网络ARP欺骗的类型与防范方法

  • 格式:docx
  • 大小:27.50 KB
  • 文档页数:1

ARP欺骗,是针对以太网地址解析协议(ARP)的一种攻击技术。

此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接,对局域网的安全性与稳定性有比较强的破坏力。

ARP概念
1.ARP欺骗原理:
黑客C经过收到A发出的ARP Request广播报文,能够偷听到A的 (IP, MAC) 地址, 黑客C就伪装为B,告诉A (受害者) 一个假MAC地址(这个假地址是C的MAC地址),使得A在发送给B的数据包都被黑客C截取,而A, B 浑然不知。

2.欺骗种类:
1、截获网关发出的数据。

欺骗源通过ARP报文通知网关一系列错误的内网MAC-IP地址关系,并按照一定的频率不断进行,使网关的ARP缓存表中不能保存正常的地址信息中,结果网关的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。

2、伪造网关
欺骗源把自己伪装成网关,向局域网内的主机发送ARP应答或免费ARP报文。

使得局域网内的主机误以为欺骗源的MAC是网关MAC地址。

使得原本流向网关的数据都被错误地发送到欺骗源。

3、伪造主机
欺骗源C把自己伪装成局域网内的另一台主机B,使得局域网内发往B的报文都流向了C。

伪造主机的过程与伪造网关类似。

3.防范技术:
1、在网关和主机上设备静态ARP表项,这样欺骗ARP报文携带的信息与静态表项不同,
会被忽略。

仅适合于小规模局域网,不适合于DHCP。

2、在交换机上限制每个端口的ARP表项数量。

端口上仅能够学习有限数量的ARP表项。

如果设置为1,则只允许一个ARP表项被学习,伪装的MAC地址就无法通过交换机。

对上述[欺骗种类1]比较有较。

3、与DHCP结合。

DHCP snooping的过程中,会建立DHCP表项,主机的的IP以及用户
MAC、VID、PORT、租约时间等信息组成用户记录表项,从而形成DHCP Snooping 的用户数据库。

DHCP可以很清楚地知道给哪个MAC分配了哪个IP。

交换机收到ARP报文时,将收到ARP报文的源IP、源MAC、端口号、VLAN ID信息同DHCP-Snooping数据库的用户信息进行匹配。

如果一致则认为合法ARP报文,按既有流程处理;否则视为非法ARP报文,丢弃处理。

4、在交换机端收集所有ARP报文信息,一但MAC和对应的IP有变动,发出警告。