arp攻擊與防范
arp攻擊與防范
如今互聯(lián)網(wǎng)的重要性越來(lái)越大,很多人也對(duì)一些知識(shí)很感興趣,那么你知道arp攻擊與防范嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于arp攻擊與防范的相關(guān)資料,供你參考。
arp攻擊與防范:
一、要想防患arp攻擊,那么我們要知道什么是arp?
ARP:地址解析協(xié)議,用于將32位的IP地址解析成48位的物理mac地址。
在以太網(wǎng)協(xié)議中,規(guī)定同一局域網(wǎng)中的主機(jī)相互通信,必須知道對(duì)方的物理地址(即mac地址),而在tcp/ip協(xié)議中,網(wǎng)絡(luò)層和傳輸層只關(guān)心目標(biāo)主機(jī)的ip地址。這就導(dǎo)致在以太網(wǎng)中使用IP協(xié)議時(shí),數(shù)據(jù)鏈路層的以太網(wǎng)協(xié)議接到上層的IP協(xié)議提供的數(shù)據(jù)中,只包含目的主機(jī)的IP地址。所以就需要一種協(xié)議,根據(jù)目的的IP地址,獲得其mac地址。所以arp協(xié)議就應(yīng)運(yùn)而生。
另外,當(dāng)發(fā)送主機(jī)和目的主機(jī)不在同一個(gè)局域網(wǎng)中時(shí),即便知道目的主機(jī)的MAC地址,兩者也不能直接通信,必須經(jīng)過(guò)路由轉(zhuǎn)發(fā)才可以。所以此時(shí),發(fā)送主機(jī)通過(guò)ARP協(xié)議獲得的將不是目的主機(jī)的真實(shí)MAC地址,而是一臺(tái)可以通往局域網(wǎng)外的路由器的某個(gè)端口的MAC地址。于是此后發(fā)送主機(jī)發(fā)往目的主機(jī)的所有幀,都將發(fā)往該路由器,通過(guò)它向外發(fā)送。這種情況稱為ARP代理(ARP Proxy)。
二、arp攻擊的原理
ARP攻擊就是通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙,能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞,攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目,造成網(wǎng)絡(luò)中斷或中間人攻擊。
ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中,局域網(wǎng)中若有一臺(tái)計(jì)算機(jī)感染ARP木馬,則感染該ARP木馬的系統(tǒng)將會(huì)試圖通過(guò)“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息,并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。
三、什么是ARP欺騙
在局域網(wǎng)中,黑客 經(jīng)過(guò)收到ARP Request廣播包,能夠偷聽到其它節(jié)點(diǎn)的 (IP, MAC) 地址, 黑客就偽裝為A,告訴B (受害者) 一個(gè)假地址,使得B在發(fā)送給A 的數(shù)據(jù)包都被黑客截取,而A, B 渾然不知。
四、arp的攻擊方式:
1、ip地址沖突
Arp病毒制造者制造出局域網(wǎng)上有另一臺(tái)主機(jī)與受害主機(jī)共享一個(gè)IP的假象。大量的攻擊數(shù)據(jù)包能令受害主機(jī)耗費(fèi)大量的系統(tǒng)資源。
?、賳尾バ偷腎P地址沖突
數(shù)據(jù)鏈路層記錄的目的物理地址為被攻擊主機(jī)的物理地址,這樣使得該arp數(shù)據(jù)包只能被受攻擊主機(jī)所接收,而不被局域網(wǎng)內(nèi)其他主機(jī)所接收,實(shí)現(xiàn)隱蔽式攻擊。
②廣播型的IP地址沖突
數(shù)據(jù)鏈路層記錄的目的物理地址為廣播地址,這樣使得局域網(wǎng)內(nèi)的所有主機(jī)都會(huì)接收到該arp數(shù)據(jù)包,雖然該arp數(shù)據(jù)包所記錄的目的IP地址不是受攻擊主機(jī)的IP地址,但是由于該arp數(shù)據(jù)包為廣播數(shù)據(jù)包,這樣受攻擊主機(jī)也會(huì)收到。
2、arp泛洪攻擊
攻擊主機(jī)持續(xù)把偽造的mac-ip映射對(duì)發(fā)給受害的主機(jī),對(duì)于局域網(wǎng)內(nèi)的所有主機(jī)和網(wǎng)管進(jìn)行廣播,搶占網(wǎng)絡(luò)帶寬和干擾正常通信。
3、arp掃描攻擊
Arp攻擊者向局域網(wǎng)發(fā)送arp請(qǐng)求,從而獲得正在運(yùn)行主機(jī)的IP和MAC地址的映射對(duì)。攻擊源通過(guò)對(duì)arp掃描獲得所要攻擊的IP和mac地址,從而為網(wǎng)絡(luò)監(jiān)聽、盜取用戶數(shù)據(jù),實(shí)現(xiàn)隱蔽式攻擊做準(zhǔn)備。
4、虛擬主機(jī)攻擊
黑客通過(guò)在網(wǎng)絡(luò)內(nèi)虛擬構(gòu)建網(wǎng)卡,將自己虛擬成網(wǎng)絡(luò)內(nèi)的一臺(tái)主機(jī),擁有虛擬的物理地址和IP地址。使得占用局域網(wǎng)內(nèi)的IP地址資源,使得正常運(yùn)行的主機(jī)會(huì)發(fā)生IP地址沖突,并且大量的虛擬主機(jī)攻擊會(huì)使得局域網(wǎng)內(nèi)的主機(jī)無(wú)法正常獲得IP地址。
5、ARP欺騙攻擊
目的是向目標(biāo)主機(jī)發(fā)送偽造的arp應(yīng)答,并使目標(biāo)主機(jī)接收應(yīng)答中的IP與MAC間的映射,并以此更新目標(biāo)主機(jī)緩存。從而影響鏈接暢通。其方式有:冒充主機(jī)欺騙網(wǎng)關(guān),原理是截獲網(wǎng)關(guān)數(shù)據(jù)和冒充網(wǎng)關(guān)欺騙主機(jī),原理是偽造網(wǎng)關(guān)。
五、arp攻擊防患措施
1、在客戶端靜態(tài)綁定IP地址和MAC地址
進(jìn)入命令行arp –a命令查看,獲取本機(jī)的網(wǎng)關(guān)IP地址和網(wǎng)關(guān)mac地址
編寫一個(gè)批處理內(nèi)容為:
@echo off
arp -d
arp –s 網(wǎng)關(guān)的IP地址 自己的mac地址
保存放置到開機(jī)啟動(dòng)項(xiàng)里
2、設(shè)置arp服務(wù)器
指定局域網(wǎng)內(nèi)部的一臺(tái)機(jī)器作為arp服務(wù)器,專門保存且維護(hù)可信范圍內(nèi)的所有主機(jī)的IP地址與mac地址的映射記錄。該服務(wù)器通過(guò)查閱自己的arp緩存的靜態(tài)記錄,并以被查詢主機(jī)的名義相應(yīng)局域網(wǎng)內(nèi)部的arp請(qǐng)求,同時(shí)設(shè)置局域網(wǎng)內(nèi)部其他主機(jī)只是用來(lái)自arp服務(wù)器的arp響應(yīng)。
3、交換機(jī)端口設(shè)置
通過(guò)劃分VLAN和交換機(jī)端口綁定,以圖防范ARP,也是常用的防范方法。做法是細(xì)致地劃分VLAN,減小廣播域的范圍,使ARP在小范圍內(nèi)起作用,而不至于發(fā)生大面積影響。同時(shí),一些網(wǎng)管交換機(jī)具有MAC地址學(xué)習(xí)的功能,學(xué)習(xí)完成后,再關(guān)閉這個(gè)功能,就可以把對(duì)應(yīng)的MAC和端口進(jìn)行綁定,避免了病毒利用ARP攻擊篡改自身地址。也就是說(shuō),把ARP攻擊中被截獲數(shù)據(jù)的風(fēng)險(xiǎn)解除了。這種方法確實(shí)能起到一定的作用。
不過(guò),VLAN和交換機(jī)端口綁定的問(wèn)題在于:
?、?zèng)]有對(duì)網(wǎng)關(guān)的任何保護(hù),不管如何細(xì)分VLAN,網(wǎng)關(guān)一旦被攻擊,照樣會(huì)造成全網(wǎng)上網(wǎng)的掉線和癱瘓。
②把每一臺(tái)電腦都牢牢地固定在一個(gè)交換機(jī)端口上,這種管理太死板了。這根本不適合移動(dòng)終端的使用,從辦公室到會(huì)議室,這臺(tái)電腦恐怕就無(wú)法上網(wǎng)了。在無(wú)線應(yīng)用下,又怎么辦呢?還是需要其他的辦法。
?、蹖?shí)施交換機(jī)端口綁定,必定要全部采用高級(jí)的網(wǎng)管交換機(jī)、三層交換機(jī),整個(gè)交換網(wǎng)絡(luò)的造價(jià)大大提高。
因?yàn)榻粨Q網(wǎng)絡(luò)本身就是無(wú)條件支持ARP操作的,就是它本身的漏洞 造成了ARP攻擊的可能,它上面的管理手段不是針對(duì)ARP的。因此,在現(xiàn)有的交換網(wǎng)絡(luò)上實(shí)施ARP防范措施,屬于以子之矛攻子之盾。而且操作維護(hù)復(fù)雜,基本上是個(gè)費(fèi)力不討好的事情。
4、ARP個(gè)人防火墻
在一些殺毒軟件中加入了ARP個(gè)人防火墻的功能,它是通過(guò)在終端電腦上對(duì)網(wǎng)關(guān)進(jìn)行綁定,保證不受網(wǎng)絡(luò)中假網(wǎng)關(guān)的影響,從而保護(hù)自身數(shù)據(jù)不被竊取的措施。ARP防火墻使用范圍很廣,有很多人以為有了防火墻,ARP攻擊就不構(gòu)成威脅了,其實(shí)完全不是那么回事。
ARP個(gè)人防火墻也有很大缺陷:
?、偎荒鼙WC綁定的網(wǎng)關(guān)一定是正確的。如果一個(gè)網(wǎng)絡(luò)中已經(jīng)發(fā)生了ARP欺騙,有人在偽造網(wǎng)關(guān),那么,ARP個(gè)人防火墻上來(lái)就會(huì)綁定這個(gè)錯(cuò)誤的網(wǎng)關(guān),這是具有極大風(fēng)險(xiǎn)的。即使配置中不默認(rèn)而發(fā)出提示,缺乏網(wǎng)絡(luò)知識(shí)的用戶恐怕也無(wú)所適從。
?、贏RP是網(wǎng)絡(luò)中的問(wèn)題,ARP既能偽造網(wǎng)關(guān),也能截獲數(shù)據(jù),是個(gè)“雙頭怪”。在個(gè)人終端上做ARP防范,而不管網(wǎng)關(guān)那端如何,這本身就不是一個(gè)完整的辦法。ARP個(gè)人防火墻起到的作用,就是防止自己的數(shù)據(jù)不會(huì)被盜取,而整個(gè)網(wǎng)絡(luò)的問(wèn)題,如掉線、卡滯等,ARP個(gè)人防火墻是無(wú)能為力的。
因此,ARP個(gè)人防火墻并沒(méi)有提供可靠的保證。最重要的是,它是跟網(wǎng)絡(luò)穩(wěn)定無(wú)關(guān)的措施,它是個(gè)人的,不是網(wǎng)絡(luò)的。
5、安裝監(jiān)聽軟件
可以安裝sniffer軟件,監(jiān)聽網(wǎng)絡(luò)中的arp包,由于ARP欺騙往往使用廣播形式傳播,即使在交換機(jī)環(huán)境下也明顯能監(jiān)聽到某PC端正在狂發(fā)arp包,可以定位到arp病毒源主機(jī)。
6、反欺騙
通過(guò)命令設(shè)置一個(gè)錯(cuò)誤的網(wǎng)關(guān)地址,反欺騙arp病毒,然后再添加一條靜態(tài)路由,設(shè)置正確的網(wǎng)關(guān)用于正常的網(wǎng)絡(luò)訪問(wèn)。
看過(guò)文章“arp攻擊與防范”的人還看了:
8.關(guān)于網(wǎng)絡(luò)安全與局域網(wǎng)ARP地址欺騙攻擊的介紹
10.ARP欺騙的原理是什么