七招教你抵御ARP欺騙攻擊
來(lái)源:易賢網(wǎng) 閱讀:3029 次 日期:2016-08-03 15:09:41
溫馨提示:易賢網(wǎng)小編為您整理了“七招教你抵御ARP欺騙攻擊”,方便廣大網(wǎng)友查閱!

在局域網(wǎng)內(nèi),ARP攻擊依然占有很高比例。眾所周知,ARP協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址,查詢(xún)目標(biāo)設(shè)備的MAC地址,以保證通信的順利進(jìn)行。ARP協(xié)議的基礎(chǔ)就是信任局域網(wǎng)內(nèi)所有的人,那么就很容易實(shí)現(xiàn)在以太網(wǎng)上的ARP欺騙。更何況ARP協(xié)議是工作在更低于IP協(xié)議的協(xié)議層,因此它的危害就更加隱蔽。

ARP類(lèi)型的攻擊最早用于盜取密碼之用,網(wǎng)內(nèi)中毒電腦可以偽裝成路由器,盜取用戶(hù)的密碼, 后來(lái)發(fā)展成內(nèi)藏于軟件,擾亂其他局域網(wǎng)用戶(hù)正常的網(wǎng)絡(luò)通信。

作為網(wǎng)管的你可能會(huì)有此經(jīng)歷——網(wǎng)絡(luò)頻繁掉線(xiàn),速度變慢,你對(duì)此卻無(wú)從下手。這可能就是網(wǎng)絡(luò)遭受ARP攻擊表現(xiàn),下面介紹五種簡(jiǎn)單方法幫助你快速解決之。

第一、建立MAC數(shù)據(jù)庫(kù),把網(wǎng)吧內(nèi)所有網(wǎng)卡的MAC地址記錄下來(lái),每個(gè)MAC和IP、地理位置統(tǒng)統(tǒng)裝入數(shù)據(jù)庫(kù),以便及時(shí)查詢(xún)備案。

第二、建立DHCP服務(wù)器(建議建在網(wǎng)關(guān)上,因?yàn)镈HCP不占用多少CPU,而且ARP欺騙攻擊一般總是先攻擊網(wǎng)關(guān),我們就是要讓他先攻擊網(wǎng)關(guān),因?yàn)榫W(wǎng)關(guān)這里有監(jiān)控程序的,網(wǎng)關(guān)地址建議選擇192.168.10.2 ,把192.168.10.1留空,如果犯罪程序愚蠢的話(huà)讓他去攻擊空地址吧),另外所有客戶(hù)機(jī)的IP地址及其相關(guān)主機(jī)信息,只能由網(wǎng)關(guān)這里取得,網(wǎng)關(guān)這里開(kāi)通DHCP服務(wù),但是要給每個(gè)網(wǎng)卡,綁定固定唯一IP地址。一定要保持網(wǎng)內(nèi)的機(jī)器IP/MAC一一對(duì)應(yīng)的關(guān)系。這樣客戶(hù)機(jī)雖然是DHCP取地址,但每次開(kāi)機(jī)的IP地址都是一樣的。

第三、網(wǎng)關(guān)監(jiān)聽(tīng)網(wǎng)絡(luò)安全。網(wǎng)關(guān)上面使用TCPDUMP程序截取每個(gè)ARP程序包,弄一個(gè)腳本分析軟件分析這些ARP協(xié)議。ARP欺騙攻擊的包一般有以下兩個(gè)特點(diǎn),滿(mǎn)足之一可視為攻擊包報(bào)警:第一以太網(wǎng)數(shù)據(jù)包頭的源地址、目標(biāo)地址和ARP數(shù)據(jù)包的協(xié)議地址不匹配。或者,ARP數(shù)據(jù)包的發(fā)送和目標(biāo)地址不在自己網(wǎng)絡(luò)網(wǎng)卡MAC數(shù)據(jù)庫(kù)內(nèi),或者與自己網(wǎng)絡(luò)MAC數(shù)據(jù)庫(kù) MAC/IP 不匹配。這些統(tǒng)統(tǒng)第一時(shí)間報(bào)警,查這些數(shù)據(jù)包(以太網(wǎng)數(shù)據(jù)包)的源地址(也有可能偽造),就大致知道那臺(tái)機(jī)器在發(fā)起攻擊了。

第四、網(wǎng)關(guān)機(jī)器關(guān)閉ARP動(dòng)態(tài)刷新的過(guò)程,使用靜態(tài)路由,這樣的話(huà),即使犯罪嫌疑人使用ARP欺騙攻擊網(wǎng)關(guān)的話(huà),這樣對(duì)網(wǎng)關(guān)也是沒(méi)有用的,確保主機(jī)安全。

網(wǎng)關(guān)建立靜態(tài)IP/MAC捆綁的方法是:建立/etc/ethers文件,其中包含正確的IP/MAC對(duì)應(yīng)關(guān)系,格式如下:

192.168.2.32 08:00:4E:B0:24:47

然后再/etc/rc.d/rc.local

最后添加:arp -f

生效即可

第五、偷偷摸摸的走到那臺(tái)機(jī)器,看看使用人是否故意,還是被任放了什么木馬程序陷害的。如果后者,不聲不響的找個(gè)借口支開(kāi)他,拔掉網(wǎng)線(xiàn)(不關(guān)機(jī),特別要看看Win98里的計(jì)劃任務(wù)),看看機(jī)器的當(dāng)前使用記錄和運(yùn)行情況,確定是否是在攻擊。

第六、使用防護(hù)軟件。ARP防火墻采用系統(tǒng)內(nèi)核層攔截技術(shù)和主動(dòng)防御技術(shù),包含六大功能模塊可解決大部分欺騙、ARP攻擊帶來(lái)的問(wèn)題,從而保證通訊安全(保障通訊數(shù)據(jù)不被網(wǎng)管軟件/惡意軟件監(jiān)聽(tīng)和控制)、保證網(wǎng)絡(luò)暢通。

第七、具有ARP防護(hù)功能的網(wǎng)絡(luò)設(shè)備。由于ARP形式的攻擊而引發(fā)的網(wǎng)絡(luò)問(wèn)題是目前網(wǎng)絡(luò)管理,特別是局域網(wǎng)管理中最讓人頭疼的攻擊,他的攻擊技術(shù)含量低,隨便一個(gè)人都可以通過(guò)攻擊軟件來(lái)完成ARP欺騙攻擊,同時(shí)防范ARP形式的攻擊也沒(méi)有什么特別有效的方法。

目前只能通過(guò)被動(dòng)的亡羊補(bǔ)牢形式的措施了,本文介紹的方法希望對(duì)大家有所幫助。

更多信息請(qǐng)查看技術(shù)文章
易賢網(wǎng)手機(jī)網(wǎng)站地址:七招教你抵御ARP欺騙攻擊
由于各方面情況的不斷調(diào)整與變化,易賢網(wǎng)提供的所有考試信息和咨詢(xún)回復(fù)僅供參考,敬請(qǐng)考生以權(quán)威部門(mén)公布的正式信息和咨詢(xún)?yōu)闇?zhǔn)!

2025國(guó)考·省考課程試聽(tīng)報(bào)名

  • 報(bào)班類(lèi)型
  • 姓名
  • 手機(jī)號(hào)
  • 驗(yàn)證碼
關(guān)于我們 | 聯(lián)系我們 | 人才招聘 | 網(wǎng)站聲明 | 網(wǎng)站幫助 | 非正式的簡(jiǎn)要咨詢(xún) | 簡(jiǎn)要咨詢(xún)須知 | 加入群交流 | 手機(jī)站點(diǎn) | 投訴建議
工業(yè)和信息化部備案號(hào):滇ICP備2023014141號(hào)-1 云南省教育廳備案號(hào):云教ICP備0901021 滇公網(wǎng)安備53010202001879號(hào) 人力資源服務(wù)許可證:(云)人服證字(2023)第0102001523號(hào)
云南網(wǎng)警備案專(zhuān)用圖標(biāo)
聯(lián)系電話(huà):0871-65099533/13759567129 獲取招聘考試信息及咨詢(xún)關(guān)注公眾號(hào):hfpxwx
咨詢(xún)QQ:526150442(9:00—18:00)版權(quán)所有:易賢網(wǎng)
云南網(wǎng)警報(bào)警專(zhuān)用圖標(biāo)