如何防范ARP攻击

相关推荐

如何防范ARP攻击

局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的mac地址的。所谓“地址解析”就是主机在发送帧前将目标ip地址转换成目标mac地址的过程。arp协议的基本功能就是通过目标设备的ip地址，查询目标设备的mac地址以保证通信的顺利进行。

注解：简单地说，arp协议主要负责将局域网中的32为ip地址转换为对应的48位物理地址，即网卡的mac地址，比如ip地址为192.168.0.1网卡mac地址为00-03-0f-fd-1d-2b。整个转换过程是一台主机先向目标主机发送包含ip地址信息的广播数据包，即arp请求，然后目标主机向该主机发送一个含有ip地址和mac地址数据包，通过mac地址两个主机就可以实现数据传输了。

应用：在安装了以太网网络适配器的计算机中都有专门的arp缓存，包含一个或多个表，用于保存ip地址以及经过解析的mac地址。在windows中要查看或者修改arp缓存中的信息，可以使用arp命令来完成，比如在windows xp的命令提示符窗口中键入“arp -a”或“arp -g”可以查看arp缓存中的内容；键入“arp -d ipaddress”表示删除指定的ip地址项（ipaddress表示ip地址）。arp命令的其他用法可以键入“arp /?”查看到。

我们首先要知道以太网内主机通信是靠mac地址来确定目标的.arp协议又称"地址解析协议",它负责通知电脑要连接的目标的地址,这里说的地址在以太网中就是mac地址,简单说来就是通过ip地址来查询目标主机的mac地址.一旦这个环节出错,我们就不能正常和目标主机进行通信,甚至使整个网络瘫痪.

arp的攻击主要有以下几种方式

一.简单的欺骗攻击

这是比较常见的攻击,通过发送伪造的arp包来欺骗路由和目标主机,让目标主机认为这是一个合法的主机.便完成了欺骗.这种欺骗多发生在同一网段内,因为路由不会把本网段的包向外转发,当然实现不同网段的攻击也有方法,便要通过icmp协议来告诉路由器重新选择路由.

二.交换环境的嗅探

在最初的小型局域网中我们使用hub来进行互连,这是一种广播的方式,每个包都会经过网内的每台主机,通过使用软件,就可以嗅谈到整个局域网的数据.现在的网络多是交换环境,网络内数据的传输被锁定的特定目标.既已确定的目标通信主机.在arp欺骗的基础之上,可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信.

三.mac flooding

这是一个比较危险的攻击,可以溢出交换机的arp表,使整个网络不能正常通信

四.基于arp的dos

这是新出现的一种攻击方式,d.o.s又称拒绝服务攻击,当大量的连接请求被发送到一台主机时,由于主机的处理能力有限,不能为正常用户提供服务,便出现拒绝服务.这个过程中如果使用arp来隐藏自己,在被攻击主机的日志上就不会出现真实的ip.攻击的同时,也不会影响到本机.

防护方法:

1.ip+mac访问控制.

单纯依靠ip或mac来建立信任关系是不安全,理想的安全关系建立在ip+mac的基础上.这也是我们校园网上网必须绑定ip和mac的原因之一.

2.静态arp缓存表.

每台主机都有一个临时存放ip-mac的对应表arp攻击就通过更改这个缓存来达到欺骗的目的,使用静态的arp来绑定正确的mac是一个有效的方法.在命令行下使用arp -a可以查看当前的arp缓存表.以下是本机的arp表

c:\documents and settings\cnqing>arp -a

interf-ace: 210.31.197.81 on interf-ace 0x1000003

internet address physical address type

210.31.197.94 00-03-6b-7f-ed-02 dynamic

其中"dynamic" 代表动态缓存,即收到一个相关arp包就会修改这项.如果是个非法的含有不正确的网关的arp包,这个表就会自动更改.这样我们就不能找到正确的网关mac,就不能正常和其他主机通信.静态表的建立用arp -s ip mac.

执行"arp -s 210.31.197.94 00-03-6b-7f-ed-02"后,我们再次查看arp缓存表.

c:\documents and settings\cnqing>arp -a

《如何防范ARP攻击》全文内容当前网页未完全显示，剩余内容请访问下一页查看。

interf-ace: 210.31.197.81 on interf-ace 0x1000003

internet address physical address type

210.31.197.94 00-03-6b-7f-ed-02 static

此时"type"项变成了"static",静态类型.这个状态下,是不会在接受到arp包时改变本地缓存的.从而有效的防止arp攻击.静态的arp条目在每次重启后都要消失需要重新设置.

3.arp 高速缓存超时设置

在arp高速缓存中的表项一般都要设置超时值,缩短这个这个超时值可以有效的防止arp表的溢出.

4.主动查询

在某个正常的时刻,做一个ip和mac对应的数据库,以后定期检查当前的ip和mac对应关系是否正常.定期检测交换机的流量列表,查看丢包率.

总结:arp本省不能造成多大的危害,一旦被结合利用,其危险性就不可估量了.由于arp本身的问题.使得防范arp的攻击很棘手,经常查看当前的网络状态,监控流量对一个网管员来说是个很好的习惯.

如何防止ARP攻击2017-04-21 11:21 | #2楼

一、用户检查和处理“arp 欺骗”木马的方法。

1、检查本机是否中的“ arp 欺骗”木马染毒

同时按住键盘上的“ ctrl + alt +del”键，选择“任务管理器”，点选“进程”标签。查看其中是否有一个名为“mir0.dat”之类的进程。如果有，则说明已经中毒。右键点击此进程后选择“结束进程”。

2、在受到arp欺骗木马程序（病毒）攻击时，用户可选择下列方法的一种处理。

方法一：

下载anti arpsniffer软件保护本地计算机正常运行。同时把此软件设为自动启动，步骤：先把antiarp.exe生成桌面快捷方式->选"开始"->"程序"->双击"启动"->再把桌面上antiarp.exe快捷键拷到"启动"中，以保证下次开机自动运行，起到保护的作用。

方法二：

在“开始” - “程序” -“附件”菜单下调出“命令提示符”。输入并执行以下命令：ipconfig

记录网关 ip 地址，即“ default gateway”对应的值，例如“ 10.1.4.1”。再输入并执行以下命令： arp /a

在“ internet address ”下找到上步记录的网关 ip地址，记录其对应的物理地址，即“ physical address”值，例如“00-e0-fc-0f-8f-4d”。在网络正常时这就是网关的正确物理地址，在网络受“arp欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。也可以扫描本子网内的全部 ip 地址，然后再查 arp表。如果有一个 ip对应的物理地址与网关的相同，那么这个 ip地址和物理地址就是中毒计算机的 ip地址和网卡物理地址。本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关ip 地址和网关物理地址，然后在“命令提示符”窗口中输入并执行以下命令： arp /s 网关ip 网关物理地址。

方法三：(只适用时出现故障时的临时解决办法）

在“开始” - “程序” -“附件”菜单下调出“命令提示符”。输入并执行以下命令：arp -d

方法四：

局域网arp攻击免疫器,网上有得下。

（1）将这里面3个dll文件复制到windows\system32里面，将npf 这个文件复制到 windows\system32\drivers里面。

（2）将这4个文件在安全属性里改成只读。也就是不允许任何人修改。

二、以下程序带有此类arp病毒（传奇杀手等），请不要使用：

传奇2冰橙子1.44版

传奇2及时雨pk版

"网吧传奇杀手"的木马软件进行传奇帐号和密码的扫描

网络执法官等类似程序

【如何防范ARP攻击】相关文章：