下载文档原格式
ARP攻击的实现和分析ARP(Address Resolution Protocol)攻击是一种通过伪造网络中的ARP数据包来欺骗目标主机的攻击手段。
它可以用于进行网络欺骗、劫持、中间人攻击等恶意行为。
本文将详细介绍ARP攻击的实现和分析。
实现ARP攻击的基本步骤如下:1. 扫描目标网络:攻击者需要先扫描目标网络,获取目标IP地址和MAC地址的映射关系。
可以使用一些扫描工具如nmap、arp-scan等来完成这一步骤。
2.发送伪造的ARP请求:攻击者向目标主机发送伪造的ARP请求,请求的目标IP地址是攻击者想要劫持的IP地址,源MAC地址则是攻击者自己的MAC地址。
这样,目标主机会误认为攻击者的MAC地址是与目标IP地址对应的正常MAC地址。
3.伪造的ARP响应:当目标主机收到攻击者发送的ARP请求后,它会向请求的源IP地址发送ARP响应,包含它自己的MAC地址。
攻击者则会截获这个响应,并修改其内容,将响应的源MAC地址改成攻击者的MAC地址。
4.更新ARP缓存:目标主机在接收到伪造的ARP响应后,会将这个伪造的MAC地址和目标IP地址的映射关系写入它的ARP缓存表。
从此以后,目标主机会将所有发送给该IP地址的数据包都转发到攻击者的MAC地址上。
5.进行中间人攻击:攻击者成功劫持目标主机和其他主机之间的通信后,可以对数据包进行拦截、篡改、注入等操作,实现中间人攻击的目的。
分析ARP攻击的特点如下:1.伪装性强:ARP攻击利用ARP协议的特性,伪造网络中的ARP请求和响应,使得攻击者能够欺骗目标主机,成功获取对方的网络通信权。
2.易于实施:ARP攻击无需利用复杂的漏洞,只需要发送伪造的ARP报文即可,因此实施起来相对容易。
而且,现代操作系统默认是信任本地网络的,容易受到ARP攻击。
3.无需身份认证:ARP协议本身不包含任何身份验证机制,因此攻击者可以轻松地发送伪造的ARP请求和响应,而不需要进行任何身份验证。
arp欺骗实验报告
ARP欺骗实验报告
在网络安全领域,ARP欺骗是一种常见的攻击手段,用于窃取网络通信数据或
者对网络进行破坏。
为了更好地了解ARP欺骗的原理和危害,我们进行了一系
列的ARP欺骗实验。
实验一:ARP欺骗原理
首先,我们对ARP协议进行了深入的研究,了解了ARP欺骗的原理。
ARP协议是用于将IP地址映射到MAC地址的协议,而ARP欺骗则是指攻击者发送虚假
的ARP响应,欺骗目标主机将其通信数据发送到攻击者的机器上,从而实现窃
取数据或者中间人攻击的目的。
实验二:ARP欺骗的危害
在实验中,我们模拟了一次ARP欺骗攻击,并观察了其对网络的影响。
我们发现,一旦发生ARP欺骗,目标主机会将其通信数据发送到攻击者的机器上,导
致数据泄露和网络通信的混乱。
此外,ARP欺骗还可能导致网络中断或者恶意
软件的传播,给网络安全带来严重的威胁。
实验三:防范ARP欺骗的方法
为了防范ARP欺骗攻击,我们测试了一些常见的防御方法,包括静态ARP绑定、ARP监控和网络流量分析等。
我们发现,这些方法可以有效地防止ARP欺骗攻击,保护网络通信的安全和稳定。
总结:ARP欺骗是一种常见的网络攻击手段,具有严重的危害。
通过本次实验,我们更加深入地了解了ARP欺骗的原理和危害,以及防范ARP欺骗的方法,为网络安全的保护提供了重要的参考和指导。
希望我们的实验报告能够对网络安
全研究和实践提供有益的启示。
简述arp欺骗攻击的原理和防范对策ARP(Address Resolution Protocol)欺骗攻击是一种网络攻击技术,它利用ARP协议的特性进行欺骗、中间人攻击或局域网内的ARP 缓存中毒。
攻击者发送虚假的ARP响应消息来欺骗其他网络设备,使其将流量发送给攻击者,从而实现对网络通信的窃听、修改或阻断。
ARP协议是将IP地址映射到物理MAC地址的协议,通过向局域网中广播ARP请求,获取目标IP地址对应的MAC地址。
正常情况下,ARP请求是一个广播消息,网络上所有的设备都能收到该消息并回应自己的MAC地址。
然而,攻击者可以发送伪造的ARP响应消息,将自己的MAC地址伪装成目标的MAC地址。
这样,其他网络设备在收到欺骗者的ARP响应后,会将网络流量发送到欺骗者的MAC地址,从而攻击者就可以进行中间人攻击。
ARP欺骗攻击的原理主要包括以下几个步骤:广播欺骗请求、单播响应欺骗响应、IP间隔设备攻击、流量截获及篡改。
防范ARP欺骗攻击需要采取多层次的安全措施,包括物理层安全、网络设备安全和安全策略的制定。
一、物理层安全防范1.硬件设备安全:保证网络设备的物理安全,避免被攻击者直接接触或篡改网络设备。
2.网线加密:使用数字加密技术或物理加密设备,对通信网络中的网线进行加密处理,避免ARP欺骗攻击者通过在网线上截获数据。
3. MAC地址绑定:通过网络硬件设备的管理接口,将MAC地址与设备绑定,限制非法设备访问网络,避免ARP欺骗攻击者伪造MAC地址来进行攻击。
二、网络设备防范1.安全认证机制:为网络设备设置访问口令或使用其他身份验证方法,只允许授权设备进行网络操作,避免非法设备接入网络。
2. MAC地址过滤:设置ACL(Access Control List)策略,限制网络中不合法的MAC地址出现,只允许合法设备进行通信。
3. ARP缓存绑定:为网络设备的ARP缓存表添加绑定条目,将IP 地址与MAC地址进行绑定,确保只有指定的MAC地址可以响应对应的IP地址。
arp欺骗的解决方案1.引言1.1 概述ARP欺骗是一种常见的网络攻击手段,攻击者利用ARP协议的漏洞,通过发送虚假的ARP响应帧来篡改目标主机的ARP缓存表,从而达到欺骗目标主机的目的。
这种攻击会给网络带来严重的安全风险,可能导致数据泄露、网络崩溃甚至入侵。
本文旨在探讨ARP欺骗的解决方案,以帮助用户更好地应对网络攻击。
文章将介绍两种主要的解决方案:使用静态ARP表和使用ARP防火墙。
这两种方案不仅可以帮助用户有效应对ARP欺骗攻击,还能提升网络的安全性和稳定性。
在介绍解决方案之前,我们先对ARP欺骗的原理和危害进行了解和分析。
通过深入理解ARP欺骗攻击的原理,我们能更好地认识到这种攻击对网络安全造成的威胁,进而更好地理解解决方案的重要性和必要性。
接下来,我们将详细介绍解决方案一:使用静态ARP表。
通过使用静态ARP表,用户可以手动将IP地址和MAC地址的映射关系设置为固定值,有效地防止ARP欺骗攻击。
我们将介绍如何正确配置和管理静态ARP 表,并探讨其优势和劣势。
然后,我们将讨论解决方案二:使用ARP防火墙。
ARP防火墙是一种软件或硬件设备,通过监测和过滤网络中的ARP请求和响应,可以检测和阻止恶意ARP欺骗行为。
我们将介绍ARP防火墙的原理和配置方法,以及其在网络安全方面的优势和不足之处。
最后,我们将对本文进行总结,并对所介绍的解决方案进行评价。
我们将从安全性、实用性和成本等方面对这两种解决方案进行评估,以帮助读者全面了解和选择适合自身需求的解决方案。
通过本文的阅读,读者将能够了解ARP欺骗攻击的危害,掌握两种常见的解决方案,并能根据自身的实际情况和需求选择适合的解决方案,提升网络的安全性和稳定性。
1.2 文章结构文章结构部分的内容可以描述文章的整体框架和组织方式,以及各部分的主要内容和目标。
具体内容可以参考以下示例:文章结构:本文主要分为以下几个部分:引言、正文和结论。
引言部分:在引言部分,我们将首先概述ARP欺骗的背景和现状,介绍该问题对计算机网络和信息安全的危害。
ARP欺骗攻击分析及防范措施ARP欺骗攻击(Address Resolution Protocol Spoofing Attack),也称为ARP缓存中毒攻击,是一种常见的网络攻击手段。
攻击者通过伪造ARP响应报文,将目标主机的IP地址与自己的MAC地址进行绑定,从而达到劫持网络流量、盗取敏感信息或进行中间人攻击等恶意目的。
本文将对ARP欺骗攻击进行分析,并提出相应的防范措施。
一、攻击原理分析1.ARP协议简介ARP(Address Resolution Protocol)是将IP地址与MAC地址进行匹配的协议,通过在局域网中的广播方式,发送ARP请求报文,等待目标主机响应,以获取目标主机的MAC地址。
目标主机接收到ARP请求后,会将自己的MAC地址发送给请求方,请求方在收到响应后将目标主机的IP地址与MAC地址进行绑定,并将其存储在自己的ARP缓存表中。
2.攻击原理在ARP欺骗攻击中,攻击者通过发送伪造的ARP响应报文,将目标主机的IP地址与自己的MAC地址进行绑定。
当目标主机收到该伪造的ARP响应报文后,会将攻击者的MAC地址存储到自己的ARP缓存表中。
然后,当其他主机需要与目标主机进行通信时,会将数据包发送给攻击者的MAC地址,攻击者可以拦截和篡改这些数据包,导致网络流量被劫持。
二、攻击过程分析1.发送ARP请求攻击者首先发送ARP请求报文,向网络中的所有主机请求目标主机的MAC地址。
这是一个广播的过程,所有主机都会收到该ARP请求报文。
2.伪造ARP响应目标主机收到ARP请求后,会根据请求方的IP地址将自己的MAC地址发送给请求方。
攻击者利用这个过程,伪造一个ARP响应报文,并将报文中的目标IP地址设为请求主机的IP地址,源MAC地址设为自己的MAC 地址。
3.欺骗目标主机目标主机收到伪造的ARP响应报文后,会将其中的目标IP地址与MA 地址进行绑定,并将其存储在ARP缓存表中。
此时,目标主机认为攻击者的MAC地址就是目标主机的MAC地址。
ARP欺骗防范与追踪详解什么是ARP欺骗?ARP(地址解析协议)欺骗是一种网络攻击技术,攻击者通过发送ARP欺骗包来篡改网络中主机的ARP缓存表,从而实现网络流量的劫持或监听。
ARP欺骗攻击常见于局域网环境中,特别是在没有额外安全控制措施的公共Wi-Fi网络中。
在正常的网络通信过程中,ARP协议负责将IP地址转换为MAC地址。
当主机A需要与主机B通信时,它会向网络中广播一个ARP请求包,请求B的IP对应的MAC地址。
B收到此请求后,会将自己的MAC地址发送回给A,然后A将此MAC地址保存在ARP缓存表中,以便以后与B通信时快速查找。
然而,ARP欺骗攻击者利用ARP协议的工作原理,发送伪造的ARP响应包给主机A,告诉它自己的MAC地址就是B的MAC地址。
一旦主机A接受了这个虚假的ARP响应包并将其保存在ARP缓存表中,它将发送的所有流量都会被发送到攻击者的主机上,从而造成网络流量泄露或劫持。
ARP欺骗的危害ARP欺骗攻击对网络安全造成了严重的威胁,具体危害如下:1. 数据泄露与劫持通过ARP欺骗攻击,攻击者可以拦截网络中的通信流量,获取敏感信息,例如账号密码、信用卡号等。
攻击者还可以修改或篡改流经其主机的数据包,从而导致数据的篡改和劫持。
2. 中间人攻击ARP欺骗攻击可以使攻击者成为网络通信的中间人。
攻击者可以对通信进行特定操作,如修改通信内容、插入恶意代码等,而双方都不会察觉到。
3. 拒绝服务攻击通过ARP欺骗攻击,攻击者可以使网络中的主机无法正常通信。
攻击者可以发送大量的伪造ARP响应包,导致网络中的主机无法正确解析IP地址与MAC地址的映射关系,从而导致无法正常通信。
ARP欺骗的防范方法为了防止ARP欺骗攻击,我们可以采取以下防范措施:1. 使用静态ARP缓存表静态ARP缓存表将IP地址与MAC地址的映射手动添加到主机的ARP缓存表中。
这样,即使收到伪造的ARP响应包,主机也会用手动添加的映射关系覆盖掉伪造的映射关系。
ARP攻击的实现和分析首先,我们来看一下ARP攻击的原理。
ARP协议用于将IP地址转换为MAC地址,以便在网络中进行通信。
在正常情况下,当一个设备需要与网络中的另一个设备通信时,它会向网络中广播一个ARP请求,询问目标设备的MAC地址。
目标设备收到此请求后,会向发送设备回复一个ARP应答,其中包含了自己的MAC地址。
发送设备收到ARP应答后,会将目标设备的IP地址与其MAC地址绑定,并将此绑定关系存储在本地的ARP缓存中。
而ARP攻击则是通过伪造ARP请求和应答来欺骗网络设备,使其将通信的目标设备与攻击者的MAC地址绑定。
一旦攻击成功,攻击者就可以中间截取通信数据、劫持通信流量,甚至进行数据篡改和监听等恶意行为。
下面是ARP攻击的实现和分析,包括攻击步骤和攻击效果:1.攻击步骤:(1) 攻击者使用ARP欺骗工具伪造一个ARP请求或应答。
这个欺骗工具常用的有arpspoof、ettercap等。
(2)攻击者向网络中广播ARP请求,询问目标设备的MAC地址。
这个ARP请求的发送IP地址通常为攻击者自己的IP地址。
(3)目标设备收到ARP请求后,会将其ARP缓存中与该IP地址相对应的MAC地址更新为ARP请求中的MAC地址。
(4)攻击者收到目标设备的ARP应答后,将其中的目标设备的IP地址与自己的MAC地址绑定,并将这个欺骗的ARP应答发送给源设备。
(5)源设备接收到欺骗的ARP应答后,将目标设备的IP地址与攻击者的MAC地址绑定。
2.攻击效果:(1)中间人攻击:攻击者成功伪造了ARP请求和应答后,就可以将通信的目标设备与自己的MAC地址绑定。
这样,攻击者就成为了通信的中间人,可以截取通信数据、修改通信内容或进行流量劫持。
(2)数据丢失和泄露:通过ARP攻击,攻击者可以截取通信数据,造成数据丢失和信息泄露的风险。
(3)服务中断:如果攻击者将目标设备的IP地址与不存在的MAC地址绑定,就会导致目标设备无法正常进行网络通信,从而造成服务中断的影响。
校园网ARP欺骗攻击分析及解决办法ARP攻击是当前校园网遇到的一个非常典型的安全威胁,受到ARP攻击后轻者会出现大面积间歇性掉线,重者还会窃取各类用户密码,如QQ密码、网络游戏密码、网上银行账号等。
作为一名学校的网管员,笔者在与多起ARP欺骗攻击的的斗争过程中,对如何在校园网内及时发现、防范查杀攻击源的具体处理上积累了一定的心得,现作一整理,供兄弟学校的各网管员们参考借鉴。
1、与APR病毒有关的几个概念1.1:IP地址在网络中,为了区别每台计算机,我们给每一台计算机都配置一个号码,这个号码我们就将它叫做IP地址,有了这个IP地址我们在利用网络进行上网、传递文件,进行局域网聊天时才不会将发送给A计算机的信息错发到其它的计算机上。
IP地址采用十进制数字表示,如192.168.0.25。
1.2、MAC地址:MAC地址也叫物理地址,它相当于我们身份证,是全球唯一的。
当计算机的IP地址发生变化时,MAC地址也能帮助我们在庞大的计算机网络中找到自己需要的计算机。
MAC地址通常表示为12个16进制数,每2个16进制数之间用冒号隔开,如:00:0F:E2:70:70:BC。
在XP系统环境下本机的IP与MAC地址信息我们可以执行IPCONFIG /ALL命令进行查询(如图1)。
1.3、ARP地址解析协议从上面可知,在计算机网络中,如果仅依靠IP地址去传递信息是要发生错误的,因为IP地址会发生变化的。
为保证网络中信息传递的准确性,在某些时候我们就需要将IP地址与MAC地址进行捆定,完成这个功能的就是ARP地址解析协议。
网络中的每台电脑,它都会收集网络上的各台计算机的IP地址与MAC地址信息,将它储存在一个叫“ARP缓存表”的地方,当机器A要向机器B发送信息,它会查询本地的ARP缓存表,找到与B的IP地址对应的MAC地址后,接着使用这个MAC地址发送数据。
2、ARP欺骗的原理分析在这假设有一个有三台计算机甲、乙、丙组成的局域网,其中甲感染了ARP木马病毒。
技术资料Arp欺骗实现网络准入控制方法分析北京赛门铁克信息技术有限公司2006年08月版本变更记录目录第1章ARP欺骗的原理 (1)1.1A RP协议介绍 (1)1.2A RP病毒/A RP木马工作原理 (2)1.2.1病毒故障现象 (2)1.2.2病毒实现原理 (3)1.3A RP实现网络准入控制的原理 (3)第2章ARP欺骗的防范措施 (4)2.1防范A RP欺骗的重要性 (4)2.2防范A RP的措施 (5)2.2.1设置静态Mac表 (5)2.2.2应用反Arp欺骗技术 (5)第3章ARP欺骗实现网络控制的问题 (6)3.1防范ARP欺骗与利用ARP欺骗的矛盾 (6)3.2控制的效果 (6)3.3对网络的负面影响 (7)第4章ARP技术的有效运用 (7)第1章A RP欺骗的原理局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC 地址)的。
ARP协议对网络安全具有重要的意义。
通过伪造IP地址和MAC地址实现ARP欺骗,可以实现交换环境下的会话嗅探,第三方会话劫持攻击;不当的ARP欺骗可能导致整个局域网的不稳定甚至瘫痪;一些网络管理软件利用ARP欺骗也可以实现局域网强制接入的控制(如Internet上流行的“网络执法官”工具)。
本文将详细分析ARP欺骗的工作原理,给网络可能造成的不稳定因素以及防范措施,并证明采用ARP欺骗技术实现网络接入控制的局限性。
1.1 Arp协议介绍对Arp协议和工作原理比较了解的读者可以跳过此章节。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。
在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC 地址。
但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。
所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC 地址,以保证通信的顺利进行。
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示:主机IP地址MAC地址A 192.168.16.1 aa-aa-aa-aa-aa-aaB 192.168.16.2 bb-bb-bb-bb-bb-bb- 1 -C 192.168.16.3 cc-cc-cc-cc-cc-ccD 192.168.16.4 dd-dd-dd-dd-dd-dd我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。
当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。
如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。
这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。
同时它还更新了自己的ARP 缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。
ARP 缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
1.2 Arp病毒/Arp木马工作原理2006年上半年,在全国大范围内爆发了一种通过传奇网络游戏外挂传播的木马病毒,对众多企业、教育、政府单位的网络造成严重影响。
通过Google搜索可以查阅更详细的关于该病毒的报道。
1.2.1 病毒故障现象当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。
其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。
切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
- 2 -由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。
当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
1.2.2 病毒实现原理从上面介绍的Arp协议可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。
攻击者对局域网终端和网关进行欺骗,终端和网关的通信将由攻击者进行中间转发,从而实现会话嗅探和劫持。
详细过程如下:对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD 这个地址上。
如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据包都变成发送给D的了。
这不正好是D能够接收到A发送的数据包了么,嗅探成功。
A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。
因为A和C连接不上了。
D对接收到A发送给C的数据包可没有转交给C。
做“man in the middle”,进行ARP重定向。
打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。
D直接进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。
不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗。
现在D就完全成为A与C的中间桥梁了,对于A和C之间的通讯就可以了如指掌了。
1.3 Arp实现网络准入控制的原理一些网管软件通过Arp欺骗的方式实现了网络准入控制,其原理与Arp木马工作原理非常类似。
- 3 -网管软件通过向局域网终端发送Arp欺骗数据包,修改网关IP地址的Mac 地址应答,由于局域网终端学习到的网关Mac地址为虚假的Mac地址,导致终端发送到网关的通信不会被网关接受,从而不能连接到网关。
在以上方式中,只能控制终端与网关的通信,如果需要控制终端与同网段内其他所有终端的通信,则需要对该被控终端进行更多的arp欺骗。
也有个别网管软件为了保证控制效果,不仅仅对被控终端进行arp欺骗,还对所有网段中的正常终端进行欺骗,从而保证被控终端与正常终端双向都不能正常通信。
需要主意的是:由于Arp地址表会定期刷新,因此必需以一定的频率反复发送arp欺骗包,保证控制效果。
实际应用中,发送频率通常为秒级,如5-10秒,才能确保压制的效果。
第2章A RP欺骗的防范措施2.1 防范Arp欺骗的重要性ARP欺骗利用了Arp协议完全信任,缺少安全鉴别机制的安全漏洞,给网络管理者带来了很大的挑战。
Arp病毒/木马、“网络执法官”等非法软件的使用,极大地增加了局域网安全隐患,包括:●信息泄漏只需要简单的arp欺骗工具和操作步骤(如著名的CAIN工具,只需要点击两个按钮,sniffer和arp欺骗),就可以实现对交换环境中的通信进行嗅探,包括管理员管理账户口令、用户各种应用(mail、ftp、web)账户口令、用户通信内容等,导致严重的信息泄漏,为更严重的攻击行为提供了条件。
●Arp病毒Arp病毒的主要危害不仅仅体现在病毒本身的目的,比如窃取传奇账号等,更为严重的是其对网络运行的拒绝服务攻击。
一方面,由于ARP欺骗的木马程- 4 -序发作的时候会发出大量的数据包导致局域网通讯拥塞,另一方面,由于自身处理能力的限制,经常导致攻击者的网络通信中转失败或效能下降,导致正常用户网络中断或者网络速度极慢。
“网络执法官”等非法软件的滥用个别用户处于好奇、好玩等目的,下载使用“网络执法官”等非法控制软件,通过arp欺骗,可以让任意终端网络连接中断。
2.2 防范Arp的措施2.2.1 设置静态Mac表不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),设置静态的MAC-->IP对应表,可以杜绝Arp欺骗包刷新Mac 地址表。
2.2.2 应用反Arp欺骗技术针对arp木马流行,越来越多的管理者注意到了Arp欺骗的危害,安全厂商、安全软件开发者也针对这种攻击行为有了相应的解决方案。
最常用的ARP欺骗拦截技术原理如下:Arp欺骗的一个重要特征是通过Arp Reply的高频率发送,刷新用户的Mac地址表,而事实上,针对这些Reply包,用户并没有发送相应的请求包。
因此,一个简单的技术机制可以很好地应对Arp 欺骗攻击,主机对于接受到的没有请求过的Arp Reply数据包直接丢弃并告警,就可以实现Arp欺骗的防范,并定位进行攻击的攻击源。
网关层面,目前主流交换机、路由器厂商的设备具备抗Arp欺骗攻击的能力,终端上,越来越多的个人防火墙产品(如Symantec)都已经内置了对Arp欺骗的防护。
一些免费的软件(如Anti ARP Sniffer)也提供类似的功能。
- 5 -第3章A RP欺骗实现网络控制的问题如前所述,一些网络管理软件可以通过ARP欺骗的方式对非授权终端进行强制的接入控制,禁止接入网络。
但是,该方式存在较大的管理局限性和负面影响,详细分析如下:3.1 防范ARP欺骗与利用ARP欺骗的矛盾如2.1章节所述,由于利用Arp欺骗导致的攻击、病毒行为将极大的危害整个局域网络的安全,因此必需采用相应的Arp欺骗防范技术。
而要实现网络控制,则绝对不能使用Arp欺骗防范技术,否则将导致控制失效。
之所以会由这样的矛盾,根本原因在于该网络控制方式采用的是一种非法的,基于黑客攻击的方式。
而这种攻击方式的滥用,将给网络带来更大的危害。
3.2 控制的效果根据其实现原理,可以很容易理解其实现的控制效果并不理想。
首先,由于Arp广播包只能在同一个网段或者VLAN中生效,不能跨网段,更不能跨路由,则极大地影响了该方式的实施效果。
必需确保每一个Vlan,每一个远程接入网段内,必需存活一台该软件可管理的设备,由该设备实现Arp 欺骗功能,从而实现准入控制。
因此,很多网络场景,比如远程接入的终端,移动营业厅的终端等,都无法实现接入控制。
其次,由于针对Arp欺骗防范技术已经比较成熟,终端用户自行设定静态Mac地址,安装相应的防护软件(如Anti ARP Sniffer),启用防火墙软件(需支持arp欺骗防护功能),都可以逃避这种网络接入控制方式。
