淺析ARP攻擊的防護(hù)措施

一.簡(jiǎn)單的欺騙攻擊

這是比較常見(jiàn)的攻擊,通過(guò)發(fā)送偽造的ARP包來(lái)欺騙路由和目標(biāo)主機(jī),讓目標(biāo)主機(jī)認(rèn)為這是一個(gè)合法的主機(jī).便完成了欺騙.這種欺騙多發(fā)生在同一網(wǎng)段內(nèi),因?yàn)槁酚刹粫?huì)把本網(wǎng)段的包向外轉(zhuǎn)發(fā),當(dāng)然實(shí)現(xiàn)不同網(wǎng)段的攻擊也有方法,便要通過(guò)ICMP協(xié)議來(lái)告訴路由器重新選擇路由.

二.交換環(huán)境的嗅探

在最初的小型局域網(wǎng)中我們使用HUB來(lái)進(jìn)行互連,這是一種廣播的方式,每個(gè)包都會(huì)經(jīng)過(guò)網(wǎng)內(nèi)的每臺(tái)主機(jī),通過(guò)使用軟件,就可以嗅談到整個(gè)局域網(wǎng)的數(shù)據(jù).現(xiàn)在的網(wǎng)絡(luò)多是交換環(huán)境,網(wǎng)絡(luò)內(nèi)數(shù)據(jù)的傳輸被鎖定的特定目標(biāo).既已確定的目標(biāo)通信主機(jī).在ARP欺騙的基礎(chǔ)之上,可以把自己的主機(jī)偽造成一個(gè)中間轉(zhuǎn)發(fā)站來(lái)監(jiān)聽(tīng)兩臺(tái)主機(jī)之間的通信.

三.MAC Flooding

這是一個(gè)比較危險(xiǎn)的攻擊,可以溢出交換機(jī)的ARP表,使整個(gè)網(wǎng)絡(luò)不能正常通信

四.基于ARP的DOS

這是新出現(xiàn)的一種攻擊方式,D.O.S又稱拒絕服務(wù)攻擊,當(dāng)大量的連接請(qǐng)求被發(fā)送到一臺(tái)主機(jī)時(shí),由于主機(jī)的處理能力有限,不能為正常用戶提供服務(wù),便出現(xiàn)拒絕服務(wù).這個(gè)過(guò)程中如果使用ARP來(lái)隱藏自己,在被攻擊主機(jī)的日志上就不會(huì)出現(xiàn)真實(shí)的IP.攻擊的同時(shí),也不會(huì)影響到本機(jī).

ARP攻擊防護(hù)方法

1.IP+MAC訪問(wèn)控制.

單純依靠IP或MAC來(lái)建立信任關(guān)系是不安全,理想的安全關(guān)系建立在IP+MAC的基礎(chǔ)上.這也是我們校園網(wǎng)上網(wǎng)必須綁定IP和MAC的原因之一.

2.靜態(tài)ARP緩存表.

每臺(tái)主機(jī)都有一個(gè)臨時(shí)存放IP-MAC的對(duì)應(yīng)表ARP攻擊就通過(guò)更改這個(gè)緩存來(lái)達(dá)到欺騙的目的,使用靜態(tài)的ARP來(lái)綁定正確的MAC是一個(gè)有效的方法.在命令行下使用arp -a可以查看當(dāng)前的ARP緩存表.以下是本機(jī)的ARP表

C:\Documents and Settings\cnqing>arp -a  
 
Interface: 210.31.197.81 on Interface 0x1000003  
 
Internet Address Physical Address Type  
 
210.31.197.94 00-03-6b-7f-ed-02 dynamic 

其中"dynamic" 代表動(dòng)態(tài)緩存,即收到一個(gè)相關(guān)ARP包就會(huì)修改這項(xiàng).如果是個(gè)非法的含有不正確的網(wǎng)關(guān)的ARP包,這個(gè)表就會(huì)自動(dòng)更改.這樣我們就不能找到正確的網(wǎng)關(guān)MAC,就不能正常和其他主機(jī)通信.靜態(tài)表的建立用ARP -S IP MAC.

執(zhí)行"arp -s 210.31.197.94 00-03-6b-7f-ed-02"后,我們?cè)俅尾榭碅RP緩存表.

C:\Documents and Settings\cnqing>arp -a  
 
Interface: 210.31.197.81 on Interface 0x1000003  
 
Internet Address Physical Address Type  
 
210.31.197.94 00-03-6b-7f-ed-02 static 

此時(shí)"TYPE"項(xiàng)變成了"static",靜態(tài)類型.這個(gè)狀態(tài)下,是不會(huì)在接受到ARP包時(shí)改變本地緩存的.從而有效的防止ARP攻擊.靜態(tài)的ARP條目在每次重啟后都要消失需要重新設(shè)置.

3.ARP 高速緩存超時(shí)設(shè)置

在ARP高速緩存中的表項(xiàng)一般都要設(shè)置超時(shí)值,縮短這個(gè)這個(gè)超時(shí)值可以有效的防止ARP表的溢出.

4.主動(dòng)查詢

在某個(gè)正常的時(shí)刻,做一個(gè)IP和MAC對(duì)應(yīng)的數(shù)據(jù)庫(kù),以后定期檢查當(dāng)前的IP和MAC對(duì)應(yīng)關(guān)系是否正常.定期檢測(cè)交換機(jī)的流量列表,查看丟包率.

ARP攻擊防護(hù)總結(jié)

ARP本身不能造成多大的危害,一旦被結(jié)合利用,其危險(xiǎn)性就不可估量了.由于ARP本身的問(wèn)題.使得防范ARP攻擊很棘手,經(jīng)常查看當(dāng)前的網(wǎng)絡(luò)狀態(tài),監(jiān)控流量對(duì)一個(gè)網(wǎng)管員來(lái)說(shuō)是個(gè)很好的習(xí)慣

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]