ARP緩存感染攻擊解析(5)

最后，黑客開啟一個(gè)叫IP轉(zhuǎn)發(fā)的系統(tǒng)功能。這個(gè)功能讓黑客能將所有來自你的計(jì)算機(jī)的網(wǎng)絡(luò)信息轉(zhuǎn)發(fā)到路由器 (如圖5).

現(xiàn)在，只要你嘗試上網(wǎng)，你的計(jì)算機(jī)就會(huì)將網(wǎng)絡(luò)信息發(fā)送到黑客的機(jī)器上，然后黑客再將其轉(zhuǎn)發(fā)到路由器。由于黑客仍然將你的信息轉(zhuǎn)發(fā)到網(wǎng)絡(luò)路由器，所以你并不會(huì)察覺到他已經(jīng)截獲了所有你的網(wǎng)絡(luò)信息，或許還竊聽了你的明文密碼或者劫持了你曾經(jīng)安全的網(wǎng)絡(luò)會(huì)話。

MAC洪泛

MAC洪泛是一種旨在網(wǎng)絡(luò)交換機(jī)的ARP緩存中毒技術(shù)。當(dāng)這些交換機(jī)流量超載時(shí)它們常常進(jìn)入到 “集線器” 模式。在 “集線器” 模式中，交換機(jī)由于太過繁忙而不能執(zhí)行它的端口安全檢測(cè)功能，而是僅僅向網(wǎng)絡(luò)中的每一臺(tái)計(jì)算機(jī)廣播所有的網(wǎng)絡(luò)數(shù)據(jù)。利用大量的假冒ARP響應(yīng)數(shù)據(jù)包去洪泛一臺(tái)交換機(jī)的ARP映射表，黑客能使大多數(shù)制造商的交換機(jī)超載，然后當(dāng)交換機(jī)進(jìn)入 “集線器” 模式時(shí)，就可以發(fā)送 (惡意的) 包去嗅探你的局域網(wǎng)。

害怕了？好，現(xiàn)在冷靜下來！

這是可怕的東西。ARP緩存中毒能夠利用一些微不足道的手段卻造成網(wǎng)絡(luò)的巨大危害。但是，當(dāng)你進(jìn)入到高度戒備狀態(tài)時(shí)，注意到一個(gè)重要的緩解因素：只有也在局域網(wǎng)中的攻擊者才能利用ARP的缺陷 (因?yàn)锳RP協(xié)議只會(huì)在局域網(wǎng)(子網(wǎng))中進(jìn)行) 。黑客他要不是在你的網(wǎng)絡(luò)中找個(gè)接口插入而連接上你的局域網(wǎng)，要不就是控制一個(gè)局域網(wǎng)內(nèi)的機(jī)器，這樣才能進(jìn)行ARP緩存中毒攻擊。ARP的缺陷不能在被遠(yuǎn)程利用。

那就是說,黑客會(huì)被知道他接入了這個(gè)網(wǎng)絡(luò)。優(yōu)秀的網(wǎng)絡(luò)管理員應(yīng)該能意識(shí)到ARP緩存中的技術(shù)。

由于ARP緩存中毒源于一個(gè)協(xié)議的缺陷，但是這個(gè)協(xié)議對(duì)于TCP/IP網(wǎng)絡(luò)的運(yùn)轉(zhuǎn)又是必須的，你不能去修改它。但是你可以運(yùn)用以下技術(shù)來防止ARP攻擊。