ARPARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的网络层,负责将某个IP地址解析成对应的MAC地址。 ARP攻击特点
攻击原理ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。 ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。 攻击者向电脑A发送一个伪造的ARP响应,告诉电脑A:电脑B的IP地址192.168.0.2对应的MAC地址是00-aa-00-62-c6-03,电脑A信以为真,将这个对应关系写入自己的ARP缓存表中,以后发送数据时,将本应该发往电脑B的数据发送给了攻击者。同样的,攻击者向电脑B也发送一个伪造的ARP响应,告诉电脑B:电脑A的IP地址192.168.0.1对应的MAC地址是00-aa-00-62-c6-03,电脑B也会将数据发送给攻击者。 至此攻击者就控制了电脑A和电脑B之间的流量,他可以选择被动地监测流量,获取密码和其他涉密信息,也可以伪造数据,改变电脑A和电脑B之间的通信内容。 为了解决ARP攻击问题,可以在网络中的交换机上配置802.1x协议。 IEEE 802.1x是基于端口的访问控制协议,它对连接到交换机的用户进行认证和授权。在交换机上配置802.1x协议后,攻击者在连接交换机时需要进行身份认证(结合MAC、端口、帐户、VLAN和密码等),只有通过认证后才能向网络发送数据。攻击者未通过认证就不能向网络发送伪造的ARP报文。 局域网ARP预防小技巧目前防护局域网中ARP木马病毒最有效的方法是通过网关和终端双向绑定ip和mac地址来实现,但是这种方法还是不能有效的阻止ARP对局域网的攻击,原因何在?其实最重要的原因是在我们发现ARP病毒并设置双向绑定时,ARP病毒早已更改了本地电脑的MAC地址,从而导致绑定无效。另一方面就是人为的破坏,比如说局域网中有人使用P2P终结者等诸多情况,都可能导致局域网中充斥着大量的ARP包,这些都将会导致网络性能的下降。针对这些问题,我们应该如何面对和解决呢? 第一,做好第一道防线,实现网关和终端双向绑定IP和MAC地址。针对局域网中的每一台计算机利用“IPCONFIG”命令获取本机IP和MAC地址,并将该信息添加到路由器ARP映射表中。同时通过查看路由器的LAN口参数获取其IP和MAC地址,然后在局域网中的每台计算机上实现静态ARP绑定。具体做法是:打开“运行”对话框,输入CMD进入MSdos界面,通过IPCONFIG命令获取本机的IP地址和MAC地址。然后打开浏览器,输入路由器的地址,进入路由器配置界面,在界面中定位到ARP与IP地址绑定位置处,设置“单机的MAC地址和IP地址的匹配规则”,指定局域网中各个计算机的IP地址和其对应MAC地址实现绑定。 第二,通过“网络参数”-“LAN口参数”来查找路由器的MAC地址和IP地址,然后在局域网中的每台电脑中实现静态ARP绑定。具体做法:打开“运行”对话框,输入CMD进入MSdos界面,然后通过输入如图所示的命令实现网关IP地址和MAC地址的绑定。 第三,付出少需的代价换来局域网的长久平静。打开安全防护软件的ARP防火墙功能。 第四,斩草除根,彻底追踪查杀ARP病毒。利用局域网ARP欺骗检测工具来确定ARP攻击源,然后利用ARP专杀工具进行杀毒。查找并定位到攻击源地址以后,在相应的计算机上安装ARP专杀工具进行查杀操作。例如,当我们的机子受到ARP攻击时,我们查到了攻击源的MAC地址,将该MAC地址与路由器当中的ARP映射表进行对比来确定攻击源主机,然后对该主机进入ARP的查杀工作。 |
|
|
来自: 昵称11935121 > 《未命名》
