下载文档原格式
网络安全中的ARP攻击与防御技术网络安全是当今社会亟待解决的问题之一,而ARP攻击是网络安全的一个重要方面。
ARP(Address Resolution Protocol)是在局域网中将IP地址转换为MAC地址的协议。
ARP攻击是指攻击者利用网络重放、欺骗等手段,混淆MAC地址,使数据包传输至错误的设备,从而实现非法窃取、篡改、拦截数据等目的。
本文将阐述ARP攻击的类型、危害以及防御技术。
一、ARP攻击类型1.欺骗攻击欺骗攻击是ARP攻击中最常见的一种类型。
攻击者通过伪造源MAC地址,向目标主机发送虚假的ARP响应包,欺骗其将攻击者的MAC地址误认为是网关的MAC地址,使得目标主机的所有流量都被攻击者所控制。
2.中间人攻击中间人攻击是指攻击者在通信双方之间插入自己,屏蔽双方之间的通信,可用于窃听或篡改通信内容。
攻击者通过欺骗双方主机,使得每个主机都将其MAC地址当做网关的MAC地址,从而使双方都认为它们在与网关通信,实际上却被攻击者所控制。
3.重放攻击重放攻击是指攻击者通过截获数据包,再次发送这些数据包,使得目标主机误认为这些数据包来自于合法的源地址。
攻击者可以基于此窃取敏感信息或篡改通信内容。
二、ARP攻击危害ARP攻击可以造成以下危害:1.窃取信息ARP攻击者可以通过欺骗建立中间人攻击,窃取用户账号、密码等敏感信息。
2.篡改数据攻击者可以在中间人攻击中,篡改数据包的内容,从而影响网络传输过程中数据的真实性,例如拦截传输的文件内容并进行篡改。
3.劫持会话攻击者可以在ARP攻击中,劫持用户的会话,将用户强制下线,并据此进行非法操作。
三、ARP攻击防御技术1.升级路由器固件升级路由器固件可以消除一些已知的网络安全漏洞,提高路由器安全性,从而防止一些ARP攻击。
2.使用ARP防火墙ARP防火墙是通过静态配置软件/硬件设备与网络的关系,来识别并阻断非授权设备与网络中特定子网的通信。
ARP防火墙可以防止接入局域网的恶意主机和非法服务器,以及ARP欺骗等攻击。
ARP攻击原理与防御措施
ARP攻击是指攻击者发送虚假ARP响应或请求,欺骗目标计算机或路由器的ARP缓存,并将合法的IP地址映射到攻击者的MAC地址上。
攻击者可以通过这种方法获得目标计算机或路由器的网络数据,甚至可以修改或监视网络通信。
针对ARP攻击,以下是常见的几种防御措施:
1. 使用静态ARP表
静态ARP表是管理员手动配置的IP地址与MAC地址的映射表。
通过使用静态ARP表,可以限制ARP缓存中的IP地址与MAC地址映射关系,防止攻击者通过发送虚假ARP响应或请求来欺骗计算机。
ARP监控工具可以监视网络中的ARP通信,并警告管理员有任何异常的ARP通信。
这些工具可以检测虚假的ARP响应或请求,并更改ARP缓存中的条目,从而保护网络安全。
3. 使用虚拟专用网络(VPN)
虚拟专用网络(VPN)可以使通过公用网络传输的数据变得更加安全。
VPN将数据加密并隧道化,使攻击者无法截获传输的数据。
由于VPN使用自己的加密和身份验证,ARP攻击无法通过普通的攻击方法来窃取VPN传输的数据。
4. 配置网络设备的安全设置
配置路由器、交换机等网络设备的安全设置是防范ARP攻击的重要措施。
这些设备通常具有流量分析、IP地址过滤和MAC地址过滤等功能。
管理员可以使用这些功能,过滤掉来自未经授权的设备的数据流量,从而增加网络的安全性。
总之,防范ARP攻击需要采取多样化的措施,并在网络安全方面加强教育和培训。
通过加强了解计算机中的网络协议和安全性,使用多层次的安全措施,保护计算机和网络的安全。
arp攻击方式及解决方法ARP(地址解析协议)是计算机网络中一种用来将IP地址转换为MAC地址的协议。
然而,正因为ARP协议的特性,它也成为了黑客进行网络攻击的目标之一。
本文将介绍ARP攻击的几种常见方式,并提供解决这些攻击方式的方法。
一、ARP攻击方式1. ARP欺骗攻击ARP欺骗攻击是最常见的ARP攻击方式之一。
攻击者发送伪造的ARP响应包,将自己的MAC地址伪装成其他主机的MAC地址,迫使目标主机发送网络流量到攻击者的机器上。
2. ARP缓存投毒ARP缓存投毒是一种通过向目标主机的ARP缓存中插入虚假的ARP记录来实施攻击的方式。
攻击者伪造合法主机的MAC地址,并将其与错误的IP地址关联,从而导致目标主机将网络流量发送到错误的目的地。
3. 反向ARP(RARP)攻击反向ARP攻击是使用类似ARP欺骗的方式,攻击者发送伪造的RARP响应包,欺骗目标主机将攻击者的MAC地址与虚假的IP地址进行关联。
二、解决ARP攻击的方法1. 使用静态ARP表静态ARP表是手动创建的ARP表,其中包含了真实主机的IP地址和MAC地址的映射关系。
通过使用静态ARP表,可以避免因为欺骗攻击而收到伪造的ARP响应包。
2. 使用防火墙防火墙可以检测和过滤网络中的恶意ARP请求和响应包。
通过配置防火墙规则,可以限制只允许来自合法主机的ARP请求和响应。
3. 使用网络入侵检测系统(NIDS)网络入侵检测系统可以监测网络中的恶意ARP活动,并提供实时告警。
通过使用NIDS,可以及时发现并应对ARP攻击事件。
4. ARP绑定ARP绑定可以将指定的IP地址和MAC地址绑定在一起,防止ARP欺骗攻击。
主机在发送ARP请求时会同时检查绑定表,如果发现IP地址和MAC地址的对应关系不匹配,则会拒绝该ARP响应。
5. 使用加密技术使用加密技术可以防止ARP请求和响应包被篡改和伪造。
通过在ARP包中添加加密信息,可以提高网络的安全性,防止ARP攻击的发生。
ARP欺骗攻击原理及防御策略ARP(Address Resolution Protocol)欺骗攻击是一种利用ARP协议漏洞来冒充网络中台设备的MAC地址的攻击方式。
攻击者通过发送伪造的ARP响应包,将目标设备的IP地址与攻击者的MAC地址进行绑定,从而达到攻击的目的。
攻击原理:ARP协议是用于将IP地址解析为MAC地址的协议,其工作原理为:当主机A需要与主机B通信时,会先检查自己的ARP缓存表,查看是否有主机B的IP地址对应的MAC地址,若有,则直接发送数据包给主机B;若没有,则通过广播ARP请求包的方式询问网络中其他主机,寻找主机B 的MAC地址。
主机B收到ARP请求包后,会返回一个包含其IP地址和MAC地址的ARP响应包,主机A会将主机B的IP地址与MAC地址绑定,然后发送数据包给主机B。
ARP欺骗攻击利用了这个过程中的不安全性,攻击者可以发送伪造的ARP响应包来伪装自己的MAC地址,将目标设备的IP地址与自己的MAC 地址进行绑定,从而实现攻击。
攻击者可以在中间人位置上监视、修改或阻断通信流量,从而进行各种攻击,如中间人攻击、数据篡改、数据丢失等。
防御策略:为了防止ARP欺骗攻击,可以采取以下一些策略:1.静态ARP绑定:将网络中的设备的IP地址与MAC地址进行手动绑定,使得ARP欺骗攻击者无法通过发送伪造的ARP响应包来进行攻击。
这种方法适用于小型局域网,但对于大型网络来说管理起来不太方便。
2. ARP检测工具:使用ARP检测工具可以实时监测网络中的ARP请求和响应包,检测是否存在伪造的ARP包,及时发现潜在的ARP欺骗攻击。
常用的ARP检测工具包括Arpwatch、Cain & Abel等。
3.使用静态路由表:在网络设备上手动配置静态路由表,指定目标设备的MAC地址,避免使用ARP协议来解析MAC地址。
静态路由表可以防止ARP欺骗攻击者修改路由信息,而无需依赖ARP协议来解析MAC地址。
防范arp欺骗攻击的主要方法有
防范ARP欺骗攻击的主要方法包括:
1. 配置静态ARP表:在网络设备上配置静态ARP表,将每个IP地址与相应的MAC地址绑定起来,防止ARP欺骗攻击者伪造IP地址和MAC地址。
2. 使用ARP防火墙:部署ARP防火墙来监控和检测网络中的ARP流量,及时发现并阻止异常ARP请求和响应。
3. 使用ARP安全协议:使用ARP安全协议,如ARP安全(ARP Sec)、静态ARP检测(Static ARP Inspection)等,对网络中的ARP请求和响应进行验证和保护。
4. 实施网络隔离:将网络划分为多个虚拟局域网(VLAN),并在不同的VLAN 间限制通信,以防止ARP欺骗攻击跨越不同的网络进行。
5. 启用端口安全特性:在交换机上启用端口安全特性,限制每个接口上连接的最大MAC地址数量,防止攻击者通过连接多个设备进行ARP欺骗。
6. 使用加密和身份验证机制:使用加密协议和身份验证机制,如IPsec、SSL、802.1X等,在网络中传输的数据进行加密和身份验证,防止ARP欺骗攻击者窃取或篡改数据。
7. 监控和检测:定期监控和检测网络中的ARP流量和异常行为,及时发现并采取相应的应对措施。
8. 进行安全教育和培训:加强对用户和员工的安全意识培养,教育他们识别和避免ARP欺骗攻击,并提供相关的安全操作指导和培训。
ARP欺骗攻击分析及防范措施ARP欺骗攻击(Address Resolution Protocol Spoofing Attack),也称为ARP缓存中毒攻击,是一种常见的网络攻击手段。
攻击者通过伪造ARP响应报文,将目标主机的IP地址与自己的MAC地址进行绑定,从而达到劫持网络流量、盗取敏感信息或进行中间人攻击等恶意目的。
本文将对ARP欺骗攻击进行分析,并提出相应的防范措施。
一、攻击原理分析1.ARP协议简介ARP(Address Resolution Protocol)是将IP地址与MAC地址进行匹配的协议,通过在局域网中的广播方式,发送ARP请求报文,等待目标主机响应,以获取目标主机的MAC地址。
目标主机接收到ARP请求后,会将自己的MAC地址发送给请求方,请求方在收到响应后将目标主机的IP地址与MAC地址进行绑定,并将其存储在自己的ARP缓存表中。
2.攻击原理在ARP欺骗攻击中,攻击者通过发送伪造的ARP响应报文,将目标主机的IP地址与自己的MAC地址进行绑定。
当目标主机收到该伪造的ARP响应报文后,会将攻击者的MAC地址存储到自己的ARP缓存表中。
然后,当其他主机需要与目标主机进行通信时,会将数据包发送给攻击者的MAC地址,攻击者可以拦截和篡改这些数据包,导致网络流量被劫持。
二、攻击过程分析1.发送ARP请求攻击者首先发送ARP请求报文,向网络中的所有主机请求目标主机的MAC地址。
这是一个广播的过程,所有主机都会收到该ARP请求报文。
2.伪造ARP响应目标主机收到ARP请求后,会根据请求方的IP地址将自己的MAC地址发送给请求方。
攻击者利用这个过程,伪造一个ARP响应报文,并将报文中的目标IP地址设为请求主机的IP地址,源MAC地址设为自己的MAC 地址。
3.欺骗目标主机目标主机收到伪造的ARP响应报文后,会将其中的目标IP地址与MA 地址进行绑定,并将其存储在ARP缓存表中。
此时,目标主机认为攻击者的MAC地址就是目标主机的MAC地址。
ARP攻击原理与防御措施ARP(Address Resolution Protocol)是一种用于将网络层地址转换成物理层地址的协议。
ARP攻击则是一种网络安全攻击技术,它利用ARP协议中的漏洞,欺骗网络中的主机,从而进行各种攻击。
ARP攻击的原理是利用ARP协议中的缺陷,通过发送一些错误的ARP包,使得网络中的主机将攻击者的MAC地址映射到了某个合法主机的IP地址上,从而导致数据包被发送到攻击者的计算机上,达到攻击的目的。
具体来说,ARP攻击可以采取以下两种方式:1. ARP欺骗攻击ARP欺骗攻击是指攻击者发送伪造的ARP响应包,将攻击者的MAC地址映射到目标主机的IP地址上,从而使得目标主机将数据包发送到攻击者控制下的计算机上,同时攻击者通过这种方式能够实时地监听目标主机的通信并截获数据包,因此可以轻松获取目标主机的敏感信息。
ARP洪泛攻击是指攻击者向同一局域网内的所有主机发送大量这些伪造的ARP包,这些ARP包会让所有主机的ARP缓存表被攻击者的虚假MAC地址所占据,这将导致目标主机无法准确地将数据包发送到正确的主机上,从而导致网络拥塞。
为了防止ARP攻击,使用以下方法可以提高网络的安全性:1. 静态ARP缓存项网络管理员可以通过配置静态ARP缓存表来保护网络安全。
静态ARP缓存表是一种手动配置的ARP缓存表,可以避免缓存表被同一网络段内的非法IP地址所污染。
2. ARP检测工具使用ARP检测工具可以及时检测和解析ARP攻击,该工具能够实时地监测网络中的ARP 流量,并提供实时报告,可以帮助网络管理员快速识别和阻止ARP攻击。
3. 软件升级定期升级网络设备、操作系统和应用程序可以保护网络安全;更新的软件版本通常会包含更多的防御措施。
4. 加密通信设置基于公钥的加密协议(如SSL/TLS)可以帮助保护通信信道,从而保证数据传输的安全性。
5. MAC地址绑定将MAC地址绑定到静态IP地址可以提高网络设备的安全性,一旦检测到未知的MAC地址附加到该IP地址上,网络管理员可以立即采取措施防止攻击。
arp防御方法
ARP防御方法是用于防止ARP欺骗攻击的技术手段。
以下是一些常见的ARP 防御方法:
1. 静态ARP表:在网络设备上手动添加静态ARP表项,将IP地址与MAC地址进行绑定,可以防止ARP欺骗攻击。
2. 动态ARP检测:使用动态ARP检测工具,实时监测网络中ARP请求和响应的情况,一旦发现异常,及时进行报警或拦截。
3. 网络流量监测:监测网络流量中的ARP请求和响应数据包,检测是否存在异常ARP活动,例如检测同一IP地址有多个MAC地址绑定等。
4. 交换机配置:配置交换机端口的安全特性,限制一个端口只能学习到一个MAC地址,如果接收到多个不同的MAC地址,则自动禁用该端口。
5. DHCP Snooping:通过开启DHCP Snooping功能,在网络中只允许经过认证的DHCP服务器提供IP地址,避免被ARP欺骗攻击者伪造的DHCP服务器欺骗。
6. 隔离网络:将重要的网络设备、服务器等放在受信任的网络中,与公共网络隔离,减少受到ARP欺骗攻击的风险。
7. 使用虚拟专用网络(VPN):在公共网络上使用VPN隧道加密通信,可以有效防止ARP攻击者获取网络通信数据。
8. 安全协议:如使用802.1X认证、IPSec协议等,可以提供身份验证和数据加密,增强网络安全性,防止ARP欺骗攻击。
9. 安装防火墙:防火墙可以对网络流量进行监控和过滤,有效防止恶意的ARP 请求和响应进入网络。
10. 定期更新防病毒软件和操作系统:保持操作系统和防病毒软件的最新版本,及时修补漏洞和更新安全补丁,减少受到ARP欺骗攻击的风险。
ARP攻击原理与防御措施一、ARP攻击原理ARP(Address Resolution Protocol)地址解析协议,是一种用于将IP地址解析为MAC 地址的协议。
在局域网中,当一台主机想要与另一台主机通信时,首先需要获取目标主机的MAC地址,以便将数据包发送给目标主机。
为了实现IP地址和MAC地址的映射,主机会使用ARP协议来请求目标主机的MAC地址,然后将映射关系储存在ARP缓存中,以便后续通信时使用。
ARP攻击利用了ARP协议的工作原理,攻击者发送虚假的ARP响应报文,告诉网络中的其他主机自己是目标主机的MAC地址,从而导致网络中的其他主机将数据包发送给攻击者。
ARP攻击可以被用于中间人攻击、数据包劫持或者拒绝服务攻击等恶意行为。
二、ARP攻击的类型1. ARP欺骗(ARP spoofing):攻击者发送虚假的ARP响应报文,告诉其他主机自己是目标主机的MAC地址,从而获取目标主机的数据包。
2. ARP洪泛(ARP flooding):攻击者向网络中广播大量虚假的ARP请求或响应报文,造成网络设备的ARP缓存溢出,导致通信故障或网络拥堵。
3. ARP缓存中毒(ARP cache poisoning):攻击者向目标主机发送虚假的ARP响应报文,将目标主机的ARP缓存中的IP地址与MAC地址的映射关系修改为攻击者所控制的地址,使得目标主机发送的数据包被重定向到攻击者的设备。
三、ARP攻击的危害1. 中间人攻击:攻击者可以窃取通信双方的数据或者篡改通信内容,从而达到窃取信息的目的。
2. 数据包劫持:攻击者可以拦截通信双方的数据包,获取敏感信息或者篡改数据包内容。
3. 拒绝服务攻击:攻击者通过ARP洪泛攻击,导致网络中的设备无法正常通信,从而瘫痪网络服务。
四、ARP攻击防御措施1. 使用静态ARP绑定:管理员可以手动指定局域网中各个主机的IP地址与MAC地址的映射关系,并将此映射关系添加到网络设备的ARP缓存中,以防止攻击者发送虚假的ARP响应报文。
ARP的攻击主要的几种方式及防护方法ARP(Address Resolution Protocol)攻击是指攻击者通过伪造或篡改网络中的ARP数据包,从而欺骗网络中的主机或路由器,导致数据包被发送到错误的目的地。
这些攻击可能会导致中断网络连接、数据丢失、数据泄露等问题。
下面是几种常见的ARP攻击方式及相应的防护方法:1. ARP欺骗攻击(ARP Spoofing):ARP欺骗攻击是指攻击者将自己伪装成网络中的其他主机,向网络中发送伪造的ARP响应数据包,使得网络中的其他主机将攻击者的MAC地址与网络中的目标IP地址关联起来。
攻击者可以利用这种方式进行MITM (中间人攻击)或者嗅探网络流量等操作。
防护方法:-使用静态ARP表,手动将IP地址和MAC地址进行绑定,避免收到伪造的ARP响应。
- 使用ARP防御工具,如ARPwatch、ARPON等,能够检测并告警网络中的ARP欺骗行为。
-配置网络交换机的ARP防火墙功能,只允许网络中合法设备发送的ARP响应被接收。
2. ARP缓存投毒攻击(ARP Cache Poisoning):ARP缓存投毒攻击是指攻击者向网络中的一些主机发送大量的伪造ARP数据包,使得该主机的ARP缓存中的IP地址与MAC地址映射关系被篡改,导致该主机误将数据包发送到错误的目的地。
防护方法:-使用动态ARP表,定期更新ARP缓存,避免长时间保留与IP地址不匹配的MAC地址。
-启用ARP缓存有效期(TTL)功能,限制ARP缓存的存活时间,避免长时间保留错误的ARP映射。
- 使用属性ARP缓存(Secure ARP Cache)功能,将缓存记录与特定的端口绑定,不接受来自其他端口的ARP应答。
3.反向ARP(RARP)攻击:反向ARP攻击是指攻击者向网络中的主机发送伪造的RARP请求包,使得该主机向攻击者提供目标主机的IP地址、MAC地址等敏感信息,从而导致安全隐患。
防护方法:-禁用RARP服务功能,减少被攻击的风险。
ARP欺骗与防御手段神州数码网络公司目录1. ARP欺骗 (3)1.1. ARP协议工作原理 (3)1.2. ARP协议的缺陷 (3)1.3. ARP协议报文格式 (4)1.4. ARP攻击的种类 (5)1.4.1. ARP网关欺骗 (5)1.4.2. ARP主机欺骗 (6)1.4.3. 网段扫描 (8)1.ARP欺骗在与用户的沟通过程中,感觉到用户的网络管理人员最头痛也是频繁出现的问题就是ARP的病毒攻击问题。
在一个没有防御的网络当中暴发的ARP病毒带来的影响是非常严重的,会造成网络丢包、不能访问网关、IP地址冲突等等。
多台设备短时间内发送大量ARP 报文还会引起设备的CPU利用率上升,严重时可能会引起核心设备的宕机。
如何解决ARP攻击的问题呢?首先要从ARP攻击的原理开始分析。
1.1. ARP协议工作原理在TCP/IP协议中,每一个网络结点是用IP地址标识的,IP地址是一个逻辑地址。
而在以太网中数据包是靠48位MAC地址(物理地址)寻址的。
因此,必须建立IP地址与MAC 地址之间的对应(映射)关系,ARP协议就是为完成这个工作而设计的。
TCP/IP协议栈维护着一个ARP cache表,在构造网络数据包时,首先从ARP表中找目标IP对应的MAC地址,如果找不到,就发一个ARP request广播包,请求具有该IP地址的主机报告它的MAC地址,当收到目标IP所有者的ARP reply后,更新ARP cache。
ARP cache有老化机制。
1.2. ARP协议的缺陷ARP协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。
它是无状态的协议,不会检查自己是否发过请求包,也不管(其实也不知道)是否是合法的应答,只要收到目标MAC是自己的ARP reply包或arp广播包(包括ARP request和ARP reply),都会接受并缓存。
这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至可以做“中间人”。
1.3. ARP协议报文格式报文的前两个字段分别为目地MAC地址和源MAC地址,长度共12个字节。
当报文中,目地MAC地址为全1(FF:FF:FF:FF:FF:FF)时候,代表为二层广播报文。
同一个广播域的主机均会收到。
第三个字段是帧类型,长度2个字节。
对于ARP报文,这个字段的值为“0806”。
接下来两个2字节的字段表示硬件地址类型和对应映射的协议类型。
硬件地址类型值为“0001”代表以太网地址。
协议类型值为“0800”代表IP地址。
后跟两个1字节的字段表示硬件地址长度和协议地址长度。
这两个字段具体数值分别为“6”和“4”代表硬件地址长度使用6字节表示和协议地址长度使用4字节表示。
类型字段,长度2个字节。
这个字段的值表示出ARP报文属于那种操作。
ARP请求(值为“01”,ARP应答(值为“02”),RARP请求(值为“03”)和RARP应答(值为“04”)。
最后四个字段为发送端MAC地址、发送端IP地址、接收端MAC地址、接收端IP地址。
(其中,发送端MAC地址与字段2的源MAC地址重复。
)1.4. ARP攻击的种类针对ARP攻击的不同目地,可以把ARP攻击分为网关欺骗、主机欺骗、MAC地址扫描几类。
下面分析一下每种ARP攻击使用的方法和报文格式。
1.4.1.ARP网关欺骗在ARP的攻击中,网关欺骗是一种比较常见的攻击方法。
通过伪装的ARP Request报文或Reply报文到修改PC机网关的MAC-IP对照表的目地。
造成PC机不能访问网关,将本应发向网关的数据报文发往被修改的MAC地址。
网关欺骗的报文格式:主要参数:Destination Address :00:0B:CD:61:C1:26(被欺骗主机的MAC地址)Source Address :00:01:01:01:01:01 (网关更改的虚假MAC地址)Type :1 (ARP的请求报文)Source Physics :00:01:01:01:01:01Source IP :211.68.199.1Destination Physics :00:0B:CD:61:C1:26Destination IP :211.68.99.101按上面的格式制作的数据包会对MAC地址为00:0B:CD:61:C1:26的主机发起网关欺骗,将这台PC机的网关211.68.199.1对应的MAC地址修改为00:01:01:01:01:01这个伪装的MAC 地址。
可以看到,上面这个网关欺骗的报文为单播ARP请求报文(Reply类同,在此不做详细介绍)。
直接针对目地主机。
对于这样的报文,唯有将它在进入端口的时候丢弃,才能保证网络当中的PC机不会受到这样的攻击。
1.4.2.ARP主机欺骗ARP主机欺骗的最终目地是修改PC机或交换机设备的MAC表项。
将原本正确的表项修改为错误的MAC地址。
最终导致PC机不能访问网络。
ARP主机欺骗可以使用单播报文实现也可以使用广播报文实现。
使用单播报文:主要参数:Destination Address :00:10:C6:DD:A6:28(被欺骗主机的MAC地址)Source Address :00:01:01:01:01:01 (101更改的虚假MAC地址)Type :2 (ARP的应答报文)Source Physics :00:01:01:01:01:01Source IP :211.68.199.101Destination Physics :00:10:C6:DD:A6:28Destination IP :211.68.99.103这个单播报文会导致211.68.199.103这台PC机将本机MAC表中的211.68.199.101对应的MAC地址更改为00:01:01:01:01:01这个错误的IP地址。
导致103发往101的数据包发到一个错误的地址。
广播报文:主要参数:Destination Address :FF:FF:FF:FF:FF:FF(全FF的广播地址)Source Address :00:01:01:01:01:01 (广播的虚假MAC地址)Type :1 (ARP的请求报文)Source Physics :00:01:01:01:01:01Source IP :211.68.199.101Destination Physics :00:00:00:00:00:00Destination IP :211.68.99.103这个数据包表面上类似于正常的ARP请求报文,目地地址为全F的广播,接收端的MAC地址为全0的未知地址。
意义为IP为101的PC机寻找IP为103的PC机的MAC地址。
但当把报文中的两个源MAC地址修改为一个错误的MAC地址之后。
这种报文就会引起全网PC机及交换机将211.68.199.101这台PC机的MAC地址修改为00:01:01:01:01:01这个错误的IP地址。
针对主机欺骗的防护,一方面需要保护交换机的MAC表项。
确保交换机拥有正确的MAC表。
另一方面,针对PC机的MAC表的保护就只能使这种不合法的数据包不进入到交换机中才能完全防御ARP的主机欺骗。
1.4.3.网段扫描有很多的工具可以实现MAC地址扫描的工作。
MAC扫描的报文格式也非常简单,就是一个IP地址对多个或整个网段的ARP请求报文。
严格的来说,正确的网段扫描本身对网络不会产生不利的影响。
但因为网段扫描时使用的是广播报文,多台PC同时进行大量的扫描的时候会在网络中产生拥塞。
更重要的一点,很多的ARP攻击病毒在发起攻击之前都需要获取到网段内IP和MAC地址的对照关系。
就会利用到网段扫描。
数据包的格式:主要参数:Destination Address :FF:FF:FF:FF:FF:FF(全F的目地址为二层的广播)Source Address :00:10:C6:DD:A6:28 (发起ARP扫描PC的MAC地址)Type :1 (ARP的请求报文)Source Physics :00:10:C6:DD:A6:28Source IP :211.68.199.201 (发起ARP扫描PC的IP地址)Destination Physics :00:00:00:00:00:00 (需寻找的IP对应的MAC地址未知)Destination IP :211.68.99.2 (需寻找的IP地址)将这个报文复制多份,并将Destination IP的地址改为多个不重复的IP地址即可对多个IP或网段进行扫描。
另外,在ARP请求报文中含有的两个源MAC地址修改为错误的MAC地址后,这个报文就变成了主机欺骗的报文。
针对网段扫描的防护首先着眼于单个端口单位时间内进入的ARP报文数量入手。
PC机在正常的没有任何操作的时候是不会对网络当中发送大量的ARP请求的。
当端口进入的ARP包超过一个限值时判断受到了网段扫描的攻击。
就对端口进行关闭,防止大量数据包进入。
2.DCN对ARP攻击防御的几种手段ARP攻击的几种攻击方式在前面已经进行过分析。
结合ARP攻击的不同形式,我们有多种方法来进行防御。
在下面的命令和配置取自3950-52CT和3950-26S,具体其他型号设备在配置命令或下面提到的几种技术支持能力的方面,请及时查看具体型号设备的用户手册和版本更新通知。
2.1. 网关欺骗防御ARP-GUARD针对网关欺骗采用的报文中必需要含有网关的IP条目,我们可以使用Arp-Guard来保护网关不会被修改。
应用的时候,在接口模式下“Arp-guard ip 网关IP地址”。
接口上启用后,这个接口对于进入的数据包中携带有网关IP地址的ARP报文将会丢弃而不进行转发。
对于上行端口,绝不要设置Arp-Guard以免出现网络中断。
配置命令:Switch>enableSwitch#config terminalSwitch(config)#interface Ethernet 0/0/1Switch(Config-Ethernet0/0/1)#arp-guard ip 211.68.199.12.2. 主机欺骗防御主机欺骗的防御针对主机欺骗的两个方向来考虑。
一、欺骗交换机表项1、采用静态MAC与IP绑定的作法,实现手工绑定。
2、结合DHCP做Dhcp Snooping 的Binding Arp方式,实现自动静态绑定。
二、欺骗主机及交换机表项3、结合DHCP做Dhcp Snooping的端口user-control方式,控制端口进入的数据包的源IP和MAC地址与Dhcp Snooping下发表一致的报文通过。
4、MAC ACL,使端口接收数据包的时候检查数据包的源地址与设定的地址相同。
