偶看新闻soe572:ARP 欺骗,骗的是什么?
来源:百度文库 编辑:偶看新闻 时间:2024/04/20 00:14:13
主持人:大家好,这里是IT专家网,今天Webcast的主题是ARP欺骗,骗的是什么?很高兴邀请到我们的嘉宾侠诺Qno张建清先生,为我们解答问题。先请张先生做一下自我介绍。
张建清:谢谢主持人,我是侠诺科技营销总监。我从1996年小路由的时代,就开始做小路由产品的研发,在这中间历经的路由器,因为宽带的兴起,被市场接受。无线的路由器也开始了兴起。现在我们专门提供了多由路由器的方案推向市场。
主持人:他是营销总监,但是也有深厚的功底。前一段时间,我们把事情炒得非常火热,就是MSN被监听。实际上媒体也对MSN的监听软件做了报告,实际上它并不是非常容易被使用。但是网上后来又出了叫停类的文章,是说MSN Messenger是配合ARP欺骗软件,就起到了它原本应该有的作用。我们想问一下张先生,ARP欺骗到底是什么样的技术?
张建清:ARP欺骗我们必须从它的名词来讲。ARP欺骗它是一个地址解读的协议。地址解读协议是什么意思呢?在我们互联网上面,最常用的协议是TCPIP,就是传输的协议。IP就是所谓定址的协议。好比我们用哪一栋大楼,在什么地方,在网络上就是使用IP地址来定的。但是在实体上,我们大家都知道,在每一台电脑上都有实体的地址。IP地址是网络的一个地址。ARP就是让这两个地址跟IP地址产生关联的一个协议。也就是说,我怎么知道哪一台IP在什么位置呢?就是透过ARP去先地方他的IP地方在哪里,再把这个侦发过去。像MSN是怎么欺骗的呢?在局域网里面,我这个侦或者这个包本来要发到某一个IP,这个IP对的机器是A机器。它骗你这个IP对应的是第一台机器。你就以为这个包要发到另外一台机器去。这就是所谓ARP欺骗的基本想法和思维。
主持人:ARP欺骗对于我们局域网的一些应用看来是很危险的。
张建清:我从各地,从东莞,温州、宁波,在中国,普遍发现ARP欺骗影响,在早期是网吧。它就是让这个网吧掉线。其实我们早期发现的时候,刚刚主持人讲的一些应用就是所谓的MSN监听。在所谓的MSN,并没有做特殊的加密。有些人就想了一些机制去监听。其实ARP最早的应用就是在网络上盗取密码的。就是有一些在网吧里的用户,用ARP欺骗。另外一个用户在输入用户名和密码的时候,就欺骗他的这台机器说,我的机器是路由器,他会把用户名的密码送到我这台机器里面。他就可以把这个用户名和密码解读出来。等用户没有上网的时候,他就可以把这个宝盗走。后来慢慢我们发现,很多用户用这个功能,在这个上面做了很多的隐身,变得一发不可收拾。本来我大概可以用三秒、五秒,后来就产生了很多隐身和变形,造成网断线。因为应用的软件失控了,他就可以在某一台机器上不断做这个欺骗的动作。
主持人:ARP欺骗软件运行同时,为什么会造成频繁的断线呢?
张建清:在我们以局域网运作来讲,我们有两种方式的传输。一种对外传,就是我的用户有一个需求,他透过路由器对外界传送。这个时候,这是一种。另外一种是回传。当有用户在网络上假装他自己是路由器的时候,用户往外传的包或者侦就会送到假的用户去。这个软件就会有一来、一回持续的运作。当你今天碰到ARP欺骗的时候,你就会发现你送去给他,他那边没有回应。用户就觉得是掉线或者断线。严重的时候,就会把其他的应用,也没有办法应用了。所以就感觉到大幅度掉线或者断线的功能。
主持人:实际上就是造成断线的假象。
张建清:实际上也真的断线了。就像我今天跟你在讲话,但是你听不到我讲话的声音。我的服务器也不知道我在跟他讲什么话。另外一个人听到话,只是把它窃取下来,记录下来,并没有给我回应。就是这样的现象。
主持人:刚才也说老了ARP欺骗最早可以用于盗取用户的一些密码、一些敏感信息。现在我们知道,所有未加密的传送的软件,都应用配合一些应用工具监听的。能不能再给我们介绍一下,配合ARP欺骗使用,还有什么所谓的黑客行为呢?
张建清:盗宝是最主要的,另外就是监听。当ARP欺骗,可能配合其他的一些软件功能这样子的。我们发现,在局域网里面,想盗取一些ARP,或者无线网络里面,基本上都是用局域网的特性叫广播。广播,像我们刚才提到的ARP欺骗为什么可以成型?在每一个计算机里面,都存了一个IP地址的对应表。但是每台机器的内存有限,当这个表不够的时候,会传一个广播信息。比如今天我要送给一个IP地址,我就问这个IP在哪里?问出来,所有人都会接受。假如在标准正常的运作里面,大家知道我不是这个,我不用回应。但是路由器知道,这个东西不是这个网域里面,不用送。如果是假装这个IP地址的话,你就会产生一种误解。其实这种比较重大的威胁,我们看到无线这边,有人利用这个特性,做一些相关的动作。
主持人:也就是说,在无线或者有限的局域网里面,你所做的一些行为,都可以用黑客软件配合ARP监控软件进行欺骗,截取。
张建清:有一些比较低阶段的应用就是所谓的监听。如果在对于这些软件做进一步的分析,比如我这个软件送的时候是什么需求,回来的时候是什么需求。他可以用另外一个目标把你所有的动作都拦截回去。如果今天对方知道,像一个交易,他知道第一笔是什么,第二笔是什么,他把所有的资料都送过去。他也可以把你的讯息拦截走,再转送到服务器,再转送回来。这样的隐身就变成了蛮复杂的状况在应用。这也是各地对ARP效果影响越来越大的原因。
主持人:这个是一般用户来说,也是蛮头疼的问题。
张建清:用户因为不小心,用了一些软件,或者在PC里面点了一些MSN的连接等等,把这个程序启动了,他会发现自己渐渐受到了影响。像今天早上我们的技术支持跟我们说,湖北一些网吧,几乎没有人上网了。因为上不了网。
主持人:像有这种加密的软件传送,信息也是能被黑客截取。只是截取后看不到内容?
张建清:是的。
主持人:前一阵子出有一个msn chat sniffer这样的软件,发现每一台机器都受到了扫描攻击。后来我们分析,是中了病毒还是木马这类东西呢?
张建清:其实在早期里面,ARP的很多功能,像陀螺仪木马这样的功能期在一起。在早期的ARP,只是黑客用来盗取密码,用了三、五秒钟。当你输入用户名和密码的时候,另外一个用户发现没有回应,他会再输一次。但是因为这些ARP的功能跟其他的木马或者其他的城市,或者网络上的连接、病毒结合在一起,所以造成很大规模的影响,断线或者掉线。像你刚刚提到的状况,这个用户可能不知道自己在做这样的事情,这是典型的病毒,这是病毒跟ARP结合的典型现象。
主持人:他能通过ARP欺骗的病毒做什么呢?
张建清:ARP欺骗的病毒做到现在,对于制作的人或者散布的人没有什么太大的作用,纯粹是破坏的工具。因为ARP可以收集网络上广播的包,如果进一步的应用,肯定会有很多的黑客在思考这个问题。因为网络上的特性属于来回,属于协议这样的状况,如果你好好利用,好的方向能保持网络顺畅,不好的方向可以拦截任何他需要的资讯。
主持人:从今年开始,在病毒这边应该是说黑客已经从最早的表现欲,已经转变成有目的性的盈利的目标,也就是说,ARP欺骗很可能被成为黑客盈利的手段。
张建清:你怎么样发生ARP欺骗的状况,我们必须从原理开始讲。最简单的就是叫做ARP跟IP地址的对照表。我们有一些文章描述到,你可以对这个网络进行扫描。像这个ARP的对照表,可以对这个网络进行扫描。当你发现某一个对应IP地址的话,正常是一对一的关系,如果发现一对多的方式那就是异常的情况。回到我们刚刚讲的,预防ARP。我们必须建立地址跟IP的固定关系。因为它会欺骗你。我们现在所谓绑定的功能,我们刚才讲了有两个方向做绑定,一个是路由器的部分,你必须把内部的所有的机器,IP地址做一个绑定。我们想了一些功能,可以让它作后面做激活的动作把它绑定。
很多用户发现我只要在路由器这边做好了就行了,在终端这边就不用做了。但是这样的话,会发生部分的现象。所以在用户这边有所谓的ARP—S的功能,你把你的路由器的位置,也做绑定。这样送给路由器的包就不会被别人拦截去。我们刚才谈到了两个方向,一个是所谓的路由器端做绑定,就是所有机器的IP地址。另外是用户端也要绑定,绑的是路由器的IP,跟路由器的地址。实际上我们最近发现另外一个现象,就是对于中毒的这台机器还有另外的处理方式。中毒的这台机器,虽然你针对每台机器绑定,但是这个设定从开机以后,就失效了。所以我们建议用户把它写到启动的档案里面。每次开机的时候激活这个功能。
另外中毒的这台机器,虽然绑定了,但是它内部已经有病毒了。虽然绑定了,但是它可以每秒快速写它的ARP。这时候他对别人没有办法造成危害。因为别人已经把路由器跟这个机器的位置写得很确定了。对这台上网的人还是有很多的困扰。我们这种传统的绑定功能可以给他快速的写。写到一秒两百次这样的速度。我们现在看到比较好的做法,就是把藏在里面的病毒去除掉,或者整个机器都要清理一下病毒。这是我们现在比较完整的处理方式。
主持人:真的是很精彩的解答。如果我只对我个人的PC机做了绑定,路由那端没有做绑定,还会不会受到ARP欺骗?
张建清:在个人这边做绑定,你可以确保你往路由送的包,确定会送到路由这边去。但是路由送回来的时候,他可以在半路拦截。告诉你路由器不要送给它,送给我吧。就把这个包拦截过去了。所以我们刚才谈到要双向的包要严密。现在有些网吧如果做单方面的绑定是不行的。
主持人:很多人认为我一边绑定就可以了,实际上还是需要双方相的绑定。河北前一段时间某公司,采用了贵公司的产品,和网吧结合出现了一些问题。请问有一些什么具体的问题吗?
张建清:在早期的路由器的版本里面,也许没有这样的绑定的功能。所以它就会产生掉线或者不稳定的状况。
主持人:看来防范ARP还不是说用户个人的行为能够解决的,还需要网管和用户一起来解决。
张建清:这个对网管而言是比较全面、头疼的工作。其实对于网管而言比较复杂的地方在这边,就是你如果一次把所有局域网上的IP地址找出来的话,你必须要借助一些工具。不是现成的机器就可以做的。必须在网络上下载。就是msn chat sniffer,或者其他的工具。还有一些行动的工作者,比如笔记本电脑来了,你没有设在里面,这台就发生了这样的问题。
主持人:不光是技术的问题,还牵涉到安全管理的问题。所以说ARP欺骗可以说是无法彻底解决的问题。可以这么说吗?
张建清:在网络上有人提到,这个是在协议上的弱点。但是我想说从技术的观点来讲,实际上有不同的方案可以解决。在一些做路由器产品或者相关软件的,或者做防毒的,大家都可以针对这个特性。早期大家不是很了解,慢慢大家针对刚刚的特性,就是所有IP地址的绑定,你去给它更好的局限。在早期因为很开放,所以我在广播。但是因为发生这样的问题,所以将来不管在嵌入的时候,或者在网络上广播的时候,不同的软件会做更多的规范,会降低这样的现象。
主持人:谢谢张先生精彩的发言。我们中场休息一下。我们再收集一下网友的提问,下半节请张先生回答。我们Webcast还给大家提供的精美的礼品。凡是登录IT专家网的用户,不但可以享受IT专家网Webcast讨论中心、新闻中心、博客中心和交友功能以外,还有可能得到由侠诺公司赞助的精美礼品。如果你觉得注册是一个烦琐的过程,可以直接登录我们的论坛,在那里任何用户都可以自由的发言,同时IT专家网,微软技术大会的汽车门票在这里也可以购买到。最低可以节省509元。同时2006年8月24日下午,皇冠假日酒店的发布会,现在如果在IT专家网注册的话,您可能得到第一时间的邀请函,同时我们还会不断推出给用户的各类优惠活动,请大家关注IT专家网。
网友:ARP欺骗是不是占用IP地址呀?他遇到的问题是被ARP攻击后,机器出现的系统错误,IP地址冲突,这个应该如何防范和解决呢?
张建清:这个现象就是我们刚刚讲的。因为他假装是你的这个IP。所以他的机器就会出现IP地址冲突。因为在局域网里面,IP地址都是唯一的。就像房子的住址一样,如果要邮差送信,就会产生混淆的现象。其实这个重点不是占用地址,而是经由IP路由器去占用你的地址。就像香港的喜剧片里面,有客人来的时候就会把门牌换掉。其实它重要还是把你的资讯偷走。
在下面的帖子里面我们看到,很多用户认知,在用户端做防御的动作就可以了。全面性的说,应该在网关、路由器、用户端都要做这些动作才能解决。
网友:如果网络因为ARP欺骗造成异常,如果快速追踪进行ARP欺骗的客户机呢?
张建清:对一些用户,标准的计算机里面的软件,或者在路由器里面的一些监测、报告功能都没有办法一次把局域网里面的IP的对照表达出来。需要借助一些软件。在我们的产品里面,我们在路由器内置的功能,只要点一下内照表,就可以把所有的功能点出来。还有可以在网络上下载msn chat sniffer。你可以检查,发觉某些地址对应的就是两三个地址。这时候就代表说是这一台。这一台地址找出来以后,就可以找出是哪台机器发出这样的包。
主持人:就是说个人用户和网管都可以轻易找到发起的客户机。
张建清:早期大家感觉这个概念不是很清楚。但是如果有适当的工具,其实并没有什么困难。
主持人:其实可以理解为ARP本身并不是坏的东西。
张建清:ARP是网络的协议,是帮助网络运作的协议。正确的名词就是ARP欺骗。
主持人:就是ARP和欺骗放在一起,很多用户一谈到ARP,就觉得我的机器是不是中了病毒?实际上它是再普通不过的网络应用。
网友:是否可以与安全产品,其他硬件或者软件解决这个问题呢?
张建清:我们必须要确保局域网内的机器最好不要中ARP的病毒。这是比较基本的防毒的习惯。可能每台机器要去安装防毒软件,因为我们发觉到很多比较近期的防毒公司,像金山,像趋势等等,它的新的版本里面,都有防止相关病毒的一个功能在。所以如果所有的机器都装的话,可以第一时间拦截这样的中毒的可能。用户这边也要养成良好的习惯,在MSN或者Skip的用户的连接,别的用户给你信不要乱点。这样第一关就可以防止。在其他的路由器,我想渐渐所有的路由器都会加上这样的功能。除了内网之外,其他的伪装功能,我慢慢可以去判断。譬如,在未来,基本上在软件程序方面,你会发现只要能被描述的,应该能被自动化。我们刚刚讲我们怎么样判断ARP,就是先把表做出来,第二就是看哪些是重复的。然后针对重复的做一些对应的动作。我相信路由器和其他的安全产品,将来都可以把这些做成智慧化。我们也希望进入这样的方式,传播这样的资讯,被用户了解,来变成自动侦测。有发生的时候,告诉网管哪台机器有问题,你要马上隔离掉。
用户有问题肯定有需求,有需求,我们就要提供产品。我相信近期就会有一些安全产品推出。
网友:大不部分ARP监控软件都会使用一个驱动。现在的思路就是让其他无法在本地计算机安装,这样的ARP欺骗软件就无法使用的。此方法可以用于任何程序的安装?这个东西在安装MSN或者msn chat sniffer这个东西也会打包安装上。
张建清:这个会给它一些更新。基本上这个思路,就是我让新的软件无法去改写这个档案。它就无法去做这样的欺骗动作。至于这是不是可以用于任何程序的安装,我相信这做法还有一定的效果。但是适用不能适用所有的程序,我还不敢保证。因为这个在早期,他可能把你的对照表重新写一次。后来发现有一些防治的工具,道高一尺,魔高一丈嘛。但是我觉得这不是唯一的解决方法。具体要看市场最近的反馈状况。因为这个每天大家都会有新的情况发生。我们现在对抗ARP已经有半年了,第一个月我们产生的解决方案提供给用户,结果后来很多客户非常高兴。我们后来又提供的另外一种解决方式,然后又相安无事了,未来又是什么样子,我们也不知道。
主持人:这也是一场持久战。
网友:看到的ARP欺骗的物理地址,但是在内网却找不到相对应的IP地址。这是怎么回事呢?
主持人:这个是不是个别的现象?可能这个网管的用户在技术方面使用的工具,在方法上面没有正确的应用,导致了这个情况呢?
张建清:这个有点不理解。所谓的物理地址,就是实体网络卡的地址,因为我们每个网络卡制作的时候,芯片地址是唯一的,所谓唯一就是全球唯一。譬如同样是某家公司的网络地址,但是这个地址是全球唯一的。加入一个公司买了两片物理地址是一样的,那整个全球都是唯一的IP地址。至于找不到IP地址的主机,可能就没有给他一个IP。这个我不知道是一个暂时的欺骗行为,还是怎么样的变形。假如你找到物理地址的话,你就应该找到具体的机器在什么位置的。
主持人:时间的关系回到最后一个网友的问题。
网友:可以用工具软件找到IP和物理地址的对应列表,在交换式的网络里面这个动作会不会受到限制?
张建清:是的。这个用户的确也是专家。在所谓的网络里面,就是局域网里面,我们的这些工具都是用广播的特性去做的。所以基本上,假如你是一个共享的局域网的话,它是可以找到的。如果是交换式的网络,可以根据不同交换的区段去进行处理。像从路由器去做的好处,因为内部虽然有交换区段,我们刚才讲了两个方式,一个从路由器这边,路由器的好处就是所有的交换区段都要到路由器去做。如果你利用某种软件,在某个区段里面找,可能交换到其他的网段里面,就没有这么快。必须分段处理。所以为什么我们在路由器里面提供一些好的功能,让它的速度比较快速,以至于找到内网。
主持人:谢谢张先生参与我们的Webcast。网友有其他的问题,可以继续在我们的论坛Webcast里面提出来的。我们的IT专家网继续为大家解答这些问题。非常感谢网友的参与!
张建清:谢谢主持人,我是侠诺科技营销总监。我从1996年小路由的时代,就开始做小路由产品的研发,在这中间历经的路由器,因为宽带的兴起,被市场接受。无线的路由器也开始了兴起。现在我们专门提供了多由路由器的方案推向市场。
主持人:他是营销总监,但是也有深厚的功底。前一段时间,我们把事情炒得非常火热,就是MSN被监听。实际上媒体也对MSN的监听软件做了报告,实际上它并不是非常容易被使用。但是网上后来又出了叫停类的文章,是说MSN Messenger是配合ARP欺骗软件,就起到了它原本应该有的作用。我们想问一下张先生,ARP欺骗到底是什么样的技术?
张建清:ARP欺骗我们必须从它的名词来讲。ARP欺骗它是一个地址解读的协议。地址解读协议是什么意思呢?在我们互联网上面,最常用的协议是TCPIP,就是传输的协议。IP就是所谓定址的协议。好比我们用哪一栋大楼,在什么地方,在网络上就是使用IP地址来定的。但是在实体上,我们大家都知道,在每一台电脑上都有实体的地址。IP地址是网络的一个地址。ARP就是让这两个地址跟IP地址产生关联的一个协议。也就是说,我怎么知道哪一台IP在什么位置呢?就是透过ARP去先地方他的IP地方在哪里,再把这个侦发过去。像MSN是怎么欺骗的呢?在局域网里面,我这个侦或者这个包本来要发到某一个IP,这个IP对的机器是A机器。它骗你这个IP对应的是第一台机器。你就以为这个包要发到另外一台机器去。这就是所谓ARP欺骗的基本想法和思维。
主持人:ARP欺骗对于我们局域网的一些应用看来是很危险的。
张建清:我从各地,从东莞,温州、宁波,在中国,普遍发现ARP欺骗影响,在早期是网吧。它就是让这个网吧掉线。其实我们早期发现的时候,刚刚主持人讲的一些应用就是所谓的MSN监听。在所谓的MSN,并没有做特殊的加密。有些人就想了一些机制去监听。其实ARP最早的应用就是在网络上盗取密码的。就是有一些在网吧里的用户,用ARP欺骗。另外一个用户在输入用户名和密码的时候,就欺骗他的这台机器说,我的机器是路由器,他会把用户名的密码送到我这台机器里面。他就可以把这个用户名和密码解读出来。等用户没有上网的时候,他就可以把这个宝盗走。后来慢慢我们发现,很多用户用这个功能,在这个上面做了很多的隐身,变得一发不可收拾。本来我大概可以用三秒、五秒,后来就产生了很多隐身和变形,造成网断线。因为应用的软件失控了,他就可以在某一台机器上不断做这个欺骗的动作。
主持人:ARP欺骗软件运行同时,为什么会造成频繁的断线呢?
张建清:在我们以局域网运作来讲,我们有两种方式的传输。一种对外传,就是我的用户有一个需求,他透过路由器对外界传送。这个时候,这是一种。另外一种是回传。当有用户在网络上假装他自己是路由器的时候,用户往外传的包或者侦就会送到假的用户去。这个软件就会有一来、一回持续的运作。当你今天碰到ARP欺骗的时候,你就会发现你送去给他,他那边没有回应。用户就觉得是掉线或者断线。严重的时候,就会把其他的应用,也没有办法应用了。所以就感觉到大幅度掉线或者断线的功能。
主持人:实际上就是造成断线的假象。
张建清:实际上也真的断线了。就像我今天跟你在讲话,但是你听不到我讲话的声音。我的服务器也不知道我在跟他讲什么话。另外一个人听到话,只是把它窃取下来,记录下来,并没有给我回应。就是这样的现象。
主持人:刚才也说老了ARP欺骗最早可以用于盗取用户的一些密码、一些敏感信息。现在我们知道,所有未加密的传送的软件,都应用配合一些应用工具监听的。能不能再给我们介绍一下,配合ARP欺骗使用,还有什么所谓的黑客行为呢?
张建清:盗宝是最主要的,另外就是监听。当ARP欺骗,可能配合其他的一些软件功能这样子的。我们发现,在局域网里面,想盗取一些ARP,或者无线网络里面,基本上都是用局域网的特性叫广播。广播,像我们刚才提到的ARP欺骗为什么可以成型?在每一个计算机里面,都存了一个IP地址的对应表。但是每台机器的内存有限,当这个表不够的时候,会传一个广播信息。比如今天我要送给一个IP地址,我就问这个IP在哪里?问出来,所有人都会接受。假如在标准正常的运作里面,大家知道我不是这个,我不用回应。但是路由器知道,这个东西不是这个网域里面,不用送。如果是假装这个IP地址的话,你就会产生一种误解。其实这种比较重大的威胁,我们看到无线这边,有人利用这个特性,做一些相关的动作。
主持人:也就是说,在无线或者有限的局域网里面,你所做的一些行为,都可以用黑客软件配合ARP监控软件进行欺骗,截取。
张建清:有一些比较低阶段的应用就是所谓的监听。如果在对于这些软件做进一步的分析,比如我这个软件送的时候是什么需求,回来的时候是什么需求。他可以用另外一个目标把你所有的动作都拦截回去。如果今天对方知道,像一个交易,他知道第一笔是什么,第二笔是什么,他把所有的资料都送过去。他也可以把你的讯息拦截走,再转送到服务器,再转送回来。这样的隐身就变成了蛮复杂的状况在应用。这也是各地对ARP效果影响越来越大的原因。
主持人:这个是一般用户来说,也是蛮头疼的问题。
张建清:用户因为不小心,用了一些软件,或者在PC里面点了一些MSN的连接等等,把这个程序启动了,他会发现自己渐渐受到了影响。像今天早上我们的技术支持跟我们说,湖北一些网吧,几乎没有人上网了。因为上不了网。
主持人:像有这种加密的软件传送,信息也是能被黑客截取。只是截取后看不到内容?
张建清:是的。
主持人:前一阵子出有一个msn chat sniffer这样的软件,发现每一台机器都受到了扫描攻击。后来我们分析,是中了病毒还是木马这类东西呢?
张建清:其实在早期里面,ARP的很多功能,像陀螺仪木马这样的功能期在一起。在早期的ARP,只是黑客用来盗取密码,用了三、五秒钟。当你输入用户名和密码的时候,另外一个用户发现没有回应,他会再输一次。但是因为这些ARP的功能跟其他的木马或者其他的城市,或者网络上的连接、病毒结合在一起,所以造成很大规模的影响,断线或者掉线。像你刚刚提到的状况,这个用户可能不知道自己在做这样的事情,这是典型的病毒,这是病毒跟ARP结合的典型现象。
主持人:他能通过ARP欺骗的病毒做什么呢?
张建清:ARP欺骗的病毒做到现在,对于制作的人或者散布的人没有什么太大的作用,纯粹是破坏的工具。因为ARP可以收集网络上广播的包,如果进一步的应用,肯定会有很多的黑客在思考这个问题。因为网络上的特性属于来回,属于协议这样的状况,如果你好好利用,好的方向能保持网络顺畅,不好的方向可以拦截任何他需要的资讯。
主持人:从今年开始,在病毒这边应该是说黑客已经从最早的表现欲,已经转变成有目的性的盈利的目标,也就是说,ARP欺骗很可能被成为黑客盈利的手段。
张建清:你怎么样发生ARP欺骗的状况,我们必须从原理开始讲。最简单的就是叫做ARP跟IP地址的对照表。我们有一些文章描述到,你可以对这个网络进行扫描。像这个ARP的对照表,可以对这个网络进行扫描。当你发现某一个对应IP地址的话,正常是一对一的关系,如果发现一对多的方式那就是异常的情况。回到我们刚刚讲的,预防ARP。我们必须建立地址跟IP的固定关系。因为它会欺骗你。我们现在所谓绑定的功能,我们刚才讲了有两个方向做绑定,一个是路由器的部分,你必须把内部的所有的机器,IP地址做一个绑定。我们想了一些功能,可以让它作后面做激活的动作把它绑定。
很多用户发现我只要在路由器这边做好了就行了,在终端这边就不用做了。但是这样的话,会发生部分的现象。所以在用户这边有所谓的ARP—S的功能,你把你的路由器的位置,也做绑定。这样送给路由器的包就不会被别人拦截去。我们刚才谈到了两个方向,一个是所谓的路由器端做绑定,就是所有机器的IP地址。另外是用户端也要绑定,绑的是路由器的IP,跟路由器的地址。实际上我们最近发现另外一个现象,就是对于中毒的这台机器还有另外的处理方式。中毒的这台机器,虽然你针对每台机器绑定,但是这个设定从开机以后,就失效了。所以我们建议用户把它写到启动的档案里面。每次开机的时候激活这个功能。
另外中毒的这台机器,虽然绑定了,但是它内部已经有病毒了。虽然绑定了,但是它可以每秒快速写它的ARP。这时候他对别人没有办法造成危害。因为别人已经把路由器跟这个机器的位置写得很确定了。对这台上网的人还是有很多的困扰。我们这种传统的绑定功能可以给他快速的写。写到一秒两百次这样的速度。我们现在看到比较好的做法,就是把藏在里面的病毒去除掉,或者整个机器都要清理一下病毒。这是我们现在比较完整的处理方式。
主持人:真的是很精彩的解答。如果我只对我个人的PC机做了绑定,路由那端没有做绑定,还会不会受到ARP欺骗?
张建清:在个人这边做绑定,你可以确保你往路由送的包,确定会送到路由这边去。但是路由送回来的时候,他可以在半路拦截。告诉你路由器不要送给它,送给我吧。就把这个包拦截过去了。所以我们刚才谈到要双向的包要严密。现在有些网吧如果做单方面的绑定是不行的。
主持人:很多人认为我一边绑定就可以了,实际上还是需要双方相的绑定。河北前一段时间某公司,采用了贵公司的产品,和网吧结合出现了一些问题。请问有一些什么具体的问题吗?
张建清:在早期的路由器的版本里面,也许没有这样的绑定的功能。所以它就会产生掉线或者不稳定的状况。
主持人:看来防范ARP还不是说用户个人的行为能够解决的,还需要网管和用户一起来解决。
张建清:这个对网管而言是比较全面、头疼的工作。其实对于网管而言比较复杂的地方在这边,就是你如果一次把所有局域网上的IP地址找出来的话,你必须要借助一些工具。不是现成的机器就可以做的。必须在网络上下载。就是msn chat sniffer,或者其他的工具。还有一些行动的工作者,比如笔记本电脑来了,你没有设在里面,这台就发生了这样的问题。
主持人:不光是技术的问题,还牵涉到安全管理的问题。所以说ARP欺骗可以说是无法彻底解决的问题。可以这么说吗?
张建清:在网络上有人提到,这个是在协议上的弱点。但是我想说从技术的观点来讲,实际上有不同的方案可以解决。在一些做路由器产品或者相关软件的,或者做防毒的,大家都可以针对这个特性。早期大家不是很了解,慢慢大家针对刚刚的特性,就是所有IP地址的绑定,你去给它更好的局限。在早期因为很开放,所以我在广播。但是因为发生这样的问题,所以将来不管在嵌入的时候,或者在网络上广播的时候,不同的软件会做更多的规范,会降低这样的现象。
主持人:谢谢张先生精彩的发言。我们中场休息一下。我们再收集一下网友的提问,下半节请张先生回答。我们Webcast还给大家提供的精美的礼品。凡是登录IT专家网的用户,不但可以享受IT专家网Webcast讨论中心、新闻中心、博客中心和交友功能以外,还有可能得到由侠诺公司赞助的精美礼品。如果你觉得注册是一个烦琐的过程,可以直接登录我们的论坛,在那里任何用户都可以自由的发言,同时IT专家网,微软技术大会的汽车门票在这里也可以购买到。最低可以节省509元。同时2006年8月24日下午,皇冠假日酒店的发布会,现在如果在IT专家网注册的话,您可能得到第一时间的邀请函,同时我们还会不断推出给用户的各类优惠活动,请大家关注IT专家网。
网友:ARP欺骗是不是占用IP地址呀?他遇到的问题是被ARP攻击后,机器出现的系统错误,IP地址冲突,这个应该如何防范和解决呢?
张建清:这个现象就是我们刚刚讲的。因为他假装是你的这个IP。所以他的机器就会出现IP地址冲突。因为在局域网里面,IP地址都是唯一的。就像房子的住址一样,如果要邮差送信,就会产生混淆的现象。其实这个重点不是占用地址,而是经由IP路由器去占用你的地址。就像香港的喜剧片里面,有客人来的时候就会把门牌换掉。其实它重要还是把你的资讯偷走。
在下面的帖子里面我们看到,很多用户认知,在用户端做防御的动作就可以了。全面性的说,应该在网关、路由器、用户端都要做这些动作才能解决。
网友:如果网络因为ARP欺骗造成异常,如果快速追踪进行ARP欺骗的客户机呢?
张建清:对一些用户,标准的计算机里面的软件,或者在路由器里面的一些监测、报告功能都没有办法一次把局域网里面的IP的对照表达出来。需要借助一些软件。在我们的产品里面,我们在路由器内置的功能,只要点一下内照表,就可以把所有的功能点出来。还有可以在网络上下载msn chat sniffer。你可以检查,发觉某些地址对应的就是两三个地址。这时候就代表说是这一台。这一台地址找出来以后,就可以找出是哪台机器发出这样的包。
主持人:就是说个人用户和网管都可以轻易找到发起的客户机。
张建清:早期大家感觉这个概念不是很清楚。但是如果有适当的工具,其实并没有什么困难。
主持人:其实可以理解为ARP本身并不是坏的东西。
张建清:ARP是网络的协议,是帮助网络运作的协议。正确的名词就是ARP欺骗。
主持人:就是ARP和欺骗放在一起,很多用户一谈到ARP,就觉得我的机器是不是中了病毒?实际上它是再普通不过的网络应用。
网友:是否可以与安全产品,其他硬件或者软件解决这个问题呢?
张建清:我们必须要确保局域网内的机器最好不要中ARP的病毒。这是比较基本的防毒的习惯。可能每台机器要去安装防毒软件,因为我们发觉到很多比较近期的防毒公司,像金山,像趋势等等,它的新的版本里面,都有防止相关病毒的一个功能在。所以如果所有的机器都装的话,可以第一时间拦截这样的中毒的可能。用户这边也要养成良好的习惯,在MSN或者Skip的用户的连接,别的用户给你信不要乱点。这样第一关就可以防止。在其他的路由器,我想渐渐所有的路由器都会加上这样的功能。除了内网之外,其他的伪装功能,我慢慢可以去判断。譬如,在未来,基本上在软件程序方面,你会发现只要能被描述的,应该能被自动化。我们刚刚讲我们怎么样判断ARP,就是先把表做出来,第二就是看哪些是重复的。然后针对重复的做一些对应的动作。我相信路由器和其他的安全产品,将来都可以把这些做成智慧化。我们也希望进入这样的方式,传播这样的资讯,被用户了解,来变成自动侦测。有发生的时候,告诉网管哪台机器有问题,你要马上隔离掉。
用户有问题肯定有需求,有需求,我们就要提供产品。我相信近期就会有一些安全产品推出。
网友:大不部分ARP监控软件都会使用一个驱动。现在的思路就是让其他无法在本地计算机安装,这样的ARP欺骗软件就无法使用的。此方法可以用于任何程序的安装?这个东西在安装MSN或者msn chat sniffer这个东西也会打包安装上。
张建清:这个会给它一些更新。基本上这个思路,就是我让新的软件无法去改写这个档案。它就无法去做这样的欺骗动作。至于这是不是可以用于任何程序的安装,我相信这做法还有一定的效果。但是适用不能适用所有的程序,我还不敢保证。因为这个在早期,他可能把你的对照表重新写一次。后来发现有一些防治的工具,道高一尺,魔高一丈嘛。但是我觉得这不是唯一的解决方法。具体要看市场最近的反馈状况。因为这个每天大家都会有新的情况发生。我们现在对抗ARP已经有半年了,第一个月我们产生的解决方案提供给用户,结果后来很多客户非常高兴。我们后来又提供的另外一种解决方式,然后又相安无事了,未来又是什么样子,我们也不知道。
主持人:这也是一场持久战。
网友:看到的ARP欺骗的物理地址,但是在内网却找不到相对应的IP地址。这是怎么回事呢?
主持人:这个是不是个别的现象?可能这个网管的用户在技术方面使用的工具,在方法上面没有正确的应用,导致了这个情况呢?
张建清:这个有点不理解。所谓的物理地址,就是实体网络卡的地址,因为我们每个网络卡制作的时候,芯片地址是唯一的,所谓唯一就是全球唯一。譬如同样是某家公司的网络地址,但是这个地址是全球唯一的。加入一个公司买了两片物理地址是一样的,那整个全球都是唯一的IP地址。至于找不到IP地址的主机,可能就没有给他一个IP。这个我不知道是一个暂时的欺骗行为,还是怎么样的变形。假如你找到物理地址的话,你就应该找到具体的机器在什么位置的。
主持人:时间的关系回到最后一个网友的问题。
网友:可以用工具软件找到IP和物理地址的对应列表,在交换式的网络里面这个动作会不会受到限制?
张建清:是的。这个用户的确也是专家。在所谓的网络里面,就是局域网里面,我们的这些工具都是用广播的特性去做的。所以基本上,假如你是一个共享的局域网的话,它是可以找到的。如果是交换式的网络,可以根据不同交换的区段去进行处理。像从路由器去做的好处,因为内部虽然有交换区段,我们刚才讲了两个方式,一个从路由器这边,路由器的好处就是所有的交换区段都要到路由器去做。如果你利用某种软件,在某个区段里面找,可能交换到其他的网段里面,就没有这么快。必须分段处理。所以为什么我们在路由器里面提供一些好的功能,让它的速度比较快速,以至于找到内网。
主持人:谢谢张先生参与我们的Webcast。网友有其他的问题,可以继续在我们的论坛Webcast里面提出来的。我们的IT专家网继续为大家解答这些问题。非常感谢网友的参与!
ARP欺骗的问题
各位谁知道ARP欺骗木马的解决方法
如何解决ARP欺骗的问题
请问如何用C++编一个arp欺骗的程序,原理是什么?
如何防止ARP欺骗
关于ARP欺骗问题
防止arp欺骗工具
如何彻底解决ARP欺骗
关于ARP欺骗
怎么对付arp欺骗?
网吧防ARP欺骗
什么是ARP欺骗工具?
ARP欺骗MAC
彻底解决ARP欺骗
有没有ip欺骗的软件?arp的很多。
关于BT arp 欺骗 p2p终结者的问题
ARP欺骗原理以及路由器的先天免疫
ARP协议怎么防止ARP欺骗?
请问,ARP协议怎么防止ARP欺骗?
“欺骗”的近意词是什么?
arp 和 arpsniff(非gui界面的)这两个软件怎么用的?如何查出arp欺骗的人
arp 和 arpsniff(非gui界面的)这两个软件怎么用的?如何查出arp欺骗的人
arp 和 arpsniff(非gui界面的)这两个软件怎么用的?如何查出arp欺骗的人??
arp是什么?