-
當前位置:首頁 > 創(chuàng)意學院 > 技術(shù) > 專題列表 > 正文
為什么抓包沒有arp的回應包(為什么抓包抓不到icmp包)
大家好!今天讓創(chuàng)意嶺的小編來大家介紹下關(guān)于為什么抓包沒有arp的回應包的問題,以下是小編對此問題的歸納整理,讓我們一起來看看吧。
開始之前先推薦一個非常厲害的Ai人工智能工具,一鍵生成原創(chuàng)文章、方案、文案、工作計劃、工作報告、論文、代碼、作文、做題和對話答疑等等
只需要輸入關(guān)鍵詞,就能返回你想要的內(nèi)容,越精準,寫出的就越詳細,有微信小程序端、在線網(wǎng)頁版、PC客戶端
官網(wǎng):https://ai.de1919.com
本文目錄:
一、為什么我wireshark抓到的arp包,arp響應是顯示broadcast廣播
【前言】 某天在家里訪問某電商網(wǎng)站首頁的時候突然吃驚地發(fā)現(xiàn)瀏覽器突然跳到了第三方網(wǎng)站再回到電商網(wǎng)站,心里第一個反應就是中木馬了。 竟然有這樣的事,一定要把木馬大卸八塊。 【原因排查】 首先在重現(xiàn)的情況下抓包,電商網(wǎng)站確實返回了一段JavaScript讓瀏覽器跳轉(zhuǎn)到了yiqifa;第二個HTTP響應由于晚到,被系統(tǒng)忽略(Wireshark識別為out-of-order)。 這兩個HTTP響應包,必然一真一假??旖沂菊嫦嗔?。 再來看看兩個HTTP響應的IP頭。 第一個包TTL值是252,第二個包TTL值是56,而之前TCP三次握手時該電商服務器的TTL值是56,故可以判斷先到的包是偽造的,真的包晚到而被系統(tǒng)忽略。 至此,確認是鏈路上的劫持。 更多鏈路劫持攻擊的信息可以先看看筆者之前寫的文章《鏈路劫持攻擊一二三》。 【攻擊方式】 繼續(xù)分析偽造的數(shù)據(jù)包。 偽造包的TTL值是252,也就是說它的原始TTL值應該是255(大于252的系統(tǒng)默認TTL值只能是255了,一般不會修改),也就表明攻擊者的設(shè)備離我隔了3個路由;而正常的該電商網(wǎng)站的HTTP響應TTL值是56,隔了8個路由。物理上假的設(shè)備離我近,所以偽造的HTTP響應會先到——比較有意思的是,筆者實際監(jiān)測時候發(fā)現(xiàn)也有偽造包晚到導致劫持失敗的情況。 推測是一個旁路設(shè)備偵聽所有的數(shù)據(jù)包,發(fā)現(xiàn)請電商網(wǎng)站首頁的HTTP請求就立即返回一個定制好的HTTP響應。大致的攻擊示意圖如下。 當時筆者推測攻擊者在鏈路上大動干戈應該不會只針對一個網(wǎng)站,于是就訪問了下易迅、淘寶、天貓這些電商網(wǎng)站,結(jié)果發(fā)現(xiàn)易迅也受到同樣的攻擊??雌饋磉@次流量劫持的目的是將電商網(wǎng)站流量導給返利聯(lián)盟,通過返利聯(lián)盟獲得當前用戶成交金額的返利。 基本確認運營商有問題,但是無法確認是運營商官方故意的還是遭到黑客攻擊或者是內(nèi)部人士偷偷搞的。 【攻擊源定位】 來看看當時的路由結(jié)果: 如果按初始TTL值為255來算,HTTP包到達本機后為252,推算出經(jīng)過了3(255-252)個路由,出問題的地方就在第4個路由附近,也就是這里的119的關(guān)鍵字重新訪問主頁的情況;再比如某些設(shè)備的HTTP阻斷會向服務器發(fā)特定的RST包(我見過發(fā)IP Id為8888的案例)。 防護方面,這個案例只是偽造數(shù)據(jù)包,并沒有實施阻斷,所以只要客戶端的安全軟件把疑似出問題的包(一次TCP會話中TTL值相差很大或者IPId突然跳變)攔截就可以防御。為了避免誤殺,可以攔截并休眠1秒,如果沒有同樣的數(shù)據(jù)包過來再放行。 有自己客戶端的可以走自己的私有協(xié)議,網(wǎng)站類就困難一些,部署HTTPS吧。百度主頁近期就使用了HTTPS,不過大部分用戶還是不習慣在瀏覽器里輸“https://”,所以還是存在被劫持的風險(類似的工具有SSLStrip)。當然了,對抗也會隨之升級的,比如這次發(fā)現(xiàn)的GMail證書偽造事件。 在HTTPS尚不能大規(guī)模普及的情況下,是否可以給用戶或者終端軟件提供一個規(guī)避鏈路劫持的安全服務呢?似乎是可以的。下圖是筆者構(gòu)想的一個簡單的通過本地代理軟件加云服務的方式規(guī)避不安全ADSL鏈路的解決方案。 一些瀏覽器的云加速也客觀上實現(xiàn)了這個功能。對于安全性不確定的公共WiFi,也可以用類似的方法來規(guī)避風險。 【后記】 希望本文對你有幫助。在鏈路劫持防護這件事上,騰訊歡迎與業(yè)界討論甚至合作。
二、為什么ensp抓包輸入arporicmp是空白
安裝錯誤。在控制面板中,刪除NPCAP。重安裝winpcap、wireshark 注意一定不要安裝npcap
三、50分跪求網(wǎng)絡高手幫忙解決關(guān)于局域網(wǎng)ARP攻擊問題
防范ARP地址欺騙類病毒
什么是ARP協(xié)議
要想了解ARP欺騙攻擊的原理,首先就要了解什么是ARP協(xié)議。ARP是地址轉(zhuǎn)換協(xié)議的英文縮寫,它是一個鏈路層協(xié)議,工作在OSI模型的第二層,在本層和硬件接口間進行聯(lián)系,同時為上層(網(wǎng)絡層)提供服務。
我們知道,二層的以太網(wǎng)交換設(shè)備并不能識別32位的IP地址,它們是以48位以太網(wǎng)地址(就是我們常說的MAC地址)傳輸以太網(wǎng)數(shù)據(jù)包的。因此IP地址與MAC地址之間就必須存在一種對應關(guān)系,而ARP協(xié)議就是用來確定這種對應關(guān)系的協(xié)議。
ARP工作時,首先請求主機發(fā)送出一個含有所希望到達的IP地址的以太網(wǎng)廣播數(shù)據(jù)包,然后目標IP的所有者會以一個含有IP和MAC地址對的數(shù)據(jù)包應答請求主機。這樣請求主機就能獲得要到達的IP地址對應的MAC地址,同時請求主機會將這個地址對放入自己的ARP表緩存起來,以節(jié)約不必要的ARP通信。ARP緩存表采用了老化機制,在一段時間內(nèi)如果表中的某一行沒有使用(Windows系統(tǒng)這個時間為2分鐘,而Cisco路由器的這個時間為5分鐘),就會被刪除。通過下面的例子我們可以很清楚地看出ARP的工作機制。
假定有如下五個IP地址的主機或者網(wǎng)絡設(shè)備,它們分別是:
主機A 192.168.1.2
主機B 192.168.1.3
網(wǎng)關(guān)C 192.168.1.1
主機D 10.1.1.2
網(wǎng)關(guān)E 10.1.1.1
假如主機A要與主機B通信,它首先會檢查自己的ARP緩存中是否有192.168.1.3這個地址對應的MAC地址,如果沒有它就會向局域網(wǎng)的廣播地址發(fā)送ARP請求包,大致的意思是192.168.1.3的MAC地址是什么請告訴192.168.1.2,而廣播地址會把這個請求包廣播給局域網(wǎng)內(nèi)的所有主機,但是只有192.168.1.3這臺主機才會響應這個請求包,它會回應192.168.1.2一個ARP包,大致的意思是192.168.1.3的MAC地址是02-02-02-02-02-02。這樣的話主機A就得到了主機B的MAC地址,并且它會把這個對應的關(guān)系存在自己的ARP緩存表中。之后主機A與主機B之間的通信就依靠兩者緩存表里的MAC地址來通信了,直到通信停止后2分鐘,這個對應關(guān)系才會從表中被刪除。
再來看一個非局域網(wǎng)內(nèi)部的通信過程。假如主機A需要和主機D進行通信,它首先會發(fā)現(xiàn)這個主機D的IP地址并不是自己同一個網(wǎng)段內(nèi)的,因此需要通過網(wǎng)關(guān)來轉(zhuǎn)發(fā),這樣的話它會檢查自己的ARP緩存表里是否有網(wǎng)關(guān)192.168.1.1對應的MAC地址,如果沒有就通過ARP請求獲得,如果有就直接與網(wǎng)關(guān)通信,然后再由網(wǎng)關(guān)C通過路由將數(shù)據(jù)包送到網(wǎng)關(guān)E,網(wǎng)關(guān)E收到這個數(shù)據(jù)包后發(fā)現(xiàn)是送給主機D(10.1.1.2)的,它就會檢查自己的ARP緩存,看看里面是否有10.1.1.2對應的MAC地址,如果沒有就使用ARP協(xié)議獲得,如果有就是用該MAC地址與主機D通信。
通過上面的例子我們知道,在以太局域網(wǎng)內(nèi)數(shù)據(jù)包傳輸依靠的是MAC地址,IP地址與MAC對應的關(guān)系依靠ARP表,每臺主機(包括網(wǎng)關(guān))都有一個ARP緩存表。在正常情況下這個緩存表能夠有效保證數(shù)據(jù)傳輸?shù)囊粚σ恍?,像主機B之類的是無法截獲A與D之間的通信信息的。
但是主機在實現(xiàn)ARP緩存表的機制中存在一個不完善的地方,當主機收到一個ARP的應答包后,它并不會去驗證自己是否發(fā)送過這個ARP請求,而是直接將應答包里的MAC地址與IP對應的關(guān)系替換掉原有的ARP緩存表里的相應信息。這就導致主機B截取主機A與主機D之間的數(shù)據(jù)通信成為可能。
首先主機B向主機A發(fā)送一個ARP應答包說192.168.1.1的MAC地址是02-02-02-02-02-02,主機A收到這個包后并沒有去驗證包的真實性而是直接將自己ARP列表中的192.168.1.1的MAC地址替換成02-02-02-02-02-02,同時主機B向網(wǎng)關(guān)C發(fā)送一個ARP響應包說192.168.1.2的MAC是02-02-02-02-02-02,同樣,網(wǎng)關(guān)C也沒有去驗證這個包的真實性就把自己ARP表中的192.168.1.2的MAC地址替換成02-02-02-02-02-02。當主機A想要與主機D通信時,它直接把應該發(fā)送給網(wǎng)關(guān)192.168.1.1的數(shù)據(jù)包發(fā)送到02-02-02-02-02-02這個MAC地址,也就是發(fā)給了主機B,主機B在收到這個包后經(jīng)過修改再轉(zhuǎn)發(fā)給真正的網(wǎng)關(guān)C,當從主機D返回的數(shù)據(jù)包到達網(wǎng)關(guān)C后,網(wǎng)關(guān)也使用自己ARP表中的MAC,將發(fā)往192.168.1.2這個IP地址的數(shù)據(jù)發(fā)往02-02-02-02-02-02這個MAC地址也就是主機B,主機B在收到這個包后再轉(zhuǎn)發(fā)給主機A完成一次完整的數(shù)據(jù)通信,這樣就成功地實現(xiàn)了一次ARP欺騙攻擊。
因此簡單點說,ARP欺騙的目的就是為了實現(xiàn)全交換環(huán)境下的數(shù)據(jù)監(jiān)聽。大部分的木馬或病毒使用ARP欺騙攻擊也是為了達到這個目的。
如何發(fā)現(xiàn)及清除
局域網(wǎng)內(nèi)一旦有ARP的攻擊存在,會欺騙局域網(wǎng)內(nèi)所有主機和網(wǎng)關(guān),讓所有上網(wǎng)的流量必須經(jīng)過ARP攻擊者控制的主機。其他用戶原來直接通過網(wǎng)關(guān)上網(wǎng),現(xiàn)在卻轉(zhuǎn)由通過被控主機轉(zhuǎn)發(fā)上網(wǎng)。由于被控主機性能和程序性能的影響,這種轉(zhuǎn)發(fā)并不會非常流暢,因此就會導致用戶上網(wǎng)的速度變慢甚至頻繁斷線。另外ARP欺騙需要不停地發(fā)送ARP應答包,會造成網(wǎng)絡擁塞。
一旦懷疑有ARP攻擊我們就可以使用抓包工具來抓包,如果發(fā)現(xiàn)網(wǎng)內(nèi)存在大量ARP應答包,并且將所有的IP地址都指向同一個MAC地址,那么就說明存在ARP欺騙攻擊,并且這個MAC地址就是用來進行ARP欺騙攻擊的主機MAC地址,我們可以查出它對應的真實IP地址,從而采取相應的控制措施。另外,我們也可以到路由器或者網(wǎng)關(guān)交換機上查看IP地址與MAC地址的對應表,如果發(fā)現(xiàn)某一個MAC對應了大量的IP地址,那么也說明存在ARP欺騙攻擊,同時通過這個MAC地址查出用來ARP欺騙攻擊的主機在交換機上所對應的物理端口,從而進行控制。
如何防范?
我們可以采取以下措施防范ARP欺騙。
(1)在客戶端使用arp命令綁定網(wǎng)關(guān)的真實MAC地址命令如下:
arp -d *(先清除錯誤的ARP表)
arp -s 192.168.1.1 03-03-03-03-03-03 (靜態(tài)指定網(wǎng)關(guān)的MAC地址)
(2)在交換機上做端口與MAC地址的靜態(tài)綁定。
(3)在路由器上做IP地址與MAC地址的靜態(tài)綁定。
(4)使用“ARP SERVER”按一定的時間間隔廣播網(wǎng)段內(nèi)所有主機的正確IP-MAC映射表。
(5)最主要是要提高用戶的安全意識,養(yǎng)成良好的安全習慣,包括:及時安裝系統(tǒng)補丁程序;為系統(tǒng)設(shè)置強壯的密碼;安裝防火墻;安裝有效的殺毒軟件并及時升級病毒庫;不主動進行網(wǎng)絡攻擊,不隨便運行不受信任的軟件。
ARP工作原理如下:
在TCP/IP協(xié)議中,A給B發(fā)送IP包,在包頭中需要填寫B(tài)的IP為目標地址,但這個IP包在以太網(wǎng)上傳輸?shù)臅r候,還需要進行一次以太包的封裝,在這個以太包中,目標地址就是B的MAC地址.
計算機A是如何得知B的MAC地址的呢?解決問題的關(guān)鍵就在于ARP協(xié)議。
在A不知道B的MAC地址的情況下,A就廣播一個ARP請求包,請求包中填有B的IP(192.168.1.2),以太網(wǎng)中的所有計算機都會接收這個請求,而正常的情況下只有B會給出ARP應答包,包中就填充上了B的MAC地址,并回復給A。
A得到ARP應答后,將B的MAC地址放入本機緩存,便于下次使用。
本機MAC緩存是有生存期的,生存期結(jié)束后,將再次重復上面的過程。
ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應答。當計算機接收到ARP應答數(shù)據(jù)包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和MAC地址存儲在ARP緩存中。因此,當局域網(wǎng)中的某臺機器B向A發(fā)送一個自己偽造的ARP應答,而如果這個應答是B冒充C偽造來的,即IP地址為C的IP,而MAC地址是偽造的,則當A接收到B偽造的ARP應答后,就會更新本地的ARP緩存,這樣在A看來C的IP地址沒有變,而它的MAC地址已經(jīng)不是原來那個了。由于局域網(wǎng)的網(wǎng)絡流通不是根據(jù)IP地址進行,而是按照MAC地址進行傳輸。所以,那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址,這樣就會造成網(wǎng)絡不通,導致A不能Ping通C!這就是一個簡單的ARP欺騙。
四、STM32+UIP返回ARP應答包超時造成PC端數(shù)據(jù)發(fā)送丟失的問題
表示不懂ARP響應為什么會超時的
一般這個ARP超時有幾十個ms吧,不懂能跑72M的STM32在干嘛,幾十個ms的時間都回復不了一個ARP
重新設(shè)計一下你的STM32程序吧
以上就是關(guān)于為什么抓包沒有arp的回應包相關(guān)問題的回答。希望能幫到你,如有更多相關(guān)問題,您也可以聯(lián)系我們的客服進行咨詢,客服也會為您講解更多精彩的知識和內(nèi)容。
推薦閱讀:
域名續(xù)費為什么那么貴(為什么域名續(xù)費越來越貴)
人的手一直微微的抖是為什么(人的手一直微微的抖是為什么原因)
怎么自己做一個網(wǎng)站(如何創(chuàng)建自己的網(wǎng)站平臺)
室內(nèi)設(shè)計平面方案講解(室內(nèi)設(shè)計平面方案講解的句子)_1