剖析ARP緩存感染攻擊(4)

MAC洪泛是一種旨在網絡交換機的ARP緩存中毒技術。當這些交換機流量超載時它們常常進入到 “集線器” 模式。在 “集線器” 模式中，交換機由于太過繁忙而不能執行它的端口安全檢測功能，而是僅僅向網絡中的每一臺計算機廣播所有的網絡數據。利用大量的假冒ARP響應數據包去洪泛一臺交換機的ARP映射表，黑客能使大多數制造商的交換機超載，然后當交換機進入 “集線器” 模式時，就可以發送 (惡意的) 包去嗅探你的局域網。

害怕了？好，現在冷靜下來！

這是可怕的東西。ARP緩存中毒能夠利用一些微不足道的手段卻造成網絡的巨大危害。但是，當你進入到高度戒備狀態時，注意到一個重要的緩解因素：只有也在局域網中的攻擊者才能利用ARP的缺陷 (因為ARP協議只會在局域網(子網)中進行) 。黑客他要不是在你的網絡中找個接口插入而連接上你的局域網，要不就是控制一個局域網內的機器，這樣才能進行ARP緩存中毒攻擊。ARP的缺陷不能在被遠程利用。

那就是說,黑客會被知道他接入了這個網絡。優秀的網絡管理員應該能意識到ARP緩存中的技術。

由于ARP緩存中毒源于一個協議的缺陷，但是這個協議對于TCP/IP網絡的運轉又是必須的，你不能去修改它。但是你可以運用以下技術來防止ARP攻擊。

面向小型網絡

如果你管理著一個小型網絡，你或許可以試試使用靜態IP地址和靜態ARP映射表。用命令行輸入，比如在Windows中是 “ipconfig/all” ，在NIX中是 “ifconfig” ，你就可以查看在你的網絡中的所有設備的IP地址和MAC地址了。然后使用 "arp-s" 命令，你可以為你所知道的設備添加靜態ARP映射。“靜態” 就是不會變化；這可以防止黑客的欺騙ARP進入你的網絡設備中。你甚至可以創建一個登錄腳本當它們啟動時自動添加這些靜態ARP到你的計算機中。

然而，靜態ARP很難被維護；在大型網絡中更是不可能。那是因為你每加入一臺設備到你的網絡中都需要你手動地編寫ARP腳本或輸入每臺設備的ARP映射表。但是如果你是管理一個少于兩打的設備，這個技術或許適合于你。

面向大型網絡

如果你是管理著一個大型網絡，好好去研究一下你的網絡交換機的 “端口安全” 功能。有一個 “端口安全” 功能是允許你強制使你的交換機在每個端口只允許 (IP地址對應的) 一個MAC地址通過。這個功能會阻止黑客改變他機器的MAC地址或試圖映射多個MAC地址到他的機器上。這種技術常常用于幫助防御基于ARP的中間人攻擊。

面向所有網絡

你最好的防御方法就是掌握ARP中毒的機制并監視它。我強烈建議安裝一個ARP監視工具，比如ARPwatch，當有不正常的ARP通信時它會提醒你。這種警惕也是對付所有類型攻擊的最有力武器——就如Robert Louis Stevenson所寫的，“最殘酷的謊言常常是悄無聲息地說出來的”。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]