ZDNet至顶网软件频道消息: 在局域网中,IP地址转换为第二层物理地址(即MAC地址)是通过ARP协议来完成的,ARP协议对网络安全具有极其重要的意义。主机通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。本文通过一次经典的分析案例,让大家对这种攻击方式有一个清晰的了解。
案例背景
办公机的网段是192.168.200.X/24的,办公机的网关地址是192.168.200.254在Cisco 3560上,服务器的地址段为10.139.144.X/24。
在办公区访问服务器区时,会出现时通时断的现象。办公机是通过DHCP来获取IP地址,当访问出现不通时,重新获取一下IP地址,就可以连通,但是用一会又会出现访问中断的情况。该局的网络环境比较简单,如下图所示:
案例分析
出现故障时,通过Ping服务器地址发现无法Ping通,然后通过Ping办公机的网关地址,发现网关地址也无法Ping通。查看办公机的ARP表发现网关地址对应的MAC地址为全0的MAC地址。
通过上面的分析测试我们可以了解到,当主机无法访问服务器时,主机连网关都无法Ping通,而且主机中网关的MAC地址全0,即主机没有学习到网关的MAC地址,所以主机无法跟网关进行通信,从而导致主机无法连通服务器。
正常连接时主机应该有网关的IP地址和MAC地址的ARP映射表的,但是在访问服务器不成功时并没有学习到网关的MAC地址,造成这种故障的原因很大可能性是网络中ARP欺骗。为了验证网络是否有ARP欺骗,我们在交换机3560上做端口镜像来抓取交互的数据包。
办公机连到3560的端口是f 0/46,所以我们只镜像f 0/46,将该端口镜像到端口f 0/25,然后把科来网络分析系统接到f 0/25端口上捕获通信的数据包。
数据包分析
我们在分析数据包时发现,网络中存在大量的IP冲突。通过诊断视图中的诊断提示,发现产生IP地址冲突的源IP地址是故障网段的网关地址,如下图所示:
通过观察上图,我们可以发现192.168.200.254对应的MAC地址有两个,一个是00:25:64:A8:74:AD,一个是00:1A:A2:87:D1:5A,通过具体的分析我们发现MAC地址为00:25:64:A8:74:AD的主机对应的IP地址为192.168.200.33,00:1A:A2:87:D1:5A才是192.168.200.254真实的MAC地址。所以当办公区访问服务器不通时,我们Ping网关地址不通,是因为办公区机器在向网关发送请求时请求的是错误的网关地址,网关没有响应主机的请求,从而导致主机学习不到正确网关的MAC地址。导致网络不通的原因就是由于192.168.200.33这台主机进行ARP欺骗造成的。
分析结论
通过上面的分析,可以看出MAC地址为00:25:64:A8:74:AD,IP地址为192.168.200.33的这台主机中了ARP病毒,将自己伪装成网关,欺骗网段内主机。
对于ARP病毒,只要定位到病毒主机,我们就可以使用通过ARP专杀工具进行查杀来解决这类故障。但是最好的办法就是能够在内网主机安装上杀毒软件,并且及时的更新病毒库,同时给主机打上安全补丁,以便做好防范防止类似的故障再次出现。
好文章,需要你的鼓励
Hugging Face推出开源工具Yourbench,允许企业创建自定义基准来评估AI模型在其内部数据上的表现。这一工具通过复制大规模多任务语言理解基准的子集,以极低成本实现了对模型性能的精确评估。Yourbench的出现为企业提供了更贴合实际需求的AI模型评估方法,有望改善模型评估的方式。
Cognition AI 推出 Devin 2.0,这是其 AI 驱动的软件开发平台的更新版本。新版本引入了多项功能,旨在提升开发者与自主代理之间的协作效率。最引人注目的是,Devin 2.0 的起价从每月 500 美元大幅下调至 20 美元,使其更易于普及。新功能包括并行 Devin、交互式规划、代码库搜索等,有望提升开发效率并增强用户控制。
安迪·卡拉布蒂斯是一位杰出的CIO,她的职业生涯横跨多个行业和地区,经历了多次变革时刻。她在福特和通用汽车锻炼了领导力和技术专长,后来在戴尔、拜奥根和国家电网等公司担任高管,推动战略创新。本文总结了她对IT领导者核心技能的见解,包括战略沟通、情商、协作、远见卓识、变革管理和敏捷性等,对当今IT领导者具有重要参考价值。
边缘 AI 计算将使人形机器人、智能设备和自动驾驶等应用从数据中心和云端服务器解放出来,转移到制造车间、手术室和城市中心等场景。它能实现低延迟和自主决策,使 AI 无处不在,推动工业设施全面自动化,彻底改变商业和生活方式。边缘 AI 正在快速发展,各大科技公司纷纷推出相关硬件和软件平台,未来将为各行各业带来巨大变革。