防范方法
1��、捆綁MAC和IP地址
杜絕IP 地址盜用現象��。如果是通過代理服務器上網:到代理服務器端讓網絡管理員把上網的靜態IP 地址與所記錄計算機的網卡地址進行捆綁。如: ARP-s 192.16.10.400-EO-4C-6C-08-75。這樣�,就將上網的靜態IP 地址192.16.10.4 與網卡地址為00-EO-4C-6C-08-75 的計算機綁定在一起了����,即使別人盜用您的IP 地址��,也無法通過代理服務器上網。如果是通過交換機連接,可以將計算機的IP地址�、網卡的MAC 地址以及交換機端口綁定�����。
2、修改MAC地址,欺騙ARP欺騙技術
就是假冒MAC 地址�,所以最穩妥的一個辦法就是修改機器的MAC 地址�,只要把MAC 地址改為別的�����,就可以欺騙過ARP 欺騙����,從而達到突破封鎖的目的���。
3��、使用ARP服務器
使用ARP 服務器����。通過該服務器查找自己的ARP 轉換表來響應其他機器的ARP 廣播���。確保這臺ARP 服務器不被攻擊��。
4���、交換機端口設置
(1)端口保護(類似于端口隔離):ARP 欺騙技術需要交換機的兩個端口直接通訊���,端口設為保護端口即可簡單方便地隔離用戶之間信息互通,不必占用VLAN 資源���。同一個交換機的兩個端口之間不能進行直接通訊,需要通過轉發才能相互通訊��。
(2)數據過濾:如果需要對報文做更進一步的控制用戶可以采用ACL(訪問控制列表)���。ACL 利用IP 地址���、TCP/UDP 端口等對進出交換機的報文進行過濾���,根據預設條件���,對報文做出允許轉發或阻塞的決定���。華為和Cisco 的交換機均支持IP ACL 和MAC ACL���,每種ACL 分別支持標準格式和擴展格式��。標準格式的ACL 根據源地址和上層協議類型進行過濾����,擴展格式的ACL 根據源地址��、目的地址以及上層協議類型進行過濾���,異詞檢查偽裝MAC 地址的幀���。
5�、禁止網絡接口做ARP 解析
在相對系統中禁止某個網絡接口做ARP 解析(對抗ARP欺騙攻擊)��,可以做靜態ARP 協議設置(因為對方不會響應ARP 請求報義)如: ARP –s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系統中如:Unix ����, NT 等���,都可以結合“禁止相應網絡接口做ARP 解析”和“使用靜態ARP 表”的設置來對抗ARP 欺騙攻擊�����。而Linux 系統�����,其靜態ARP 表項不會被動態刷新,所以不需要“禁止相應網絡接口做ARP 解析”,即可對抗ARP 欺騙攻擊�。
6�、使用硬件屏蔽主機
設置好你的路由�����,確保IP 地址能到達合法的路徑��。( 靜態配置路由ARP 條目),注意,使用交換集線器和網橋無法阻止ARP 欺騙�����。
7�、定期檢查ARP緩存
管理員定期用響應的IP 包中獲得一個rarp 請求, 然后檢查ARP 響應的真實性。定期輪詢, 檢查主機上的ARP 緩存��。使用防火墻連續監控網絡�。注意有使用SNMP 的情況下,ARP 的欺騙有可能導致陷阱包丟失�����。
技巧一則
址的方法個人認為是不實用的�,首先, 這樣做會加大網絡管理員的工作量�����,試想�����,如果校園網內有3000個用戶,網絡管理員就必須做3000 次端口綁定MAC 地址的操作�����,甚至更多����。其次, 網絡管理員應該比較清楚的是, 由于網絡構建成本的原因,接入層交換機的性能是相對較弱的, 功能也相對單一一些, 對于讓接入層交換機做地址綁定的工作����,對于交換機性能的影響相當大, 從而影響網絡數據的傳輸���。
建議用戶采用綁定網關地址的方法解決并且防止ARP 欺騙����。
1) 首先, 獲得安全網關的內網的MAC 地址����。( 以windowsXP 為例)點擊"開始"→"運行", 在打開中輸入cmd。點擊確定后將出現相關網絡狀態及連接信息, 然后在其中輸入ipconfig/all���,然后繼續輸入arp - a 可以查看網關的MAC 地址。
2) 編寫一個批處理文件rarp.bat( 文件名可以任意) 內容如下:
@echo off
arp - d
arp - s 192.168.200.1 00- aa- 00- 62- c6- 09
將文件中的網關IP 地址和MAC 地址更改為實際使用的網關IP 地址和MAC 地址即可��。
3) 編寫完以后, 點擊"文件" →"另存為"�。注意文件名一定要是*.bat 如arp.bat 保存類型注意要選擇所有類型。點擊保存就可以了�。最后刪除之前創建的"新建文本文檔"就可以�����。
4) 將這個批處理軟件拖到"windows- - 開始- - 程序- - 啟動"中, ( 一般在系統中的文件夾路徑為C:\Documents and Settings\All Users\「開始」菜單\ 程序\ 啟動) 。
5) 最后重新啟動一下電腦就可以���。
靜態ARP 表能忽略執行欺騙行為的ARP 應答, 我們采用這樣的方式可以杜絕本機受到ARP 欺騙包的影響。對于解決ARP 欺騙的問題還有多種方法: 比如通過專門的防ARP 的軟件, 或是通過交換機做用戶的入侵檢測��。前者也是個針對ARP欺騙的不錯的解決方案, 但是軟件的設置過程并不比設置靜態ARP 表簡單�。后者對接入層交換機要求太高, 如果交換機的性能指標不是太高, 會造成比較嚴重的網絡延遲, 接入層交換機的性能達到了要求, 又會使網絡安裝的成本提高。
在應對ARP 攻擊的時候�,除了利用上述的各種技術手段�,還應該注意不要把網絡安全信任關系建立在IP 基礎上或MAC 基礎上�,最好設置靜態的MAC->IP 對應表,不要讓主機刷新你設定好的轉換表�����,除非很有必要����,否則停止使用ARP,將ARP 做為永久條目保存在對應表中���。
本文出自:億恩科技【www.ypdoo.com.cn】
服務器租用/服務器托管中國五強����!虛擬主機域名注冊頂級提供商!15年品質保障���!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
