防止arp攻击(防御arp攻击)

更新时间:2023-03-02 05:24:07 阅读: 评论:0

arp攻击与防范

  如今互联网的重要性越来越大,很多人也对一些知识很感兴趣,那么你知道arp攻击与防范吗?下面是我整理的一些关于arp攻击与防范的相关资料,供你参考。

  arp攻击与防范:

  一、要想防患arp攻击,那么我们要知道什么是arp?

  ARP:地址解析协议,用于将32位的IP地址解析成48位的物理mac地址。

  在以太网协议中,规定同一局域网中的主机相互通信,必须知道对方的物理地址(即mac地址),而在tcp/ip协议中,网络层和传输层只关心目标主机的ip地址。这就导致在以太网中使用IP协议时,数据链路层的以太网协议接到上层的IP协议提供的数据中,只包含目的主机的IP地址。所以就需要一种协议,根据目的的IP地址,获得其mac地址。所以arp协议就应运而生。

  另外,当发送主机和目的主机不在同一个局域网中时,即便知道目的主机的MAC地址,两者也不能直接通信,必须经过路由转发才可以。所以此时,发送主机通过ARP协议获得的将不是目的主机的真实MAC地址,而是一台可以通往局域网外的路由器的某个端口的MAC地址。于是此后发送主机发往目的主机的所有帧,都将发往该路由器,通过它向外发送。这种情况称为ARP代理(ARP Proxy)。

  二、arp攻击的原理

  ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。

  ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内 其它 计算机的通信信息,并因此造成网内其它计算机的通信故障。

  三、什么是ARP欺骗

  在局域网中,黑客 经过收到ARP Request广播包,能够偷听到其它节点的 (IP, MAC) 地址, 黑客就伪装为A,告诉B (受害者) 一个假地址,使得B在发送给A 的数据包都被黑客截取,而A, B 浑然不知。

  四、arp的攻击方式:

  1、ip地址冲突

  Arp病毒制造者制造出局域网上有另一台主机与受害主机共享一个IP的假象。大量的攻击数据包能令受害主机耗费大量的系统资源。

  ①单播型的IP地址冲突

  数据链路层记录的目的物理地址为被攻击主机的物理地址,这样使得该arp数据包只能被受攻击主机所接收,而不被局域网内其他主机所接收,实现隐蔽式攻击。

  ②广播型的IP地址冲突

  数据链路层记录的目的物理地址为广播地址,这样使得局域网内的所有主机都会接收到该arp数据包,虽然该arp数据包所记录的目的IP地址不是受攻击主机的IP地址,但是由于该arp数据包为广播数据包,这样受攻击主机也会收到。

  2、arp泛洪攻击

  攻击主机持续把伪造的mac-ip映射对发给受害的主机,对于局域网内的所有主机和网管进行广播,抢占网络带宽和干扰正常通信。

  3、arp扫描攻击

  Arp攻击者向局域网发送arp请求,从而获得正在运行主机的IP和MAC地址的映射对。攻击源通过对arp扫描获得所要攻击的IP和mac地址,从而为网络监听、盗取用户数据,实现隐蔽式攻击做准备。

  4、虚拟主机攻击

  黑客通过在网络内虚拟构建网卡,将自己虚拟成网络内的一台主机,拥有虚拟的物理地址和IP地址。使得占用局域网内的IP地址资源,使得正常运行的主机会发生IP地址冲突,并且大量的虚拟主机攻击会使得局域网内的主机无法正常获得IP地址。

  5、ARP欺骗攻击

  目的是向目标主机发送伪造的arp应答,并使目标主机接收应答中的IP与MAC间的映射,并以此更新目标主机缓存。从而影响链接畅通。其方式有:冒充主机欺骗网关,原理是截获网关数据和冒充网关欺骗主机,原理是伪造网关。

  五、arp攻击防患 措施

  1、在客户端静态绑定IP地址和MAC地址

  进入命令行arp –a命令查看,获取本机的网关IP地址和网关mac地址

  编写一个批处理内容为:

  @echo off

  arp -d

  arp –s 网关的IP地址 自己的mac地址

  保存放置到开机启动项里

  2、设置arp服务器

  指定局域网内部的一台机器作为arp服务器,专门保存且维护可信范围内的所有主机的IP地址与mac地址的映射记录。该服务器通过查阅自己的arp缓存的静态记录,并以被查询主机的名义相应局域网内部的arp请求,同时设置局域网内部其他主机只是用来自arp服务器的arp响应。

  3、交换机端口设置

  通过划分VLAN和交换机端口绑定,以图防范ARP,也是常用的防范 方法 。做法是细致地划分VLAN,减小广播域的范围,使ARP在小范围内起作用,而不至于发生大面积影响。同时,一些网管交换机具有MAC地址学习的功能,学习完成后,再关闭这个功能,就可以把对应的MAC和端口进行绑定,避免了病毒利用ARP攻击篡改自身地址。也就是说,把ARP攻击中被截获数据的风险解除了。这种方法确实能起到一定的作用。

  不过,VLAN和交换机端口绑定的问题在于:

  ①没有对网关的任何保护,不管如何细分VLAN,网关一旦被攻击,照样会造成全网上网的掉线和瘫痪。

  ②把每一台电脑都牢牢地固定在一个交换机端口上,这种管理太死板了。这根本不适合移动终端的使用,从办公室到会议室,这台电脑恐怕就无法上网了。在无线应用下,又怎么办呢?还是需要其他的办法。

  ③实施交换机端口绑定,必定要全部采用高级的网管交换机、三层交换机,整个交换网络的造价大大提高。

  因为交换网络本身就是无条件支持ARP操作的,就是它本身的漏洞 造成了ARP攻击的可能,它上面的管理手段不是针对ARP的。因此,在现有的交换网络上实施ARP防范措施,属于以子之矛攻子之盾。而且操作维护复杂,基本上是个费力不讨好的事情。

  4、ARP个人防火墙

  在一些杀毒软件中加入了ARP个人防火墙的功能,它是通过在终端电脑上对网关进行绑定,保证不受网络中假网关的影响,从而保护自身数据不被窃取的措施。ARP防火墙使用范围很广,有很多人以为有了防火墙,ARP攻击就不构成威胁了,其实完全不是那么回事。

  ARP个人防火墙也有很大缺陷:

  ①它不能保证绑定的网关一定是正确的。如果一个网络中已经发生了ARP欺骗,有人在伪造网关,那么,ARP个人防火墙上来就会绑定这个错误的网关,这是具有极大风险的。即使配置中不默认而发出提示,缺乏 网络知识 的用户恐怕也无所适从。

  ②ARP是网络中的问题,ARP既能伪造网关,也能截获数据,是个“双头怪”。在个人终端上做ARP防范,而不管网关那端如何,这本身就不是一个完整的办法。ARP个人防火墙起到的作用,就是防止自己的数据不会被盗取,而整个网络的问题,如掉线、卡滞等,ARP个人防火墙是无能为力的。

  因此,ARP个人防火墙并没有提供可靠的保证。最重要的是,它是跟网络稳定无关的措施,它是个人的,不是网络的。

  5、安装监听软件

  可以安装sniffer软件,监听网络中的arp包,由于ARP欺骗往往使用广播形式传播,即使在交换机环境下也明显能监听到某PC端正在狂发arp包,可以定位到arp病毒源主机。

  6、反欺骗

  通过命令设置一个错误的网关地址,反欺骗arp病毒,然后再添加一条静态路由,设置正确的网关用于正常的网络访问。


ARP攻击怎样防御?

Arp
攻击最近一段时间不知道什么原因特别流行。
被攻击者会出现IP冲突或者掉线(ARP只能在内网有效)
常见的防御方法有以下几种
1.Arp防火墙,一般这种软件是通过从网络上获得ARP包进行分析来防御的,不过这种防御效果一般不是很好。
2.Arp
驱动级防火墙,比如360安全卫士的
Anti-Arp
防火墙就是这个原理,通过一个过滤驱动来过滤掉
Arp
包,不过同样也需要安装第三方软件但是防御效果比较好。
3.手动固化ARP缓存表。这个指对ARP攻击造成的掉线有效。方法如下
C:\>arp
-a
Interface:
192.168.1.5
---
0x20003
Internet
Address
Physical
Address
Type
192.168.1.1
08-10-17-cc-36-84
dynamic
C:\>arp
-s
192.168.1.1
08-10-17-cc-36-84
C:\>arp
-a...Arp
攻击最近一段时间不知道什么原因特别流行。
被攻击者会出现IP冲突或者掉线(ARP只能在内网有效)
常见的防御方法有以下几种
1.Arp防火墙,一般这种软件是通过从网络上获得ARP包进行分析来防御的,不过这种防御效果一般不是很好。
2.Arp
驱动级防火墙,比如360安全卫士的
Anti-Arp
防火墙就是这个原理,通过一个过滤驱动来过滤掉
Arp
包,不过同样也需要安装第三方软件但是防御效果比较好。
3.手动固化ARP缓存表。这个指对ARP攻击造成的掉线有效。方法如下
C:\>arp
-a
Interface:
192.168.1.5
---
0x20003
Internet
Address
Physical
Address
Type
192.168.1.1
08-10-17-cc-36-84
dynamic
C:\>arp
-s
192.168.1.1
08-10-17-cc-36-84
C:\>arp
-a
Interface:
192.168.1.5
---
0x20003
Internet
Address
Physical
Address
Type
192.168.1.1
08-10-17-cc-36-84
static
192.168.1.41
00-e0-e4-02-e3-e0
dynamic
C:\>
可以看到先显示的网关
192.168.1.1
的项目是
dynamic(动态)
这种动态的每隔一段时间会自动更新一次,所以攻击者就是通过伪造ARP包来更新对方的网关MAC到一个不存在的MAC上来实现ARP掉线攻击效果,而参数
“-s”
可以手动固化项目,所以第二次查就是
static(静态)
这样他的对应MAC就不会变了,也就不会掉线了不过对于IP冲突这个方法没法防御。

ARP攻击,如何防御?

机器也可以切换MAC绑定,但一般不会这样做,因为会有一个新的机器,ARP框架可以伪造和管理太多的麻烦,但这样做会和外部不一致的帧(帧)应该IP,MAC可以检查内外一致的IP源地址的头也可以是假的,但是,不能到你的港口,如果让绑定无法直接在网上(是)在我们学校总体上不是一劳永逸的方法防止ARP攻击(因为)ARP本身是有缺陷的,并没有发现的攻击手段。

这并不一定是ARP攻击,它可能是LAN路由器桥的结果。如果有一个桥,路由器,路由器是打开DHCP来分配动态IP,客户端从任何路由器IP中获得,会有IP冲突,但不会被检测到,所以我不能上网,也会引发360 ARP攻击。解决方案是关闭路由器DHCP,除了一般路由之外。或者总路由网关是特殊的,比如192.168.250.1,然后是因特网上的静态IP。

在PC上,你可以绑定网关IP和MAC。但是你不能阻止攻击者继续发送arp包。刷新网关上的arp缓存。有可能说arp防火墙也会继续发送arp包到网关?然而,平均arp防火墙的包率为1 /包。如果攻击者以高速发送arp包,攻击效果仍然可以实现。

然后是arp中毒。你可以解决这个问题。绑定IP和MAC地址也可以安装软件拦截器


防范ARP攻击的最有效的方法是什么?

1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。2、设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。5、使用""proxy""代理IP的传输。6、使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。8、管理员定期轮询,检查主机上的ARP缓存。9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。最后建议你为了自己电脑的安全,使用火狐浏览器从此摆脱流氓插件,彻底杜绝木马病毒火狐浏览器推荐下载: http://hi.baidu.com/beiy/blog/item/96d4433b4b5ca7eb14cecb5e.html

ARP攻击防制的基本方法_路由器怎么抵御ARP病毒

ARP 欺骗/攻击反复袭击,是近来网络行业普遍了解的现象,随着 ARP 攻击的不断升级,不同的解决方案在市场上流传。 这里我解释了 ARP 攻击防制的基本思想。我们认为读者如果能了解这个基本思想,就能自行判断何种防制方式有效,也能了解为何双向绑定是一个较全面又持久的解决方式。

不坚定的 ARP 协议

一般计算机中的原始的 ARP 协议,很像一个思想不坚定,容易被 其它 人影响的人, ARP 欺骗/攻击就是利用这个特性,误导计算机作出错误的行为。 ARP 攻击的原理,互联网上很容易找到,这里不再覆述。原始的 ARP 协议运作,会附在局域网接收的广播包或是 ARP 询问包,无条件覆盖本机缓存中的 ARP /MAC对照表。这个特性好比一个意志不坚定的人,听了每一个人和他说话都信以为真,并立刻以最新听到的信息作决定。

就像一个没有计划的快递员,想要送信给“张三”,只在马路上问“张三住那儿?”,并投递给最近和他说“我就是!”或“张三住那间!”,来决定如何投递一样。在一个人人诚实的地方,快递员的工作还是能切实地进行;但若是旁人看快递物品值钱,想要欺骗取得的话,快递员这种工作方式就会带来混乱了。

我们再回来看 ARP 攻击和这个意志不坚定快递员的关系。常见 ARP 攻击对象有两种,一是网络网关,也就是路由器,二是局域网上的计算机,也就是一般用户。攻击网络网关就好比发送错误的地址信息给快递员,让快递员整个工作大乱,所有信件无法正常送达;而攻击一般计算机就是直接和一般人谎称自己就是快递员,让一般用户把需要传送物品传送给发动攻击的计算机。

针对 ARP 攻击的防制 方法

1、利用 ARP echo传送正确的 ARP 讯息:通过频繁地提醒正确的 ARP 对照表,来达到防制的效果。

2、利用绑定方式,固定 ARP 对照表不受外来影响:通过固定正确的 ARP 对照表,来达到防制的效果。

3、舍弃 ARP 协议,采用其它寻址协议:不采用 ARP 作为传送的机制,而另行使用其它协议例如PPPoE方式传送。

以上三种方法中,前两种方法较为常见,第三种方法由于变动较大,适用于技术能力较佳的应用。下面针对前两种方法加以说明。

PK 赛之“ ARP echo”

ARP echo是最早开发出来的 ARP 攻击解决方案,但随着 ARP 攻击的发展,渐渐失去它的效果。现在,这个方法不但面对攻击没有防制效果,还会降低局域网运作的效能,但是很多用户仍然以这个方法来进行防制。以前面介绍的思想不坚定的快递员的例子来说, ARP echo的作法,等于是时时用电话提醒快递员正确的发送对象及地址,减低他被邻近的各种信息干扰的情况。

但是这种作法,明显有几个问题:第一,即使时时提醒,但由于快递员意志不坚定,仍会有部份的信件因为要发出时刚好收到错误的信息,以错误的方式送出去;这种情况如果是错误的信息频率特高,例如有一个人时时在快递员身边连续提供信息,即使打电话提醒也立刻被覆盖,效果就不好;第二,由于必须时时提醒,而且为了保证提醒的效果好,还要加大提醒的间隔时间,以防止被覆盖,就好比快递员一直忙于接听总部打来的电话,根本就没有时间可以发送信件,耽误了正事;第三,还要专门指派一位人时时打电话给快递员提醒,等于要多派一个人手负责,而且持续地提醒,这个人的工作也很繁重。

以 ARP echo方式对应 ARP 攻击,也会发生相似的情况。第一,面对高频率的新式 ARP 攻击, ARP echo发挥不了效果,掉线断网的情况仍旧会发生。 ARP echo的方式防制的对早期以盗宝为目的的攻击软件有效果,但碰到最近以攻击为手段的攻击软件则公认是没有效果的。第二, ARP echo手段必须在局域网上持续发出广播网络包,占用局域网带宽,使得局域网工作的能力降低,整个局域网的计算机及交换机时时都在处理 ARP echo广播包,还没受到攻击局域网就开始卡了。第三,必须在局域网有一台负责负责发 ARP echo广播包的设备,不管是路由器、服务器或是计算机,由于发包是以一秒数以百计的方式来发送,对该设备都是很大的负担。

常见的 ARP echo处理手法有两种,一种是由路由器持续发送,另一则是在计算机或服务器安装软件发送。路由器持续发送的缺点是路由器原本的工作就很忙,因此无法发送高频率的广播包,被覆盖掉的机会很大,因此面对新型的 ARP 攻击防制效果小。因此,有些解决方法,就是拿 ARP 攻击的软件来用,只是持续发出正确的网关、服务器对照表,安装在服务器或是计算机上,由于服务器或是计算机运算能力较强,可以同一时间内发出更多广播包,效果较大,但是这种作法一则大幅影响局域网工作,因为整个局域网都被广播包占据,另则攻击软件通常会设定更高频率的广播包,误导局域网计算机,效果仍然有限。

此外, ARP echo一般是发送网关及私服的对照信息,对于防止局域网计算机被骗有效果,对于路由器没有效果,仍需作绑定的动作才可。

PK赛之“ ARP 绑定”

ARP echo的作法是不断提醒计算机正确的 ARP 对照表, ARP 绑定则是针对 ARP 协议“思想不坚定“的基本问题来加以解决。Qno侠诺技术服务人员认为, ARP 绑定的作法,等于是从基本上给这个快递员培训,让他把正确的人名及地址记下来,再也不受其它人的信息干扰。由于快递员脑中记住了这个对照表,因此完全不会受到有心人士的干扰,能有效地完成工作。在这种情况下,无论如何都可以防止因受到攻击而掉线的情况发生。

但是 ARP 绑定并不是万灵药,还需要作的好才有完全的效果。第一,即使这个快递员思想正确,不受影响,但是攻击者的网络包还是会小幅影响局域网部份运作,网管必须通过网络监控或扫瞄的方法,找出攻击者加以去除;第二,必须作双向绑定才有完全的效果,只作路由器端绑定效果有限,一般计算机仍会被欺骗,而发生掉包或掉线的情况。

双向绑定的解决方法,最为网管不喜欢的就是必须一台一台加以绑定,增加工作量。但是从以上的说明可知道,只有双向绑定才能有效果地解决 ARP 攻击的问题,而不会发生防制效果不佳、局域网效率受影响、影响路由器效能或影响服务器效能的缺点。也就是说双向绑定是个硬工夫,可以较全面性地解决现在及未来 ARP 攻击的问题,网管为了一时的省事,而采取片面的 ARP echo解决方式,未来还是要回来解决这个问题。

另外,对于有自动通过局域网安装软件的网络,例如网吧的收费系统、无盘系统,都可以透过自动的批次档,自动在开机时完成绑定的工作,网管只要撰写一个统一的批次文件程序即可,不必一一配置。这些信息可以很容易地在互联网上通过搜索找到或者是向Qno侠诺的技术服务人员索取即可。

现阶段较佳解决方案——双向绑定

以上以思想不坚定的快递员情况,说明了常见的 ARP 攻击防制方法。 ARP 攻击利用的就是 ARP 协议的意志不坚,只有以培训的方式让 ARP 协议的意志坚定,明白正确的工作方法,才能从根本解决问题。只是依赖频繁的提醒快递员正确的作事方法,但是没有能从快递员意志不坚的特点着手,就好像只管不教,最终大家都很累,但是效果仍有限。

Qno侠诺的技术服务人员建议,面对这种新兴攻击,取巧用省事的方式准备,最后的结果可能是费事又不管用,必须重新来过。 ARP 双向绑定虽然对网管带来一定的工作量,但是其效果确是从根本上有效,而且网管也可参考自动批次档的作法,加快配置自动化的进行,更有效地对抗 ARP 攻击。

>>>下一页更多精彩“路


怎样防范ARP欺骗攻击

[防范ARP攻击的方法]
这里说的防范方法适用于从未连接过网络、从未使用过U盘或者移动硬盘、从未使用过黑客软件的电脑。
1. 安装杀毒软件。海南大学三亚学院网络中心推荐使用卡巴斯基反病毒软件、Nod32杀毒软件。安装杀毒软件后请将病毒库升级至最新版,并且在使用电脑过程中不中断开启杀毒软件。
2. 安装ARP防火墙软件。海南大学三亚学院网络中心推荐使用ARP防火墙、风云防火墙、360ARP防火墙。安装ARP防火墙后请在设置页面手动设置自己所在IP段网关IP地址及网关的MAC地址。
[如何查看自己的IP地址及MAC地址?]
Windows XP用户:
1. 开始à运行à输入”CMD”命令(仅输入引号内命令)à确定。
点击运行
输入”cmd”命令并点击确定
2. 在打开的cmd窗口中输入”ipconfig/all”。
3. 对比下图查看自己的MAC地址。

MAC等地址如图所示
[如何查看网关的IP地址及MAC地址?]
1. 进入CMD命令行后,输入”arp –a”。
2. 对比下图查看网关IP及MAC地址。

本文发布于:2023-02-28 20:53:00,感谢您对本站的认可!

本文链接:https://www.wtabcd.cn/zhishi/a/167770584793187.html

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。

本文word下载地址:防止arp攻击(防御arp攻击).doc

本文 PDF 下载地址:防止arp攻击(防御arp攻击).pdf

标签:arp
相关文章
留言与评论(共有 0 条评论)
   
验证码:
Copyright ©2019-2022 Comsenz Inc.Powered by © 实用文体写作网旗下知识大全大全栏目是一个全百科类宝库! 优秀范文|法律文书|专利查询|