惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

V
Vulnerabilities – Threatpost
U
Unit 42
F
Fortinet All Blogs
aimingoo的专栏
aimingoo的专栏
P
Proofpoint News Feed
F
Full Disclosure
月光博客
月光博客
Engineering at Meta
Engineering at Meta
博客园_首页
The Register - Security
The Register - Security
G
Google Developers Blog
The Cloudflare Blog
博客园 - Franky
K
Kaspersky official blog
A
Arctic Wolf
Scott Helme
Scott Helme
C
Cisco Blogs
Hugging Face - Blog
Hugging Face - Blog
C
Check Point Blog
NISL@THU
NISL@THU
AI
AI
D
DataBreaches.Net
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
Stack Overflow Blog
Stack Overflow Blog
Project Zero
Project Zero
The GitHub Blog
The GitHub Blog
H
Hackread – Cybersecurity News, Data Breaches, AI and More
量子位
Vercel News
Vercel News
T
Tor Project blog
P
Privacy International News Feed
D
Docker
I
Intezer
L
LangChain Blog
P
Proofpoint News Feed
Security Latest
Security Latest
C
CXSECURITY Database RSS Feed - CXSecurity.com
T
Threatpost
博客园 - 聂微东
AWS News Blog
AWS News Blog
Martin Fowler
Martin Fowler
P
Privacy & Cybersecurity Law Blog
V
V2EX
Last Week in AI
Last Week in AI
C
Cybersecurity and Infrastructure Security Agency CISA
The Hacker News
The Hacker News
T
Tenable Blog
Blog — PlanetScale
Blog — PlanetScale
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
T
Tailwind CSS Blog

博客园 - xi.Tran B2-448

Exception 微笑性抑郁症测试 抑郁症的自我测试 微软面试100题 我的linuxES 永远的Beatles 寂寞的圣诞节 星座人性之最 朋友难当 delphi打印实现(节选) 我是怎么了 我想飞在歌声响起的夜晚 幼稚 镜子 so long 圣诞节,李智归来! 生日快乐 Hibernate 黄色的烟灰缸
针对ARP协议的病毒攻击的简单分析
xi.Tran B2-448 · 2006-12-09 · via 博客园 - xi.Tran B2-448

    前段时间,公司里的VPN-Server突然出现掉线的情况,导致广域网VPNClient无法连接。重新启动服务器,正常几分钟之后掉线情况又出现;郁闷~
    使用其他拥有上网的主机ping DNS,都能够ping通,说明光纤线路正常。
     在VPN-Server上运行arp命令查看IP-MAC映射解析表,网关的MAC值为:00-d0-70-03-a1-41;在开外一台拥有上网权限的主机A上使用相同命令,发现网关的MAC值为:00-16-e6-5d-65-3f,又在正常的主机B、主机C上查看网关MAC都等同于主机A;说明是VPN-Server的ARP映射表有问题。
     在VPN-Server上将arp映射表清空,并将正确的网关IP-MAC映射值用手工方式绑定,运行arp -a查看:网关的IP-MAC正常,Type为static。
用管理工具查询到MAC地址为00-d0-70-03-a1-41的主机D,将其网线拔除进行杀毒操作。网络恢复正常。

    原来主机D上中了ARP欺骗病毒,导致主机D将自己的MAC地址与网关的IP地址伪造出虚假的ARP响应包,并向整个网络广播;默认情况下每台主机的ARP高速缓存放的IP-MAC表都是动态改变的,且其在WINDOWS平台上的存活周期为50~60s,每台主机要与网关通信的时候都是先查看其ARP中是否存在IP-MAC,若存在,直接将网关的MAC地址放入以太网帧首部的目标地址中发送以太网数据报;若不存在,网络中发送一个ARP请求,等待相应主机将ARP响应发回,并添加到ARP高速缓存中。主机D频繁发送的ARP错误响应包使VPN-Server更改了自己的ARP高速缓存:将错误的IP-MAC 信息写入。这样,VPN-Server对网关发送的数据包全部错误发向了主机D,也就是说被主机D拦截,很多盗取密码的木马程序就是采用了ARP欺骗这种机制实现的。向ARP这种运行在链路层的重要协议是有必要了解掌握的,毕竟很多传输曾的高档协议都是依赖于网络层IP网际协议,而IP数据要想在链路层传导,必须得靠ARP、RARP这两个地址解析协议。