当前位置:文档之家 › arp欺骗的原理及防范措施

arp欺骗的原理及防范措施

  • 格式:doc
  • 大小:25.00 KB
  • 文档页数:2

下载文档原格式

  / 2

合集下载

ARP欺骗攻击及其防御

ARP欺骗攻击及其防御
目录
1. 2. 3. 4. ARP定义 ARP攻击的原理 ARP攻击实例 ARP攻击的防范措施
ARP的定义
• ARP是地址转换协议的英文缩写,用于将计算机的网络地 址(32位的IP地址)转化为物理地址(48位的MAC地址) 属于链路层协议
而ARP攻击就是指黑客利用ARP协议缺陷 的基本原理,通过在区域内一台终端或服 务器上发布欺骗ARP广播包以达到进行盗 取用户帐号、篡改网站内容、嵌入恶意代 码、发布不良信息、监听传输数据等非法 活动的目的。

发广播包B 的MAC是 多少 C回答MAC CCCCCC

读取 ARP缓 存表
更 新 A 的 ARP缓存表
连接B
错误连接 CCCCCC
ARP攻击实例
• 系统环境:两台同一局域网的电脑 攻击电 脑使用工具Arp cheat and sniffer v2.1 并安 装WinPcap_4_1_2 (要做嗅探就要安装这 个软件) • 目标IP 10.132.245.72 网关 10.132.245.254 端口80
正常ARP查询流程
A连接B
ARP欺骗流程
A 连 接 B
需要知道 B 的的ARP 缓存表是 否有B的 MAC 是 读取ARP缓 存表

发广播包B 的MAC是 多少 B回答MAC bbbbb b 更 新 A 的 ARP缓存表
A的 ARP 缓存表是 否有B的 MAC
ARP欺骗攻击原理
• 每台主机的ARP表的更新是信任广播域内 所有机器的应答包,也就是在说在ARP协 议中,接受回应帧的主机无法验证应答包 的真伪。而是直接用应答包里的MAC地址 与IP地址替换掉ARP缓存表中原有的相应 信息 • 由于ARP 缓存表项是动态更新的,其生命 周期默认是两分钟 • 所以很容易进行欺骗的。

ARP欺骗原理分析与攻防实战演练PPT课件

ARP欺骗原理分析与攻防实战演练PPT课件
2.配置 (1)全局下配置启用dhcp snooping 并指定需要侦听的vlan ip dhcp snooping ip dhcp snooping vlan 1-3 (2)对与uplink上联端口或接dhcp服务器的接口上配置为信任端口 int f0/24 ip dhcp snooping trust (3)对于接dhcp客户端的pc的交换机端口上配置 int range f0/1-2 no ip dhcp snooping trust //缺省就是非信任端口 ip dhcp snooping limit rate 10 //10pps 最多每秒只收10个dhcp请求报问 (4)查看命令 show ip dhcp snooping binding 作用:为了防止ip地址欺骗,可配置在二层交换机的端口上过滤非法的ip地址
目录
ARP欺骗的危害 什么是ARP协议 ARP欺骗的原理 ARP攻防实战 ARP安全防范
第1页
ARP欺骗的危害
ARP欺骗可以造成内部网络的混乱,让某些被欺骗的计算机无法正常 访问内外网,让网关无法和客户端正常通信。实际上他的危害还不仅 仅如此,一般来说IP地址的冲突我们可以通过多种方法和手段来避免, 而ARP协议工作在更低层,隐蔽性更高。系统并不会判断ARP缓存的 正确与否,无法像IP地址冲突那样给出提示。而且很多黑客工具例如 网络剪刀手等,可以随时发送ARP欺骗数据包和ARP恢复数据包,这 样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制 网络中任何一台计算机的上网与否,甚至还可以直接对网关进行攻击, 让所有连接网络的计算机都无法正常上网。这点在以前是不可能的, 因为普通计算机没有管理权限来控制网关,而现在却成为可能,所以 说ARP欺骗的危害是巨大的,而且非常难对付,非法用户和恶意用户 可以随时发送ARP欺骗和恢复数据包,这样就增加了网络管理员查找 真凶的难度。那么难道就没有办法来阻止ARP欺骗问题的发生吗?

arp欺骗原理及过程

arp欺骗原理及过程

arp欺骗原理及过程ARP欺骗原理及过程ARP(Address Resolution Protocol)是一种用于将IP地址映射到MAC地址的协议。

在局域网中,每个设备都有一个唯一的MAC地址,而IP地址则由路由器分配。

当一个设备需要与另一个设备通信时,它需要知道目标设备的MAC地址才能发送数据包。

这时候就需要使用ARP协议来获取目标设备的MAC地址。

ARP欺骗是一种网络攻击方式,攻击者利用ARP协议的工作原理伪造网络中某个设备的MAC地址,使得其他设备将数据包发送到攻击者指定的目标设备上,从而实现窃取信息、中间人攻击等恶意行为。

1. ARP协议工作原理在局域网中,每个设备都有一个唯一的IP地址和MAC地址。

当一个设备需要与另一个设备通信时,它首先会查询本地缓存中是否已经记录了目标IP地址对应的MAC地址。

如果没有找到,则会发送一个ARP请求广播包到整个网络中。

ARP请求广播包包含以下信息:- 源IP地址:发出请求广播包的设备IP地址- 源MAC地址:发出请求广播包的设备MAC地址- 目标IP地址:要查询MAC地址对应的目标IP地址- 目标MAC地址:广播包中填充0当其他设备收到ARP请求广播包时,会检查其中的目标IP地址是否与自己的IP地址匹配。

如果匹配,则会向请求广播包的设备发送一个ARP响应包,其中包含自己的MAC地址。

ARP响应包包含以下信息:- 源IP地址:响应广播包的设备IP地址- 源MAC地址:响应广播包的设备MAC地址- 目标IP地址:发出请求广播包的设备IP地址- 目标MAC地址:发出请求广播包的设备MAC地址当发出请求广播包的设备收到ARP响应包时,就可以将目标IP地址对应的MAC地址记录在本地缓存中,并开始与目标设备进行通信。

2. ARP欺骗原理在局域网中,每个设备都可以发送ARP请求和ARP响应。

攻击者可以利用这一点发送伪造的ARP响应数据包,欺骗其他设备将数据发送到攻击者指定的目标设备上。

防范arp欺骗的方法

防范arp欺骗的方法

防范arp欺骗的方法ARP欺骗是一种常见的网络攻击手段,这种攻击手段利用了ARP协议的漏洞,将网络上的数据流重定向到攻击者的计算机上,从而实现窃取用户数据、嗅探网络流量甚至进行中间人攻击等目的。

为了防范ARP欺骗,我们可以采取一系列安全措施,包括以下几个方面:1. 使用未被攻击的网络通信方式可以采用虚拟专用网络(VPN)等方式来建立安全的网络通信,这样可以加密数据传输,防止数据被窃取。

此外,使用HTTPS 加密协议来保护网站通信,可以防止敏感信息泄漏。

2. 启用端口安全特性在交换机上启用端口安全特性,比如Cisco的接入控制列表(ACL)和端口安全(Port Security),这样可以限制单个端口的MAC地址数量,防止攻击者通过欺骗来插入非法设备。

3. 限制网络通信设备的物理访问将网络设备放置在安全可控的区域内,限制物理访问,同时使用物理安全设施(如监控摄像头、入侵报警系统等)来保护网络通信设备,防止攻击者通过物理方式攻击。

4. 定期更新系统和应用程序及时安装最新的操作系统和应用程序的安全补丁,这样可以修复已知的安全漏洞,有效降低被攻击的风险。

5. 配置安全策略在网络设备上配置安全策略,比如只允许特定MAC地址访问网络设备,禁止未授权的MAC地址通信等,这样可以防止欺骗攻击者绕过网络访问控制。

6. 使用网络入侵检测系统(NIDS)通过部署NIDS,可以对网络通信进行实时监控和分析,及时发现和阻止ARP欺骗攻击。

NIDS可以根据已知的攻击签名或异常行为检测到这类攻击,从而采取相应的防御措施。

7. 使用安全防火墙配置安全防火墙来监测和控制网络上的通信流量,防止ARP欺骗攻击,同时也能够通过网络地址转换(NAT)技术隐藏内部网络的真实IP地址,增加攻击者攻击的难度。

8. 启用ARP防火墙有些网络设备上有ARP防火墙的功能,可以根据设备的IP地址、MAC地址等信息,进行动态的ARP绑定,并设置有效期,有效防止ARP欺骗。

arp欺骗攻击原理

arp欺骗攻击原理

arp欺骗攻击原理ARP欺骗攻击原理一、引言随着网络技术的发展,互联网已经成为人们日常生活中不可或缺的一部分。

然而,网络安全问题也随之而来。

其中一种常见的网络攻击方式就是ARP欺骗攻击。

ARP(Address Resolution Protocol)是一种用于将IP地址解析为MAC地址的协议,而ARP欺骗攻击则是指攻击者通过伪造或修改ARP响应包来篡改目标设备的ARP 缓存表,从而实现网络攻击的目的。

二、ARP欺骗攻击的原理ARP欺骗攻击利用了ARP协议的工作原理漏洞,通过发送伪造的ARP响应包来欺骗目标设备。

其攻击原理主要包括以下几个步骤:1. ARP协议工作原理在进行ARP欺骗攻击之前,我们首先需要了解ARP协议的工作原理。

当主机A需要向主机B发送数据时,它首先会查询自己的ARP 缓存表,查找目标主机B的MAC地址。

如果ARP缓存表中没有目标主机B的MAC地址,主机A就会广播一个ARP请求包,询问局域网中是否有主机B的MAC地址。

其他主机接收到该ARP请求包后,会检查自己的ARP缓存表,如果有主机B的MAC地址,则会发送一个ARP响应包给主机A,告诉它目标主机B的MAC地址。

主机A收到ARP响应包后,就可以将数据发送给主机B。

2. 伪造ARP响应包在ARP欺骗攻击中,攻击者会发送伪造的ARP响应包给目标设备,篡改目标设备的ARP缓存表。

攻击者会将自己的MAC地址伪装成目标设备的MAC地址,并发送给目标设备,告诉它自己的IP地址是目标设备的IP地址。

目标设备收到伪造的ARP响应包后,会将攻击者的MAC地址与目标设备的IP地址绑定在一起,从而实现攻击者对目标设备的控制。

3. 中间人攻击一旦攻击者成功进行ARP欺骗攻击,它就可以成为网络中的中间人,截取目标设备与其他设备之间的通信数据。

攻击者可以将截取到的数据进行篡改或窃取,还可以伪装成目标设备与其他设备进行通信,从而达到窃取信息或进行其他恶意行为的目的。

ARP欺骗攻击原理及防御策略

ARP欺骗攻击原理及防御策略

ARP欺骗攻击原理及防御策略ARP(Address Resolution Protocol)欺骗攻击是一种利用ARP协议漏洞来冒充网络中台设备的MAC地址的攻击方式。

攻击者通过发送伪造的ARP响应包,将目标设备的IP地址与攻击者的MAC地址进行绑定,从而达到攻击的目的。

攻击原理:ARP协议是用于将IP地址解析为MAC地址的协议,其工作原理为:当主机A需要与主机B通信时,会先检查自己的ARP缓存表,查看是否有主机B的IP地址对应的MAC地址,若有,则直接发送数据包给主机B;若没有,则通过广播ARP请求包的方式询问网络中其他主机,寻找主机B 的MAC地址。

主机B收到ARP请求包后,会返回一个包含其IP地址和MAC地址的ARP响应包,主机A会将主机B的IP地址与MAC地址绑定,然后发送数据包给主机B。

ARP欺骗攻击利用了这个过程中的不安全性,攻击者可以发送伪造的ARP响应包来伪装自己的MAC地址,将目标设备的IP地址与自己的MAC 地址进行绑定,从而实现攻击。

攻击者可以在中间人位置上监视、修改或阻断通信流量,从而进行各种攻击,如中间人攻击、数据篡改、数据丢失等。

防御策略:为了防止ARP欺骗攻击,可以采取以下一些策略:1.静态ARP绑定:将网络中的设备的IP地址与MAC地址进行手动绑定,使得ARP欺骗攻击者无法通过发送伪造的ARP响应包来进行攻击。

这种方法适用于小型局域网,但对于大型网络来说管理起来不太方便。

2. ARP检测工具:使用ARP检测工具可以实时监测网络中的ARP请求和响应包,检测是否存在伪造的ARP包,及时发现潜在的ARP欺骗攻击。

常用的ARP检测工具包括Arpwatch、Cain & Abel等。

3.使用静态路由表:在网络设备上手动配置静态路由表,指定目标设备的MAC地址,避免使用ARP协议来解析MAC地址。

静态路由表可以防止ARP欺骗攻击者修改路由信息,而无需依赖ARP协议来解析MAC地址。

防范arp欺骗攻击的主要方法有

防范arp欺骗攻击的主要方法有
防范ARP欺骗攻击的主要方法包括:
1. 配置静态ARP表:在网络设备上配置静态ARP表,将每个IP地址与相应的MAC地址绑定起来,防止ARP欺骗攻击者伪造IP地址和MAC地址。

2. 使用ARP防火墙:部署ARP防火墙来监控和检测网络中的ARP流量,及时发现并阻止异常ARP请求和响应。

3. 使用ARP安全协议:使用ARP安全协议,如ARP安全(ARP Sec)、静态ARP检测(Static ARP Inspection)等,对网络中的ARP请求和响应进行验证和保护。

4. 实施网络隔离:将网络划分为多个虚拟局域网(VLAN),并在不同的VLAN 间限制通信,以防止ARP欺骗攻击跨越不同的网络进行。

5. 启用端口安全特性:在交换机上启用端口安全特性,限制每个接口上连接的最大MAC地址数量,防止攻击者通过连接多个设备进行ARP欺骗。

6. 使用加密和身份验证机制:使用加密协议和身份验证机制,如IPsec、SSL、802.1X等,在网络中传输的数据进行加密和身份验证,防止ARP欺骗攻击者窃取或篡改数据。

7. 监控和检测:定期监控和检测网络中的ARP流量和异常行为,及时发现并采取相应的应对措施。

8. 进行安全教育和培训:加强对用户和员工的安全意识培养,教育他们识别和避免ARP欺骗攻击,并提供相关的安全操作指导和培训。

ARP欺骗攻击分析及防范措施

ARP欺骗攻击分析及防范措施ARP欺骗攻击(Address Resolution Protocol Spoofing Attack),也称为ARP缓存中毒攻击,是一种常见的网络攻击手段。

攻击者通过伪造ARP响应报文,将目标主机的IP地址与自己的MAC地址进行绑定,从而达到劫持网络流量、盗取敏感信息或进行中间人攻击等恶意目的。

本文将对ARP欺骗攻击进行分析,并提出相应的防范措施。

一、攻击原理分析1.ARP协议简介ARP(Address Resolution Protocol)是将IP地址与MAC地址进行匹配的协议,通过在局域网中的广播方式,发送ARP请求报文,等待目标主机响应,以获取目标主机的MAC地址。

目标主机接收到ARP请求后,会将自己的MAC地址发送给请求方,请求方在收到响应后将目标主机的IP地址与MAC地址进行绑定,并将其存储在自己的ARP缓存表中。

2.攻击原理在ARP欺骗攻击中,攻击者通过发送伪造的ARP响应报文,将目标主机的IP地址与自己的MAC地址进行绑定。

当目标主机收到该伪造的ARP响应报文后,会将攻击者的MAC地址存储到自己的ARP缓存表中。

然后,当其他主机需要与目标主机进行通信时,会将数据包发送给攻击者的MAC地址,攻击者可以拦截和篡改这些数据包,导致网络流量被劫持。

二、攻击过程分析1.发送ARP请求攻击者首先发送ARP请求报文,向网络中的所有主机请求目标主机的MAC地址。

这是一个广播的过程,所有主机都会收到该ARP请求报文。

2.伪造ARP响应目标主机收到ARP请求后,会根据请求方的IP地址将自己的MAC地址发送给请求方。

攻击者利用这个过程,伪造一个ARP响应报文,并将报文中的目标IP地址设为请求主机的IP地址,源MAC地址设为自己的MAC 地址。

3.欺骗目标主机目标主机收到伪造的ARP响应报文后,会将其中的目标IP地址与MA 地址进行绑定,并将其存储在ARP缓存表中。

此时,目标主机认为攻击者的MAC地址就是目标主机的MAC地址。

ARP攻击原理与防御措施

ARP攻击原理与防御措施一、ARP攻击原理ARP(Address Resolution Protocol)地址解析协议,是一种用于将IP地址解析为MAC 地址的协议。

在局域网中,当一台主机想要与另一台主机通信时,首先需要获取目标主机的MAC地址,以便将数据包发送给目标主机。

为了实现IP地址和MAC地址的映射,主机会使用ARP协议来请求目标主机的MAC地址,然后将映射关系储存在ARP缓存中,以便后续通信时使用。

ARP攻击利用了ARP协议的工作原理,攻击者发送虚假的ARP响应报文,告诉网络中的其他主机自己是目标主机的MAC地址,从而导致网络中的其他主机将数据包发送给攻击者。

ARP攻击可以被用于中间人攻击、数据包劫持或者拒绝服务攻击等恶意行为。

二、ARP攻击的类型1. ARP欺骗(ARP spoofing):攻击者发送虚假的ARP响应报文,告诉其他主机自己是目标主机的MAC地址,从而获取目标主机的数据包。

2. ARP洪泛(ARP flooding):攻击者向网络中广播大量虚假的ARP请求或响应报文,造成网络设备的ARP缓存溢出,导致通信故障或网络拥堵。

3. ARP缓存中毒(ARP cache poisoning):攻击者向目标主机发送虚假的ARP响应报文,将目标主机的ARP缓存中的IP地址与MAC地址的映射关系修改为攻击者所控制的地址,使得目标主机发送的数据包被重定向到攻击者的设备。

三、ARP攻击的危害1. 中间人攻击:攻击者可以窃取通信双方的数据或者篡改通信内容,从而达到窃取信息的目的。

2. 数据包劫持:攻击者可以拦截通信双方的数据包,获取敏感信息或者篡改数据包内容。

3. 拒绝服务攻击:攻击者通过ARP洪泛攻击,导致网络中的设备无法正常通信,从而瘫痪网络服务。

四、ARP攻击防御措施1. 使用静态ARP绑定:管理员可以手动指定局域网中各个主机的IP地址与MAC地址的映射关系,并将此映射关系添加到网络设备的ARP缓存中,以防止攻击者发送虚假的ARP响应报文。

描述arp欺骗的原理及过程 -回复

描述arp欺骗的原理及过程-回复ARP欺骗(Address Resolution Protocol spoofing)是一种网络攻击技术,攻击者通过伪造或欺骗目标网络设备的ARP信息,实现对通信进行窃听、篡改和伪装等恶意操作。

本文将详细介绍ARP欺骗的原理及过程。

一、ARP协议的基本原理在深入了解ARP欺骗之前,我们先来了解一下ARP协议的基本原理。

ARP (地址解析协议)是一种用于解析IP地址与MAC地址之间关系的协议。

在TCP/IP网络中,数据在发送时使用的是IP地址,而以太网(Ethernet)则使用MAC地址进行寻址。

ARP协议的作用就是通过查询网络上的其他设备,获取指定IP地址对应的MAC地址,从而实现数据包的转发。

ARP协议的工作方式如下:1. 当源主机要发送数据包给目标主机时,首先检查本地的ARP缓存表(ARP cache),看目标主机的MAC地址是否已经缓存。

2. 如果ARP缓存表中不存在目标主机的MAC地址,源主机会发送一个ARP请求广播,询问其他主机谁知道目标主机的MAC地址。

3. 目标主机收到ARP请求后,会发送一个ARP响应,包含自己的MAC 地址。

4. 源主机收到ARP响应后,将目标主机的IP地址和对应的MAC地址存入ARP缓存表,并将数据包发送给目标主机。

二、ARP欺骗原理ARP欺骗就是攻击者利用ARP协议的工作原理,欺骗目标主机获取其MAC地址,从而干扰或中断正常的通信。

实现ARP欺骗的关键是通过伪造ARP响应,将攻击者自己的MAC地址告诉目标主机,使其将数据包发送给攻击者。

这样,攻击者就可以窃听、篡改或伪装网络通信。

ARP欺骗的主要类型包括:1. ARP请求响应欺骗:攻击者伪造一个含有目标主机IP地址和另一个MAC地址的ARP响应,发送给本地网络中的其他主机,使其错误地认为目标主机的MAC地址是伪造的MAC地址。

这样,其他主机发送的数据包将会被错误地发送给攻击者。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

arp欺骗的原理及防范措施
一、理论前提
本着“不冤枉好人,不放过一个坏人的原则”,先说说我的一些想法和理论
依据。首先,肯定发送ARP欺骗包肯定是一个恶毒的程序自动发送的,正常的
TCP/IP网络是不会有这样的错误包发送的。这就假设,如果犯罪嫌疑人没有启
动这个破坏程序的时候,网络环境是正常的,或者说网络的arp环境是正常的,
如果我们能在犯罪嫌疑人启动这个犯罪程序的第一时间,一开始就发现了他的犯
罪活动,那么就是人赃俱在,不可抵赖了,因为刚才提到,前面网络正常的时候
证据是可信和可依靠的。好,接下来我们谈论如何在第一时间发现他的犯罪活动。
arp欺骗的原理如下:
假设这样一个网络,一个Hub接了3台机器
HostA HostB HostC 其中
A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC
正常情况下 C:\arp -a
Interface: 192.168.10.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.10.3 CC-CC-CC-CC-CC-CC dynamic
现在假设HostB开始了罪恶的arp欺骗:
B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地
址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC
地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP
应答,就会更新本地的arp缓存(A可不知道被伪造了)。而且A不知道其实是
从B发送过来的,A这里只有192.168.10.3(C的IP地址)和无效的
DD-DD-DD-DD-DD-DD mac地址,没有和犯罪分子B相关的证据,这样犯罪分子岂
不乐死了。
现在A机器的arp缓存更新了:
C:\>arp -a
Interface: 192.168.10.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.10.3 DD-DD-DD-DD-DD-DD dynamic
这可不是小事。局域网的网络流通可不是根据IP地址进行,而是按照MAC
地址进行传输。现在192.168.10.3的MAC地址在A上被改变成一个本不存在的
MAC地址。现在A开始Ping 192.168.10.3,网卡递交的MAC地址是
DD-DD-DD-DD-DD-DD,结果是什么呢?网络不通,A根本不能Ping通C!!
所以,局域网中一台机器,反复向其他机器,特别是向网关,发送这样无效
假冒的arp应答信息包,NND,严重的网络堵塞就开始了!管理员的噩梦开始。
我的目标和任务,就是第一时间,抓住他。不过从刚才的表述好像犯罪分子完美
的利用了以太网的缺陷,掩盖了自己的罪行。但其实,以上方法也有留下了蛛丝
马迹。尽管,ARP数据包没有留下HostB的地址,但是,承载这个ARP包的ethernet
帧却包含了HostB的源地址。而且,正常情况下ethernet数据帧中,帧头中的
MAC源地址/目标地址应该和帧数据包中ARP信息配对,这样的ARP包才算是正
确的。如果不正确,肯定是假冒的包,可以提醒!但如果匹配的话,也不一定代
表正确,说不定伪造者也考虑到了这一步,而伪造出符合格式要求,但内容假冒
的ARP数据包。不过这样也没关系,只要网关这里拥有本网段所有MAC地址的网
卡数据库,如果和Mac数据库中数据不匹配也是假冒的arp数据包。也能提醒犯
罪分子动手了。[nextpage]
二、防范措施
1. 建立DHCP服务器(建议建在网关上,因为DHCP不占用多少CPU,而且arp
欺骗攻击一般总是先攻击网关,我们就是要让他先攻击网关,因为网关这里有监
控程序的,网关地址建议选择192.168.10.2 ,把192.168.10.1留空,如果犯
罪程序愚蠢的话让他去攻击空地址吧),另外所有客户机的IP地址及其相关主机
信息,只能由网关这里取得,网关这里开通DHCP服务,但是要给每个网卡,绑
定固定唯一IP地址(现在我们用的是动态IP)。一定要保持网内的机器IP/MAC
一一对应的关系。这样客户机虽然是DHCP取地址,但每次开机的IP地址都是一
样的。不过动态地址也同样会被临时记录。
2. 建立MAC数据库,把网内所有网卡的MAC地址记录下来,每个MAC和IP、
地理位置统统装入数据库,以便及时查询备案。
3. 网关机器关闭ARP动态刷新的过程,使用静态路邮,这样的话,即使犯
罪嫌疑人使用arp欺骗攻击网关的话,这样对网关也是没有用的,确保主机安全。
网关建立静态IP/MAC捆绑的方法是:建立/etc/ethers文件,其中包含正
确的IP/MAC对应关系,格式如下:
192.168.2.32 08:00:4E:B0:24:47
然后再/etc/rc.d/rc.local最后添加:
arp -f 生效即可
4. 网关监听网络安全。网关上面使用TCPDUMP程序截取每个ARP程序包,
弄一个脚本分析软件分析这些ARP协议。ARP欺骗攻击的包一般有以下两个特点,
满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP
数据包的协议地址不匹配。或者,arp数据包的发送和目标地址不在自己网络网
卡MAC数据库内,或者与自己网络MAC数据库 MAC/IP 不匹配。这些统统第一时
间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道
那台机器在发起攻击了。
5. 不经意的走到那台机器,看看使用人是否故意,还是被人放了什么木马
程序陷害的。如果后者,不声不响的找个借口支开他,拔掉网线(不关机,特别要
看看WinXP里的计划任务),看看机器的当前使用记录和运行情况,确定是否是
在攻击。