淺析ARP攻擊的防護(hù)措施
ARP攻擊方式
一.簡單的欺騙攻擊
這是比較常見的攻擊,通過發(fā)送偽造的ARP包來欺騙路由和目標(biāo)主機(jī),讓目標(biāo)主機(jī)認(rèn)為這是一個(gè)合法的主機(jī).便完成了欺騙.這種欺騙多發(fā)生在同一網(wǎng)段內(nèi),因?yàn)槁酚刹粫驯揪W(wǎng)段的包向外轉(zhuǎn)發(fā),當(dāng)然實(shí)現(xiàn)不同網(wǎng)段的攻擊也有方法,便要通過ICMP協(xié)議來告訴路由器重新選擇路由.
二.交換環(huán)境的嗅探
在最初的小型局域網(wǎng)中我們使用HUB來進(jìn)行互連,這是一種廣播的方式,每個(gè)包都會經(jīng)過網(wǎng)內(nèi)的每臺主機(jī),通過使用軟件,就可以嗅談到整個(gè)局域網(wǎng)的數(shù)據(jù).現(xiàn)在的網(wǎng)絡(luò)多是交換環(huán)境,網(wǎng)絡(luò)內(nèi)數(shù)據(jù)的傳輸被鎖定的特定目標(biāo).既已確定的目標(biāo)通信主機(jī).在ARP欺騙的基礎(chǔ)之上,可以把自己的主機(jī)偽造成一個(gè)中間轉(zhuǎn)發(fā)站來監(jiān)聽兩臺主機(jī)之間的通信.
三.MAC Flooding
這是一個(gè)比較危險(xiǎn)的攻擊,可以溢出交換機(jī)的ARP表,使整個(gè)網(wǎng)絡(luò)不能正常通信
四.基于ARP的DOS
這是新出現(xiàn)的一種攻擊方式,D.O.S又稱拒絕服務(wù)攻擊,當(dāng)大量的連接請求被發(fā)送到一臺主機(jī)時(shí),由于主機(jī)的處理能力有限,不能為正常用戶提供服務(wù),便出現(xiàn)拒絕服務(wù).這個(gè)過程中如果使用ARP來隱藏自己,在被攻擊主機(jī)的日志上就不會出現(xiàn)真實(shí)的IP.攻擊的同時(shí),也不會影響到本機(jī).
ARP攻擊防護(hù)方法
1.IP+MAC訪問控制.
單純依靠IP或MAC來建立信任關(guān)系是不安全,理想的安全關(guān)系建立在IP+MAC的基礎(chǔ)上.這也是我們校園網(wǎng)上網(wǎng)必須綁定IP和MAC的原因之一.
2.靜態(tài)ARP緩存表.
每臺主機(jī)都有一個(gè)臨時(shí)存放IP-MAC的對應(yīng)表ARP攻擊就通過更改這個(gè)緩存來達(dá)到欺騙的目的,使用靜態(tài)的ARP來綁定正確的MAC是一個(gè)有效的方法.在命令行下使用arp -a可以查看當(dāng)前的ARP緩存表.以下是本機(jī)的ARP表
- C:\Documents and Settings\cnqing>arp -a
- Interface: 210.31.197.81 on Interface 0x1000003
- Internet Address Physical Address Type
- 210.31.197.94 00-03-6b-7f-ed-02 dynamic
其中"dynamic" 代表動態(tài)緩存,即收到一個(gè)相關(guān)ARP包就會修改這項(xiàng).如果是個(gè)非法的含有不正確的網(wǎng)關(guān)的ARP包,這個(gè)表就會自動更改.這樣我們就不能找到正確的網(wǎng)關(guān)MAC,就不能正常和其他主機(jī)通信.靜態(tài)表的建立用ARP -S IP MAC.
執(zhí)行"arp -s 210.31.197.94 00-03-6b-7f-ed-02"后,我們再次查看ARP緩存表.
- C:\Documents and Settings\cnqing>arp -a
- Interface: 210.31.197.81 on Interface 0x1000003
- Internet Address Physical Address Type
- 210.31.197.94 00-03-6b-7f-ed-02 static
此時(shí)"TYPE"項(xiàng)變成了"static",靜態(tài)類型.這個(gè)狀態(tài)下,是不會在接受到ARP包時(shí)改變本地緩存的.從而有效的防止ARP攻擊.靜態(tài)的ARP條目在每次重啟后都要消失需要重新設(shè)置.
3.ARP 高速緩存超時(shí)設(shè)置
在ARP高速緩存中的表項(xiàng)一般都要設(shè)置超時(shí)值,縮短這個(gè)這個(gè)超時(shí)值可以有效的防止ARP表的溢出.
4.主動查詢
在某個(gè)正常的時(shí)刻,做一個(gè)IP和MAC對應(yīng)的數(shù)據(jù)庫,以后定期檢查當(dāng)前的IP和MAC對應(yīng)關(guān)系是否正常.定期檢測交換機(jī)的流量列表,查看丟包率.
ARP攻擊防護(hù)總結(jié)
ARP本身不能造成多大的危害,一旦被結(jié)合利用,其危險(xiǎn)性就不可估量了.由于ARP本身的問題.使得防范ARP攻擊很棘手,經(jīng)常查看當(dāng)前的網(wǎng)絡(luò)狀態(tài),監(jiān)控流量對一個(gè)網(wǎng)管員來說是個(gè)很好的習(xí)慣。
【編輯推薦】
