目前關於ARP類的防護軟件出的比較多了,大家使用比較常用的ARP工具主要是欣向ARP工具,Antiarp等。它們除了本身來檢測出ARP攻擊外,防護的工作原理是壹定頻率向網絡廣播正確的ARP信息。我們還是來簡單說下這兩個小工具。 我使用了該工具,它有5個功能:
1.A. IP/MAC清單
選擇網卡。如果是單網卡不需要設置。如果是多網卡需要設置連接內網的那塊網卡。
IP/MAC掃描。這裏會掃描目前網絡中所有的機器的IP與MAC地址。請在內網運行正常時掃描,因為這個表格將作為對之後ARP的參照。
之後的功能都需要這個表格的支持,如果出現提示無法獲取IP或MAC時,就說明這裏的表格裏面沒有相應的數據。
2.B. ARP欺騙檢測
這個功能會壹直檢測內網是否有PC冒充表格內的IP。妳可以把主要的IP設到檢測表格裏面,例如,路由器,電影服務器,等需要內網機器訪問的機器IP。
(補充)“ARP欺騙記錄”表如何理解:
“Time”:發現問題時的時間;
“sender”:發送欺騙信息的IP或MAC;
“Repeat”:欺詐信息發送的次數;
“ARP info”:是指發送欺騙信息的具體內容.如下面例子:
time sender Repeat ARP info 22:22:22 192.168.1.22 1433 192.168.1.1 is at 00:0e:03:22:02:e8
這條信息的意思是:在22:22:22的時間,檢測到由192.168.1.22發出的欺騙信息,已經發送了1433次,他發送的欺騙信息的內容是:192.168.1.1的MAC地址是00:0e:03:22:02:e8。
打開檢測功能,如果出現針對表內IP的欺騙,會出現提示。可以按照提示查到內網的ARP欺騙的根源。提示壹句,任何機器都可以冒充其他機器發送IP與MAC,所以即使提示出某個IP或MAC在發送欺騙信息,也未必是100%的準確。所以請不要以暴力解決某些問題。
3.C. 主動維護
這個功能可以直接解決ARP欺騙的掉線問題,但是並不是理想方法。他的原理就在網絡內不停的廣播制定的IP的正確的MAC地址。
“制定維護對象”的表格裏面就是設置需要保護的IP。發包頻率就是每秒發送多少個正確的包給網絡內所有機器。強烈建議盡量少的廣播IP,盡量少的廣播頻率。壹般設置1次就可以,如果沒有綁定IP的情況下,出現ARP欺騙,可以設置到50-100次,如果還有掉線可以設置更高,即可以實現快速解決ARP欺騙的問題。但是想真正解決ARP問題,還是請參照上面綁定方法。
4.D.欣向路由器日誌
收集欣向路由器的系統日誌,等功能。
5.E.抓包
類似於網絡分析軟件的抓包,保存格式是.cap。 這個軟件界面比較簡單,以下為我收集該軟件的使用方法。
A. 填入網關IP地址,點擊[獲取網關地址]將會顯示出網關的MAC地址。點擊[自動防護]即可保護當前網卡與該網關的通信不會被第三方監聽。註意:如出現ARP欺騙提示,這說明攻擊者發送了ARP欺騙數據包來獲取網卡的數據包,如果您想追蹤攻擊來源請記住攻擊者的MAC地址,利用MAC地址掃描器可以找出IP 對應的MAC地址。
B. IP地址沖突
如頻繁的出現IP地址沖突,這說明攻擊者頻繁發送ARP欺騙數據包,才會出現IP沖突的警告,利用Anti ARP Sniffer可以防止此類攻擊。
C. 您需要知道沖突的MAC地址,Windows會記錄這些錯誤。查看具體方法如下:
右擊[我的電腦]--[管理]--點擊[事件查看器]--點擊[系統]--查看來源為[TcpIP]---雙擊事件可以看到顯示地址發生沖突,並記錄了該MAC地址,請復制該MAC地址並填入Anti ARP Sniffer的本地MAC地址輸入框中(請註意將:轉換為-),輸入完成之後點擊[防護地址沖突],為了使MAC地址生效請禁用本地網卡然後再啟用網卡,在CMD命令行中輸入Ipconfig /all,查看當前MAC地址是否與本地MAC地址輸入框中的MAC地址相符,如果更改失敗請與我聯系。如果成功將不再會顯示地址沖突。
註意:如果您想恢復默認MAC地址,請點擊[恢復默認],為了使MAC地址生效請禁用本地網卡然後再啟用網卡。 這類路由器以前聽說的很少,對於這類路由器中提到的ARP防護功能,其實它的原理就是定期的發送自己正確的ARP信息。但是路由器的這種功能對於真正意義上的攻擊,是不能解決的。
ARP的最常見的特征就是掉線,壹般情況下不需要處理壹定時間內可以回復正常上網,因為ARP欺騙是有老化時間的,過了老化時間就會自動的回復正常。現在大多數路由器都會在很短時間內不停廣播自己的正確ARP信息,使受騙的主機回復正常。但是如果出現攻擊性ARP欺騙(其實就是時間很短的量很大的欺騙ARP,1秒有個幾百上千的),它是不斷的發起ARP欺騙包來阻止內網機器上網,即使路由器不斷廣播正確的包也會被他大量的錯誤信息給淹沒。
可能妳會有疑問:我們也可以發送比欺騙者更多更快正確的ARP信息啊?如果攻擊者每秒發送1000個ARP欺騙包,那我們就每秒發送1500個正確的ARP信息!
面對上面的疑問,我們仔細想想,如果網絡拓撲很大,網絡中接了很多網絡設備和主機,大量的設備都去處理這些廣播信息,那網絡使用起來好不爽,再說了會影響到我們工作和學習。ARP廣播會造成網絡資源的浪費和占用。如果該網絡出了問題,我們抓包分析,數據包中也會出現很多這類ARP廣播包,對分析也會造成壹定的影響。 ARP欺騙亦有正當用途。其壹是在壹個需要登入的網絡中,讓未登入的計算機將其瀏覽網頁強制轉向到登入頁面,以便登入後才可使用網絡。另外有些設有備援機制的網絡設備或服務器,亦需要利用ARP欺騙以在設備出現故障時將訊務導到備用的設備上。