學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 網(wǎng)絡(luò)安全知識 > arp攻擊與防范

arp攻擊與防范

時間: 權(quán)威724 分享

arp攻擊與防范

  如今互聯(lián)網(wǎng)的重要性越來越大,很多人也對一些知識很感興趣,那么你知道arp攻擊與防范嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于arp攻擊與防范的相關(guān)資料,供你參考。

  arp攻擊與防范:

  一、要想防患arp攻擊,那么我們要知道什么是arp?

  ARP:地址解析協(xié)議,用于將32位的IP地址解析成48位的物理mac地址。

  在以太網(wǎng)協(xié)議中,規(guī)定同一局域網(wǎng)中的主機(jī)相互通信,必須知道對方的物理地址(即mac地址),而在tcp/ip協(xié)議中,網(wǎng)絡(luò)層和傳輸層只關(guān)心目標(biāo)主機(jī)的ip地址。這就導(dǎo)致在以太網(wǎng)中使用IP協(xié)議時,數(shù)據(jù)鏈路層的以太網(wǎng)協(xié)議接到上層的IP協(xié)議提供的數(shù)據(jù)中,只包含目的主機(jī)的IP地址。所以就需要一種協(xié)議,根據(jù)目的的IP地址,獲得其mac地址。所以arp協(xié)議就應(yīng)運而生。

  另外,當(dāng)發(fā)送主機(jī)和目的主機(jī)不在同一個局域網(wǎng)中時,即便知道目的主機(jī)的MAC地址,兩者也不能直接通信,必須經(jīng)過路由轉(zhuǎn)發(fā)才可以。所以此時,發(fā)送主機(jī)通過ARP協(xié)議獲得的將不是目的主機(jī)的真實MAC地址,而是一臺可以通往局域網(wǎng)外的路由器的某個端口的MAC地址。于是此后發(fā)送主機(jī)發(fā)往目的主機(jī)的所有幀,都將發(fā)往該路由器,通過它向外發(fā)送。這種情況稱為ARP代理(ARP Proxy)。

  二、arp攻擊的原理

  ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙,能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞,攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目,造成網(wǎng)絡(luò)中斷或中間人攻擊。

  ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中,局域網(wǎng)中若有一臺計算機(jī)感染ARP木馬,則感染該ARP木馬的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計算機(jī)的通信信息,并因此造成網(wǎng)內(nèi)其它計算機(jī)的通信故障。

  三、什么是ARP欺騙

  在局域網(wǎng)中,黑客 經(jīng)過收到ARP Request廣播包,能夠偷聽到其它節(jié)點的 (IP, MAC) 地址, 黑客就偽裝為A,告訴B (受害者) 一個假地址,使得B在發(fā)送給A 的數(shù)據(jù)包都被黑客截取,而A, B 渾然不知。

  四、arp的攻擊方式:

  1、ip地址沖突

  Arp病毒制造者制造出局域網(wǎng)上有另一臺主機(jī)與受害主機(jī)共享一個IP的假象。大量的攻擊數(shù)據(jù)包能令受害主機(jī)耗費大量的系統(tǒng)資源。

 ?、賳尾バ偷腎P地址沖突

  數(shù)據(jù)鏈路層記錄的目的物理地址為被攻擊主機(jī)的物理地址,這樣使得該arp數(shù)據(jù)包只能被受攻擊主機(jī)所接收,而不被局域網(wǎng)內(nèi)其他主機(jī)所接收,實現(xiàn)隱蔽式攻擊。

  ②廣播型的IP地址沖突

  數(shù)據(jù)鏈路層記錄的目的物理地址為廣播地址,這樣使得局域網(wǎng)內(nèi)的所有主機(jī)都會接收到該arp數(shù)據(jù)包,雖然該arp數(shù)據(jù)包所記錄的目的IP地址不是受攻擊主機(jī)的IP地址,但是由于該arp數(shù)據(jù)包為廣播數(shù)據(jù)包,這樣受攻擊主機(jī)也會收到。

  2、arp泛洪攻擊

  攻擊主機(jī)持續(xù)把偽造的mac-ip映射對發(fā)給受害的主機(jī),對于局域網(wǎng)內(nèi)的所有主機(jī)和網(wǎng)管進(jìn)行廣播,搶占網(wǎng)絡(luò)帶寬和干擾正常通信。

  3、arp掃描攻擊

  Arp攻擊者向局域網(wǎng)發(fā)送arp請求,從而獲得正在運行主機(jī)的IP和MAC地址的映射對。攻擊源通過對arp掃描獲得所要攻擊的IP和mac地址,從而為網(wǎng)絡(luò)監(jiān)聽、盜取用戶數(shù)據(jù),實現(xiàn)隱蔽式攻擊做準(zhǔn)備。

  4、虛擬主機(jī)攻擊

  黑客通過在網(wǎng)絡(luò)內(nèi)虛擬構(gòu)建網(wǎng)卡,將自己虛擬成網(wǎng)絡(luò)內(nèi)的一臺主機(jī),擁有虛擬的物理地址和IP地址。使得占用局域網(wǎng)內(nèi)的IP地址資源,使得正常運行的主機(jī)會發(fā)生IP地址沖突,并且大量的虛擬主機(jī)攻擊會使得局域網(wǎng)內(nèi)的主機(jī)無法正常獲得IP地址。

  5、ARP欺騙攻擊

  目的是向目標(biāo)主機(jī)發(fā)送偽造的arp應(yīng)答,并使目標(biāo)主機(jī)接收應(yīng)答中的IP與MAC間的映射,并以此更新目標(biāo)主機(jī)緩存。從而影響鏈接暢通。其方式有:冒充主機(jī)欺騙網(wǎng)關(guān),原理是截獲網(wǎng)關(guān)數(shù)據(jù)和冒充網(wǎng)關(guān)欺騙主機(jī),原理是偽造網(wǎng)關(guān)。

  五、arp攻擊防患措施

  1、在客戶端靜態(tài)綁定IP地址和MAC地址

  進(jìn)入命令行arp –a命令查看,獲取本機(jī)的網(wǎng)關(guān)IP地址和網(wǎng)關(guān)mac地址

  編寫一個批處理內(nèi)容為:

  @echo off

  arp -d

  arp –s 網(wǎng)關(guān)的IP地址 自己的mac地址

  保存放置到開機(jī)啟動項里

  2、設(shè)置arp服務(wù)器

  指定局域網(wǎng)內(nèi)部的一臺機(jī)器作為arp服務(wù)器,專門保存且維護(hù)可信范圍內(nèi)的所有主機(jī)的IP地址與mac地址的映射記錄。該服務(wù)器通過查閱自己的arp緩存的靜態(tài)記錄,并以被查詢主機(jī)的名義相應(yīng)局域網(wǎng)內(nèi)部的arp請求,同時設(shè)置局域網(wǎng)內(nèi)部其他主機(jī)只是用來自arp服務(wù)器的arp響應(yīng)。

  3、交換機(jī)端口設(shè)置

  通過劃分VLAN和交換機(jī)端口綁定,以圖防范ARP,也是常用的防范方法。做法是細(xì)致地劃分VLAN,減小廣播域的范圍,使ARP在小范圍內(nèi)起作用,而不至于發(fā)生大面積影響。同時,一些網(wǎng)管交換機(jī)具有MAC地址學(xué)習(xí)的功能,學(xué)習(xí)完成后,再關(guān)閉這個功能,就可以把對應(yīng)的MAC和端口進(jìn)行綁定,避免了病毒利用ARP攻擊篡改自身地址。也就是說,把ARP攻擊中被截獲數(shù)據(jù)的風(fēng)險解除了。這種方法確實能起到一定的作用。

  不過,VLAN和交換機(jī)端口綁定的問題在于:

 ?、贈]有對網(wǎng)關(guān)的任何保護(hù),不管如何細(xì)分VLAN,網(wǎng)關(guān)一旦被攻擊,照樣會造成全網(wǎng)上網(wǎng)的掉線和癱瘓。

  ②把每一臺電腦都牢牢地固定在一個交換機(jī)端口上,這種管理太死板了。這根本不適合移動終端的使用,從辦公室到會議室,這臺電腦恐怕就無法上網(wǎng)了。在無線應(yīng)用下,又怎么辦呢?還是需要其他的辦法。

 ?、蹖嵤┙粨Q機(jī)端口綁定,必定要全部采用高級的網(wǎng)管交換機(jī)、三層交換機(jī),整個交換網(wǎng)絡(luò)的造價大大提高。

  因為交換網(wǎng)絡(luò)本身就是無條件支持ARP操作的,就是它本身的漏洞 造成了ARP攻擊的可能,它上面的管理手段不是針對ARP的。因此,在現(xiàn)有的交換網(wǎng)絡(luò)上實施ARP防范措施,屬于以子之矛攻子之盾。而且操作維護(hù)復(fù)雜,基本上是個費力不討好的事情。

  4、ARP個人防火墻

  在一些殺毒軟件中加入了ARP個人防火墻的功能,它是通過在終端電腦上對網(wǎng)關(guān)進(jìn)行綁定,保證不受網(wǎng)絡(luò)中假網(wǎng)關(guān)的影響,從而保護(hù)自身數(shù)據(jù)不被竊取的措施。ARP防火墻使用范圍很廣,有很多人以為有了防火墻,ARP攻擊就不構(gòu)成威脅了,其實完全不是那么回事。

  ARP個人防火墻也有很大缺陷:

 ?、偎荒鼙WC綁定的網(wǎng)關(guān)一定是正確的。如果一個網(wǎng)絡(luò)中已經(jīng)發(fā)生了ARP欺騙,有人在偽造網(wǎng)關(guān),那么,ARP個人防火墻上來就會綁定這個錯誤的網(wǎng)關(guān),這是具有極大風(fēng)險的。即使配置中不默認(rèn)而發(fā)出提示,缺乏網(wǎng)絡(luò)知識的用戶恐怕也無所適從。

  ②ARP是網(wǎng)絡(luò)中的問題,ARP既能偽造網(wǎng)關(guān),也能截獲數(shù)據(jù),是個“雙頭怪”。在個人終端上做ARP防范,而不管網(wǎng)關(guān)那端如何,這本身就不是一個完整的辦法。ARP個人防火墻起到的作用,就是防止自己的數(shù)據(jù)不會被盜取,而整個網(wǎng)絡(luò)的問題,如掉線、卡滯等,ARP個人防火墻是無能為力的。

  因此,ARP個人防火墻并沒有提供可靠的保證。最重要的是,它是跟網(wǎng)絡(luò)穩(wěn)定無關(guān)的措施,它是個人的,不是網(wǎng)絡(luò)的。

  5、安裝監(jiān)聽軟件

  可以安裝sniffer軟件,監(jiān)聽網(wǎng)絡(luò)中的arp包,由于ARP欺騙往往使用廣播形式傳播,即使在交換機(jī)環(huán)境下也明顯能監(jiān)聽到某PC端正在狂發(fā)arp包,可以定位到arp病毒源主機(jī)。

  6、反欺騙

  通過命令設(shè)置一個錯誤的網(wǎng)關(guān)地址,反欺騙arp病毒,然后再添加一條靜態(tài)路由,設(shè)置正確的網(wǎng)關(guān)用于正常的網(wǎng)絡(luò)訪問。

  看過文章“arp攻擊與防范”的人還看了:

  1.ARP緩存感染攻擊解析

  2.怎么清除arp病毒

  3.Windows 7如何有效防止ARP病毒

  4.如何防護(hù)ARP攻擊

  5.電腦遭受ARP斷網(wǎng)攻擊怎么處理

  6.路由器怎么利用NETSH命令防ARP

  7.如何設(shè)置ARP防護(hù)

  8.關(guān)于網(wǎng)絡(luò)安全與局域網(wǎng)ARP地址欺騙攻擊的介紹

  9.如何防止無線路由器ARP攻擊

  10.ARP欺騙的原理是什么

567996