下载文档原格式
ARP欺骗,是针对以太网地址解析协议(ARP)的一种攻击技术。
此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接,对局域网的安全性与稳定性有比较强的破坏力。
ARP概念1.ARP欺骗原理:黑客C经过收到A发出的ARP Request广播报文,能够偷听到A的 (IP, MAC) 地址, 黑客C就伪装为B,告诉A (受害者) 一个假MAC地址(这个假地址是C的MAC地址),使得A在发送给B的数据包都被黑客C截取,而A, B 浑然不知。
2.欺骗种类:1、截获网关发出的数据。
欺骗源通过ARP报文通知网关一系列错误的内网MAC-IP地址关系,并按照一定的频率不断进行,使网关的ARP缓存表中不能保存正常的地址信息中,结果网关的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。
2、伪造网关欺骗源把自己伪装成网关,向局域网内的主机发送ARP应答或免费ARP报文。
使得局域网内的主机误以为欺骗源的MAC是网关MAC地址。
使得原本流向网关的数据都被错误地发送到欺骗源。
3、伪造主机欺骗源C把自己伪装成局域网内的另一台主机B,使得局域网内发往B的报文都流向了C。
伪造主机的过程与伪造网关类似。
3.防范技术:1、在网关和主机上设备静态ARP表项,这样欺骗ARP报文携带的信息与静态表项不同,会被忽略。
仅适合于小规模局域网,不适合于DHCP。
2、在交换机上限制每个端口的ARP表项数量。
端口上仅能够学习有限数量的ARP表项。
如果设置为1,则只允许一个ARP表项被学习,伪装的MAC地址就无法通过交换机。
对上述[欺骗种类1]比较有较。
3、与DHCP结合。
DHCP snooping的过程中,会建立DHCP表项,主机的的IP以及用户MAC、VID、PORT、租约时间等信息组成用户记录表项,从而形成DHCP Snooping 的用户数据库。
DHCP可以很清楚地知道给哪个MAC分配了哪个IP。
如何识别和避免网络ARP欺骗攻击网络ARP欺骗攻击是一种常见的网络安全威胁,它利用ARP协议的漏洞,冒充合法设备发送伪造的网络包,以获取网络通信中的敏感信息,或者干扰网络流量。
为了保护个人隐私和网络安全,我们需要学会识别和避免网络ARP欺骗攻击。
本文将介绍ARP欺骗攻击的原理、常见的攻击手段,以及如何使用防护措施来减少遭受此类攻击的风险。
一、ARP欺骗攻击的原理ARP(Address Resolution Protocol)是用于将IPv4地址与MAC地址相互映射的协议。
在局域网中,主机在通信前需要查询ARP表,获取目标主机的MAC地址。
ARP欺骗攻击者通过发送伪造的ARP响应包,将自己的MAC地址冒充合法设备,篡改ARP表中的映射关系,使得网络流量被重定向到攻击者的设备上。
由于攻击者能够接收和发送网络流量,他们可以窃取敏感信息,或者进行中间人攻击。
二、常见的ARP欺骗攻击手段1. ARP缓存中毒攻击:攻击者发送伪造的ARP响应包,将自己的MAC地址映射到合法设备的IP地址上,使得合法设备的网络流量被重定向到攻击者的设备上。
2. ARP欺骗中的中间人攻击:攻击者在ARP欺骗的基础上,偷偷将网络流量转发给目标设备,并篡改流量中的数据,以达到窃取信息的目的。
3. 反向ARP攻击:攻击者伪造目标设备的ARP响应包,将攻击者自己的MAC地址映射到目标设备的IP地址上,实现攻击者完全接收目标设备的网络流量。
三、识别网络ARP欺骗攻击1. 异常网络延迟:当网络受到ARP欺骗攻击时,通信的网络延迟通常会显著增加。
因为网络流量被重定向到攻击者的设备上,再经过攻击者的设备后才能到达目标设备。
2. MAC地址冲突:ARP欺骗攻击会导致网络上出现多个IP地址对应相同MAC地址的情况,这是一种常见的攻击迹象。
3. 在同一局域网中,通过工具查看ARP表,如果发现某个IP地址对应的MAC地址频繁改变,也可能是存在ARP欺骗攻击。
ARP攻击原理与防御措施ARP攻击(Address Resolution Protocol Attack)是一种利用ARP协议的安全漏洞来进行网络攻击的方式。
ARP协议是用于将网络层IP地址解析为物理层MAC地址的协议,是局域网中设备之间通信的基础。
ARP攻击的原理是攻击者通过发送伪造的ARP响应包,欺骗局域网中其他设备将原本应该发送给目标设备的数据包发送给攻击者设备,从而达到窃取信息、劫持网络连接等目的。
具体来说,ARP攻击可以分为以下几个步骤:1. 攻击者发送伪造的ARP响应包,欺骗目标设备将本应发送给目标设备的数据包发送给攻击者设备。
2. 攻击者设备收到目标设备的数据包后,进行相应的操作(如截取数据、修改数据等)。
3. 攻击者将修改后的数据包重新发送给目标设备,目标设备无法察觉被攻击。
防御ARP攻击的措施包括以下几点:1. 使用动态ARP缓存:设备可以在收到ARP响应包时,在ARP缓存中保存发送者的IP 地址和MAC地址对应关系,如果收到的ARP响应包中的对应关系与缓存中的不一致,可以认为可能受到ARP攻击,可以采取相应的防御措施。
2. ARP限制:可以通过配置交换机或路由器的ARP限制功能,设置只允许特定设备的ARP请求通过。
这样,攻击者发送伪造的ARP响应包时,其MAC地址与IP地址对应关系将无法被目标设备接受和使用。
3. 使用ARP防火墙:一些网络设备提供了ARP防火墙功能,可以检测和阻止ARP攻击。
当检测到伪造的ARP响应包时,可以自动实施相应的防御措施,如断开与攻击者的连接等。
4. 使用加密通信:使用加密协议(如HTTPS)进行通信可以有效防止ARP攻击。
即使攻击者拦截了数据包,但由于数据包是经过加密的,攻击者无法获取其中的明文信息。
5. 网络安全教育:对网络管理员和用户进行网络安全教育和培训,提高他们的网络安全意识,并告知如何预防和应对ARP攻击,以及网络安全维护的重要性。
ARP攻击是一种利用ARP协议漏洞进行的网络攻击方式,能够造成信息窃取、网络连接劫持等问题。
ARP攻击防范措施介绍ARP(Address Resolution Protocol)是计算机网络中一种用于将IP地址解析为MAC地址的协议。
然而,由于其工作方式的缺陷,使得ARP协议容易受到黑客的攻击,例如ARP欺骗攻击。
本文将深入探讨ARP攻击的原理、危害以及防范措施,帮助读者了解如何保护自己的网络安全。
ARP攻击的原理1. ARP协议工作原理ARP协议用于将IP地址解析为对应的MAC地址,以便在局域网中进行通信。
当主机A想要向主机B通信时,它会首先检查自己的ARP缓存中是否有主机B的MAC地址。
如果没有,则主机A会发送一个ARP请求广播,询问局域网中是否有主机B,并将自己的MAC地址广播出去。
主机B收到广播后,会回复自己的MAC地址给主机A,建立起通信连接。
2. ARP攻击原理ARP攻击者利用ARP协议的工作原理,欺骗网络中的其他主机,使它们将数据发送到攻击者所控制的主机上,从而截取、篡改或丢弃通信数据。
ARP攻击方式有以下几种: - ARP欺骗攻击:攻击者发送伪造的ARP响应包,将自己的MAC地址伪装成目标主机的MAC地址,使其他主机将通信数据发送到攻击者的主机上。
- 反向ARP攻击:攻击者发送伪造的ARP请求包,将目标主机的IP地址与自己的MAC地址绑定,使目标主机将自己的通信数据发送给攻击者。
ARP攻击的危害ARP攻击能够导致如下危害: 1. 篡改数据:攻击者可以截获通信数据,并对数据进行篡改,致使被攻击主机收到伪造的数据,可能导致信息泄露或系统崩溃。
2. 监听通信:攻击者可以通过ARP攻击截获数据包并进行监听,获取敏感信息,如账户密码、聊天记录等。
3. 拒绝服务:ARP攻击者可以发送持续不断的伪造ARP包,导致网络中的主机无法正常通信,造成网络拥堵。
ARP攻击防范措施为了防范ARP攻击,我们可以采取如下措施: ### 1. 使用静态ARP绑定将网络中所有主机的IP地址与其对应的MAC地址进行绑定,使ARP表中的条目固定不变。
简述arp欺骗攻击的原理和防范对策ARP(Address Resolution Protocol)欺骗攻击是一种网络攻击技术,它利用ARP协议的特性进行欺骗、中间人攻击或局域网内的ARP 缓存中毒。
攻击者发送虚假的ARP响应消息来欺骗其他网络设备,使其将流量发送给攻击者,从而实现对网络通信的窃听、修改或阻断。
ARP协议是将IP地址映射到物理MAC地址的协议,通过向局域网中广播ARP请求,获取目标IP地址对应的MAC地址。
正常情况下,ARP请求是一个广播消息,网络上所有的设备都能收到该消息并回应自己的MAC地址。
然而,攻击者可以发送伪造的ARP响应消息,将自己的MAC地址伪装成目标的MAC地址。
这样,其他网络设备在收到欺骗者的ARP响应后,会将网络流量发送到欺骗者的MAC地址,从而攻击者就可以进行中间人攻击。
ARP欺骗攻击的原理主要包括以下几个步骤:广播欺骗请求、单播响应欺骗响应、IP间隔设备攻击、流量截获及篡改。
防范ARP欺骗攻击需要采取多层次的安全措施,包括物理层安全、网络设备安全和安全策略的制定。
一、物理层安全防范1.硬件设备安全:保证网络设备的物理安全,避免被攻击者直接接触或篡改网络设备。
2.网线加密:使用数字加密技术或物理加密设备,对通信网络中的网线进行加密处理,避免ARP欺骗攻击者通过在网线上截获数据。
3. MAC地址绑定:通过网络硬件设备的管理接口,将MAC地址与设备绑定,限制非法设备访问网络,避免ARP欺骗攻击者伪造MAC地址来进行攻击。
二、网络设备防范1.安全认证机制:为网络设备设置访问口令或使用其他身份验证方法,只允许授权设备进行网络操作,避免非法设备接入网络。
2. MAC地址过滤:设置ACL(Access Control List)策略,限制网络中不合法的MAC地址出现,只允许合法设备进行通信。
3. ARP缓存绑定:为网络设备的ARP缓存表添加绑定条目,将IP 地址与MAC地址进行绑定,确保只有指定的MAC地址可以响应对应的IP地址。
arp欺骗原理ARP欺骗原理是一种利用ARP(地址解析协议)的漏洞,对局域网内的设备进行网络攻击的方法。
ARP协议是用于将IP地址转换为物理MAC地址的协议。
一般情况下,设备在进行网络通信时会先发送一个ARP请求,询问特定IP地址的设备的MAC地址。
然后接收到该请求的设备会返回一个包含自己MAC地址的ARP响应。
这样,源设备就可以将目标设备的IP与MAC地址关联起来,从而建立通信。
ARP欺骗利用的是ARP协议没有验证对方身份的漏洞。
攻击者可以通过伪造ARP请求或响应,将自己的MAC地址伪装成目标设备的MAC地址,以欺骗其他设备。
具体来说,下面是ARP欺骗的过程:1. 攻击者向局域网内发送ARP请求,询问目标设备的MAC地址。
2. 正常情况下,目标设备会回复一个包含自己MAC地址的ARP响应给攻击者。
3. 攻击者接收到ARP响应后,将自己的MAC地址伪装成目标设备的MAC地址,并不断发送伪造的ARP响应给其他设备。
4. 其他设备在接收到伪造的ARP响应后,会更新自己的ARP缓存表,将目标设备的IP地址与攻击者的MAC地址关联起来。
5. 当其他设备要与目标设备进行通信时,会将数据发送给攻击者的MAC地址,而攻击者则可以选择拦截、篡改、窃取这些数据。
通过ARP欺骗,攻击者可以获取其他设备的通信数据,进行拦截、篡改甚至窃取敏感信息。
此外,攻击者也可以通过将自己的MAC地址伪装成路由器的地址,实施中间人攻击,劫持网络通信。
为了防止ARP欺骗,可以采取以下措施:1. 搭建虚拟局域网(VLAN)进行隔离,限制ARP欺骗的范围。
2. 使用静态ARP表,手动添加设备的MAC地址与对应IP地址的映射,避免受到伪造的ARP响应的影响。
3. 定期清除ARP缓存表,更新设备的MAC地址。
4. 在网络中使用密钥认证机制,如802.1X,限制未授权设备的接入。
5. 使用加密的通信协议,确保数据在传输过程中的安全性。
以上是ARP欺骗的原理和防范措施的简要介绍,这种攻击方法在实际中仍然存在,并需要网络管理员和用户采取一系列的措施来保护网络安全。
ARP欺骗攻击原理及防御策略ARP(Address Resolution Protocol)欺骗攻击是一种利用ARP协议漏洞来冒充网络中台设备的MAC地址的攻击方式。
攻击者通过发送伪造的ARP响应包,将目标设备的IP地址与攻击者的MAC地址进行绑定,从而达到攻击的目的。
攻击原理:ARP协议是用于将IP地址解析为MAC地址的协议,其工作原理为:当主机A需要与主机B通信时,会先检查自己的ARP缓存表,查看是否有主机B的IP地址对应的MAC地址,若有,则直接发送数据包给主机B;若没有,则通过广播ARP请求包的方式询问网络中其他主机,寻找主机B 的MAC地址。
主机B收到ARP请求包后,会返回一个包含其IP地址和MAC地址的ARP响应包,主机A会将主机B的IP地址与MAC地址绑定,然后发送数据包给主机B。
ARP欺骗攻击利用了这个过程中的不安全性,攻击者可以发送伪造的ARP响应包来伪装自己的MAC地址,将目标设备的IP地址与自己的MAC 地址进行绑定,从而实现攻击。
攻击者可以在中间人位置上监视、修改或阻断通信流量,从而进行各种攻击,如中间人攻击、数据篡改、数据丢失等。
防御策略:为了防止ARP欺骗攻击,可以采取以下一些策略:1.静态ARP绑定:将网络中的设备的IP地址与MAC地址进行手动绑定,使得ARP欺骗攻击者无法通过发送伪造的ARP响应包来进行攻击。
这种方法适用于小型局域网,但对于大型网络来说管理起来不太方便。
2. ARP检测工具:使用ARP检测工具可以实时监测网络中的ARP请求和响应包,检测是否存在伪造的ARP包,及时发现潜在的ARP欺骗攻击。
常用的ARP检测工具包括Arpwatch、Cain & Abel等。
3.使用静态路由表:在网络设备上手动配置静态路由表,指定目标设备的MAC地址,避免使用ARP协议来解析MAC地址。
静态路由表可以防止ARP欺骗攻击者修改路由信息,而无需依赖ARP协议来解析MAC地址。
解决和防患局域网内Arp欺骗当局域网种存再ARP欺骗包的话,总的来说有主要又这么两种可能。
一、有人恶意破坏网络。
这种事情,一般会出现在网吧,或是一些人为了找到更好的网吧上网座位,强行让别人断线。
又或是通过ARP欺骗偷取内网帐号密码。
二,病毒木马如:传奇网吧杀手等,通过ARP欺骗网络内的机器,假冒网关。
从而偷取对外连接传奇服务器的密码。
ARP欺骗的原理如下:假设这样一个网络,一个交换机接了3台机器HostA HostB HostC 其中A的地址为:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AA ---------网关B的地址为:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB --------黑客C的地址为:IP:192.168.1.3 MAC: CC-CC-CC-CC-CC-CC ---------被欺骗者正常情况下C:\arp -aInterface: 192.168.1.3 on Interface 0x1000003Internet Address Physical Address Type192.168.1.1 BB-BB-BB-BB-BB-BB dynamic现在假设HostB开始了罪恶的ARP欺骗:假冒A像c发送ARP欺骗包B向C发送一个自己伪造的ARP欺骗包,而这个应答中的数据为发送方IP地址是192.168.1.1(网关的IP地址),MAC地址是BB-BB-BB-BB-BB-BB (A的MAC地址本来应该是AA-AA-AA-AA-AA-AA,这里被伪造了)。
当C接收到B伪造的ARP应答,就会更新本地的ARP缓存(C可不知道被伪造了)。
而且C不知道其实是从B发送过来的,这样C 就受到了B的欺骗了,凡是发往A的数据就会发往B,这时候那么是比较可怕的,你的上网数据都会先流向B,在通过B去上网,如果这时候B上装了SNIFFER软件,那么你的所有出去的密码都将被截获。
ARP欺骗攻击分析及防范措施ARP欺骗攻击(Address Resolution Protocol Spoofing Attack),也称为ARP缓存中毒攻击,是一种常见的网络攻击手段。
攻击者通过伪造ARP响应报文,将目标主机的IP地址与自己的MAC地址进行绑定,从而达到劫持网络流量、盗取敏感信息或进行中间人攻击等恶意目的。
本文将对ARP欺骗攻击进行分析,并提出相应的防范措施。
一、攻击原理分析1.ARP协议简介ARP(Address Resolution Protocol)是将IP地址与MAC地址进行匹配的协议,通过在局域网中的广播方式,发送ARP请求报文,等待目标主机响应,以获取目标主机的MAC地址。
目标主机接收到ARP请求后,会将自己的MAC地址发送给请求方,请求方在收到响应后将目标主机的IP地址与MAC地址进行绑定,并将其存储在自己的ARP缓存表中。
2.攻击原理在ARP欺骗攻击中,攻击者通过发送伪造的ARP响应报文,将目标主机的IP地址与自己的MAC地址进行绑定。
当目标主机收到该伪造的ARP响应报文后,会将攻击者的MAC地址存储到自己的ARP缓存表中。
然后,当其他主机需要与目标主机进行通信时,会将数据包发送给攻击者的MAC地址,攻击者可以拦截和篡改这些数据包,导致网络流量被劫持。
二、攻击过程分析1.发送ARP请求攻击者首先发送ARP请求报文,向网络中的所有主机请求目标主机的MAC地址。
这是一个广播的过程,所有主机都会收到该ARP请求报文。
2.伪造ARP响应目标主机收到ARP请求后,会根据请求方的IP地址将自己的MAC地址发送给请求方。
攻击者利用这个过程,伪造一个ARP响应报文,并将报文中的目标IP地址设为请求主机的IP地址,源MAC地址设为自己的MAC 地址。
3.欺骗目标主机目标主机收到伪造的ARP响应报文后,会将其中的目标IP地址与MA 地址进行绑定,并将其存储在ARP缓存表中。
此时,目标主机认为攻击者的MAC地址就是目标主机的MAC地址。
第8卷 第5期漯河职业技术学院学报V o.l 8N o 5 2009年9月Journa l o f Luohe V ocationa lT echno l ogy Co ll egeSep 2009收稿日期:2009-05-19作者简介:于秀珍(1965-),女,河南商丘人,商丘职业技术学院讲师,研究方向:网络安全。
局域网ARP 欺骗原理及其防御措施于秀珍1,徐 立1,2(1.商丘职业技术学院,河南商丘476000;2.中国科学技术大学,安徽合肥230026)摘要:介绍了ARP 协议及其工作原理,分析了ARP 欺骗攻击的实施,给出了实际应用效果较好的防范措施。
关键词:ARP 协议;ARP 欺骗;局域网中图分类号:TP393.1 文献标识码:A 文章编号:1671-7864(2009)05-0062-02当局域网内某台主机感染了ARP 病毒时,会向本局域网内(指某一网段,比如:10.10.75.0这一段)所有主机发送ARP 欺骗攻击,谎称自己是这个网端的网关设备,让原本流向网关的流量改道流向病毒主机,造成受害者正常上网。
其最典型的表现就是导致网络不稳定,短时间内突然断网,反复掉线。
这种情况严重影响网络的正常使用。
1 ARP 协议解析AR P ,全称Address R eso l ution Protoco l,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层(网络层)提供服务。
在以太网中,由于以太网设备并不识别32位的IP 地址,所以数据包的传送不是通过IP 地址,而是通过48位M AC 地址(网卡的物理地址)来完成的。
也就是说,在以太网中,一台主机要和另一台主机进行直接通信,必须要知道目标主机的NAC 地址。
但这个目标主机的M AC 地址我们如何获得呢?它就是通过地址解析协议(AR P )获得的。
ARP 协议用于将网络中的IP 地址解析为M AC 地址,以保证通信的顺利进行。
2 ARP 协议工作原理在每台安装有T CP /I P 协议的电脑里都有一个AR P 缓存表,表里的I P 地址与M AC 地址是一一对应的,而主机的IP 地址到M AC 地址的映射却总是存在于ARP 缓存表中。
如表1所示。
表1 ARP 缓存表主机I P 地址MAC 地址A 196.168.0.100-aa-aa-aa-aa-aa B 196.168.0.2B00-bb-bb-bb-bb-bbC 196.168.0.300-cc-cc-cc-cc-ccD 196.168.0.400-dd-dd-dd-dd-dd我们以主机A (192.168.0.1)向主机B(192.168.0.2)发送数据为例,当发送数据时,主机A 会在自己的ARP 缓存表中寻找是否有目标IP 地址。
如果找到了,也就知道了目标M AC 地址,直接把目标MAC 地址写入帧里面发送就可以了;如果在ARP 缓存表中没有找到相应的I P 地址,主机A 就会在网络上发送一个广播,目标M AC 地址是 FF.FF .FF.FF.FF.FF !,这表示向同一网段内的所有主机发出这样的询问: 192.168.0.2的M AC 地址是什么?!网络上其他主机并不响应ARP 的询问,只有主机B 接收到这个帧时,才向主机A 做出这样的回应: 192.168.0.2的MA C 地址是00-bb -bb-bb-bb-bb !。
这样,主机A 就知道了主机B 的M AC 地址,它就可以向主机B 发送信息了。
同时它还更新了自己的ARP 缓存表,下次再向主机B 发送信息时,直接从ARP 缓存表里查找就可以了。
AR P 缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP 缓存表的长度,加快查询速度。
另外,ARP 协议工作原理还可详见图1和图2。
第5期于秀珍等:局域网ARP欺骗原理及其防御措施63源主机在传输数据前,首先要对初始数据进行封装,在该过程中会把目的主机的IP地址和M AC地址封装进去。
在通信的最初阶段,我们能够知道目的主机的IP地址,而M AC地址却是未知的。
这时如果目的主机和源主机在同一个网段内,源主机会以第二层广播的方式发送ARP请求报文。
ARP请求报文中含有源主机的IP地址和M AC地址,以及目的主机的IP地址。
当该报文通过广播方式到达目的主机时,目的主机会响应该请求,并返回AR P响应报文,从而源主机可以获取目的主机的M AC地址,同样目的主机也能够获得源主机的MA C地址。
如果目的主机和源主机地址不在同一个网段内,源主机发出的IP数据包会送到交换机的默认网关,而默认网关的M AC地址同样可以通过AR P协议获取。
经过AR P协议解析IP地址之后,主机会在缓存中保存IP地址和M AC地址的映射条目,此后再进行数据交换时只要从缓存中读取映射条目即可。
3 ARP欺骗攻击的实现从AR P协议的工作原理中,我们可以看出,ARP协议的基础就是信任局域网内所有的计算机,那么就很容易实现在以太网上的ARP欺骗。
对目标A进行欺骗,当A在其ARP 表中无法找到C的M AC地址,就发一广播进行询问。
此时,把C的MA C地址欺骗为00-dd-dd-dd-dd-dd,于是A 发送到C上的数据包都变成发送给D的了。
如果欺骗的地址是一个不存在的M AC地址,那么,就会导致A无法正常和C进行通讯。
如果完全掌握A与C之间的数据通讯,那么,D可以做m an i n t he m i ddle!,进行ARP 重定向。
打开D的I P转发功能,A发送过来的数据包,D直接进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。
不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗,现在D就完全成为A与C的中间桥梁了,对于A和C之间的通讯就可以了如指掌。
其造成的危害可想而知。
4 ARP欺骗攻击的防范4.1 网管交换机端绑定在核心交换机上绑定用户主机的IP地址和网卡的MA C 地址,同时在边缘交换机上将用户计算机网卡的MA C地址和交换机端口绑定的双重安全绑定。
4.1.1 IP和M AC地址的绑定在核心交换机上将所有局域网络用户的IP地址与其网卡MA C地址一一对应进行全部绑定。
这样可以极大程度上避免非法用户使用AR P欺骗或盗用合法用户的IP地址进行流量的盗取。
4.1.2 M AC地址与交换机端口的绑定根据局域网络用户所在的区域、楼体和用户房间所对应的交换机端口号,将用户计算机网卡的M AC地址和交换机端口绑定。
此方案可以防止非法用户随意接入网络端口上网。
网络用户如果擅自改动本机网卡的M AC地址,该机器的网络访问将因其MA C地址被交换机认定为非法而无法实现上网,自然也就不会对局域网造成干扰了。
4.2 客户机IP地址和M AC地址静态绑定从AR P原理中,我们了解到,ARP表是动态存在的。
为了防止AR P表被篡改,我们可以将AR P表设置成静态的,即静态绑定,从而达到防范的目的。
4.2.1 获得网关的IP地址和M AC地址 打开M S-DOS窗口,输入pi ng网关IP地址,询问网关M AC地址;输入a rp-a命令,即可获得网关MA C地址(图3)。
图3 网关M AC地址4.2.2 绑定网关IP地址和MA C地址输入a rp-s网关I P地址网关M AC地址!即可静态绑定网关IP地址和MA C地址(图4)。
图4 网关IP地址和M AC地址从图中我们可以看出,AR P列表中网关IP地址与M AC 地址的T ype类型由dyna m i c(动态)转变为static(静态)。
但是由于手工绑定在计算机关机重开机后就会失效,需要再次绑定,这显然是相当麻烦的事情。
所以,我们可以编写一个批处理文件a rp.bat,实现将交换机网关的M AC地址和网关的IP地址的绑定,内容如下:@echo o ffarp-darp-s网关IP地址网关MA C地址用户应该按照前面查找到的交换机网关的I P地址和M AC地址,填入arp?cls后面即可,同时需要将这个批处理软件拖到w i ndo w s-开始-程序-启动中,以便用户每次开机后计算机自动加载并执行该批处理文件,对用户起到一个很好的保护作用。
4.3 采用v lan技术隔离端口局域网的网络管理员可根据本单位网络的拓卜结构,具体规划出若干个v lan,当管理员发现有非法用户在恶意利用ARP欺骗攻击网络,或因合法用户受病毒ARP病毒感染而影响网络时,网络管理员可利用技术手段首先查找到该用户所在的交换机端口,然后将该端口划一个单独的v lan将该用户与其它用户进行物理隔离,以避免对其它用户的影响。
当然也可以利用将交换机端口disable掉来屏蔽该用户对网络造成影响,从而达到安全防范的目的。
5 结束语ARP协议的缺陷正在被不断地利用,其危险性也正日益增大。
因此,除了做好防范以外,经常查看当前的网络状态,对网络活动进行分析、监控、采取积极、主动的防御措施,是保证网络的安全和畅通的重要和有效的方法。
参考文献:[1]黄玉春.浅淡局域网中的嗅探原理和A RP欺骗[J].大众科技,2006,(8):84-84.[2]徐美华.利用AR P欺骗实现网络捕包[J].网络安全技术与应用,2005,(8):33-34.[3]辛志东.局域网中的AR P重定向攻击及防御措施[J].微计算机信息,2005,(2).[责任编辑 吴保奎]。
