您好,欢迎来到筏尚旅游网。
搜索
您的当前位置:首页浅谈局域网防护ARP攻击

浅谈局域网防护ARP攻击

来源:筏尚旅游网


浅谈局域网防护ARP攻击

【摘 要】ARP攻击是目前局域网中最常见的攻击方式,本文主要介绍了ARP攻击的原理、解决一般局域网ARP攻击的方法、合理设置具有ARP防护功能的路由器和交换机的方法。

【关键词】局域网;ARP攻击

学校的网络刚升级完成,但是ARP攻击又来了,这次通过在学校升级的网络设备上合理的设置,总算把ARP攻击给控制住了。现在把我这几年处理局域网ARP攻击的经验总结一下,希望与大家互相借鉴一下。我们先来了解一下ARP攻击的原理。

一、ARP攻击的原理

首先我们先来了解一下几个基本定义。

IP地址是互联网协议地址(Internet Protocol Address)的缩写,IP地址是IP协议提供的一种统一的地址格式,它为一个32位的二进制数,通常被分割为4个“8位二进制数”(也就是4个字节),它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。

MAC地址是Medium/Media Access Control的缩写,它是收录在网卡里的,也叫硬件地址,是由12位16进制的数字组成。网卡的物理地址通常是由网卡生产厂家烧入网卡的闪存芯片中,每一块网卡都有自己的MAC地址,网络中是通过物理地址来识别主机的,它一定是全球唯一的。

ARP协议是地址解析协议(Address Resolution Protocol)的缩写,其功能是:主机将ARP请求广播到网络上的所有主机,并接收返回消息,确定目标IP地址的物理地址,同时将IP地址和硬件地址存入本机ARP缓存中,下次请求时直接查询ARP缓存。

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。

因为ARP具体来说是将IP地址解析为MAC地址,所以ARP攻击仅能在局域网中发生,无法对互联网进行攻击。

假设我们局域网里面有两台主机A和B通过路由器C上网,正常的情况下,主机A和主机B都是直接连接到路由器C上网的,但是当主机B中了ARP欺骗病毒时,它首先发出广播的应答报文,把自己伪装成网关地址,主机A接收到以后会替换自己的ARP表(ARP表是动态的),然后主机A再发送上息的话,首先会发送给主机B,主机B再转发给路由器C,这样主机A的上网过程就是连接到主机B再连接路由器C,主机B就可以直接窃取主机A的各种信息或者直接控制主机A的网速,但是路由器C会不定时的发送更新网关的报文,这样路由器C和主机B就会发生竞争,会造成网络的迟缓或中断。如果局域网的主机比较多,就会造成整个局域网的崩溃。

二、一般局域网的解决方法

一般的局域网中使用的二层交换机和路由器都没有针对ARP攻击的解决方案,所以我们只能够采用绑定主机来预防,嗅探来查找的方法来解决问题。

绑定的方法主要有两种,一种是直接通过DOS命令来绑定,另一种是通过ARP防火墙来绑定。

第一种方法通过DOS命令的方法如下:

打开“开始”菜单,选择“运行”,输入“CMD”。

输入:ARP –s IP MAC 绑定本机地址

ARP –s 网关IP 网关MAC 绑定网关地址 图1

这样就可以绑定本机和网关地址,还可以通过下面命令来查看绑定是否成功。

输入:ARP -a

为了避免每次开机都输入DOS命令,我们还可以把它写成批处理文件*.bat,直接加到系统启动当中。

第二种方法通过ARP防火墙的方法如下:

这里我们选择360ARP防火墙来演示。

打开360安全卫士,选择“更多”,选择“流量防火墙”,选择“局域网防护”,选择“手动绑定”。

图2

在局域网绑定过后,当出现ARP攻击的时候,网速会变慢,我们通过查看系统信息或软件提示,发现本机被攻击获得攻击主机的MAC地址,这时可以通过嗅探工具找出ARP攻击的主机,并及时处理,从而解决ARP攻击的问题。这里我们以NBTSCAN工具来举例。

假设在局域网中有一台MAC为“00-11-09-43-6a-25”的地址主机正在使用了ARP攻击,我们使用NBTSCAN工具来嗅探的步骤如下:

1、将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。

2、选择Windows“开始”菜单,选择“运行”菜单,选择“打开”,输入“cmd”,在出现的DOS窗口中输入:C: nbtscan -r 192.168.1.1/24(这里需要根据用户实际网段输入),回车。

图3

3、通过查询IP--MAC对应表,查出“00-11-09-43-6a-25”的病毒主机的IP地址为“192.168.1.213”。

4、找到病毒主机,对它杀毒。

当然我们也可以使用其它的工具来完成查找的工作,这里我们就不再一一累述了。但是我们使用这种方法,对于维护人员的工作量太大,不利于网络的维护。

三、具有ARP防护功能的路由器和交换机的解决方法

目前随着网络设备的提高,具有ARP防护功能的路由器和交换机也越来越普及,解决的方案也非常多,最主要的有两种方法,一种是全部绑定的方法,另一种是ARP动态监测的方法。

全部绑定的方法,主要是关闭ARP功能,在路由器或交换机上全部手动绑定所有的IP地址和MAC地址。优点是所有的地址都是静态的,可以有效地防止各种ARP攻击。缺点是非常不灵活,局域网中主机的增加或调配都必须经过管理员,管理员的工作量增大。

ARP动态监测的方法,其原理是通过DHCP监听绑定表,交换机的端口能够自动检测ARP数据包是否来自正确的端口。如果正确则转发数据包,否则将直接丢弃,并且在记录相关信息的同时,还会将违规的端口设置为disable状态,攻击者将不能对网络进行破坏。优点是能够自动对网络ARP进行管理。缺点是有时会关闭非信任端口,对其它合法用户有影响。

四、结束语

由于ARP是基于信任的原理的协议,所以要依据具体的网络环境,进行合理的设置,才能够有效的防治ARP攻击的产生。

因篇幅问题不能全部显示,请点此查看更多更全内容

Copyright © 2019- efsc.cn 版权所有 赣ICP备2024042792号-1

违法及侵权请联系:TEL:199 1889 7713 E-MAIL:2724546146@qq.com

本站由北京市万商天勤律师事务所王兴未律师提供法律服务