局域网终结者、网络执法官、网络剪刀手的攻击原理
我们知道一个局域网中不可以同时有两个相同的ip。否则就会发生冲突,结果必然是其中的一台机器无法上网。假设在一个局域网中有两台主机甲和乙,主机甲只知道乙的IP而不知道其MAC,主机甲想与主机乙进行通讯时,根据OSI七层模型,当数据封装到数据链路层时(也就是MAC层),便会向局域网内所有的机器发送一个arp请求包(小知识:arp就是地址解析协议,它的功能在于将IP地址转换为对应的MAC地址,这时如果乙收到该请求包,便会返回给甲一个arp应答包,将自己的MAC告诉甲,2这样就可以继续进行数据传输了。但是如果在这个过程中,如果主机甲在发送ARP请求时,该局域网内有一台主机丙的IP和甲相同,丙就会得知有一台主机的IP地址同自已的IP地址相同,于时就弹出一个我们通常所见到的IP冲突的对话框。既然一个主机接收到与自已相同IP发出的ARP请求就会弹出一个IP冲突框来,假如伪造任一台主机的IP向局域网不停地发送ARP请求,同时自已的MAC也是伪造的,那么被伪造IP的主机便会不停地收到IP冲突提示。这便构成了局域网终结者的攻击原理。从上面的分析来看,这实际上属于一种arp请求包的拒绝服务攻击了。
网络剪刀手等工具的原理就是利用了ARP欺骗,所以,只要防止了ARP欺骗也等于防止了网络剪刀手。netcut原理实际上就是在攻击网关,这里我们假设:
网关IP为:192.168.237.252
MAC 为:123412341234
要剪掉的主机是:192.168.237.253
该主机真实MAC是:00C04CA85A5C
那么NETCUT就会发出如下图的一个“明知故问”的单播ARP请求,来询问
网关的MAC地址。
之所以说它“明知故问” ,是因为该请求在DLC层目的MAC是123412341234
这是一个单播给网关的请求,但是ARP包中包含的的信息却是:
“我是192.168.237.253,我的MAC是B2CCBAE9CBAE,请告诉我192.168.237.252(网关)的MAC 地址”
这里言外之意就很明显了,表面上是要请求网关MAC实际上却是很隐晦的告诉网
关:“192.168.237.253 的MAC是 B2CCBAE9CBAE,记住了啊!”
这样,当网络关要发送数据到 192.168.237.253 的时候就会将二层的目的地址
填写为“ B2CCBAE9CBAE” ,“而不是 00C04CA85A5C” 从而达到了将 192.168.237.253剪下网的目的。
当然,NETCUT发出的ARP包不只这一个,但是这个包是起主要作用的。
网络执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址,使其找不到网关真正的MAC地址。因此,只要我们修改IP到MAC的映射就可使网络执法官的ARP欺骗失效,就隔开突破它的限制。你可以事先Ping一下网关,然后再用ARP -a命令得到网关的MAC地址,最后用ARP -s IP 网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。
聚生网管针对当前困扰局域网的三大攻击工具,专门开发了检测模块,通过本模块,你可以查询到实施攻击的主机的ip、主机名、网卡、攻击时间等信息,可以让管理员及时采取应对措施,把损失减少到最低限度。
总之,禁止ARP攻击,限制ARP攻击,监控ARP攻击,过滤ARP攻击,控制ARP攻击,屏蔽ARP攻击,阻断ARP攻击,拦截ARP攻击,封堵ARP攻击,禁用ARP攻击,禁ARP攻击,限ARP攻击,封ARP攻击,禁比特精灵,限ARP攻击,封ARP攻击文件传输,ARP攻击端口,ARP攻击协议,ARP攻击服务器IP,如何控制ARP攻击,如何禁止ARP攻击,如何限制ARP攻击,如何封堵ARP攻击,如何监控ARP攻击,如何管理ARP攻击等等这些功能,聚生上网限制软件可以实现!
相关介绍:聚生局域网网络禁止软件提供了非常强大的局域网上网控制功能、网络安全管理、内网攻击防范功能。聚生网管不仅可以有效监测ARP攻击软件,如监测网络执法官、网络剪刀手等,而且可以记录ARP攻击源主机,便于网管人员及时查找、定位局域网ARP攻击主机。