS软件，而是在用户层上连续不断地向交换机发送本机正确的IP与MAC地址数据包，以对抗幻境网盾发送的MAC地址表欺骗数据包 现在只有两种工具可以对付幻境网盾，分别为防ARP攻击利器加强版和反幻境网盾，这两种工具均可以向上层交换机发送数据包 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 本机IP与MAC正确 的对应关系，而当数据包数量盖过对方发送的欺骗包数量时，对方对你的限速就不起作用。 防ARP攻击利器加强版 http://www.skycn.com/soft/46882.html 使用时先选择网络适配器！ 幻境网盾最大的攻击强度是60，调到60对方会直接断网，而将防ARP欺骗利器加强版的主动防御的数据包发送速度调到60 后，即使被幻境网盾限速也不会断网，而将发送数据包速度调到65-80时，基本可以无视幻境网盾，它的自卫反击功能是一个报复功能，假如你 知道了攻击者的IP地址，你将他的IP输入到自卫反击的对话框里面，然后点开始，就可以攻击对手的计算机。 不过这个工具主要是针对防御ARP欺骗攻击而设计的，所以每秒发送的数据包数量调到最大其实也不是很多，如果只是一个人用幻境网盾对你限速，这东西倒还管用，但如果有2个以上的人对你限速，它就管不了多大用了，需要使用更强悍的反幻境网 盾。 反幻境网盾 http://download.csdn.net/source/2022738 反幻境网盾用起来不如防ARP攻击利器加强版方便，网关MAC地址和本机MAC地址都要手动在他的配置文件packets2.txt里面填入。 反幻境网盾的数据包发送速度是以毫秒计算，每10毫秒（1毫秒=1/1000秒）向交换机发送100个数据包，如果不死扣幻境网盾每秒发送数据包数量的话（就算最强时1秒发送60个欺骗包），就算图中其他5个人同时对发动攻击，他们发送MAC地址表欺骗数据包的总和也不过300个/秒，而反幻境网盾只要30毫秒就可发送同样数量的正确对应关系数据包，这种速度下，攻击者只能望而兴叹。 目前想彻底免疫 环境网盾 可以使用 带有vlan功能的交换机 或者将自己的IP在局域网中隐藏起来～～