如今互聯網的重要性越來越大,很多人也對壹些知識很感興趣,那麽妳知道arp攻擊與防範嗎?下面是我整理的壹些關於arp攻擊與防範的相關資料,供妳參考。
arp攻擊與防範:
壹、要想防患arp攻擊,那麽我們要知道什麽是arp?
ARP:地址解析協議,用於將32位的IP地址解析成48位的物理mac地址。
在以太網協議中,規定同壹局域網中的主機相互通信,必須知道對方的物理地址(即mac地址),而在tcp/ip協議中,網絡層和傳輸層只關心目標主機的ip地址。這就導致在以太網中使用IP協議時,數據鏈路層的以太網協議接到上層的IP協議提供的數據中,只包含目的主機的IP地址。所以就需要壹種協議,根據目的的IP地址,獲得其mac地址。所以arp協議就應運而生。
另外,當發送主機和目的主機不在同壹個局域網中時,即便知道目的主機的MAC地址,兩者也不能直接通信,必須經過路由轉發才可以。所以此時,發送主機通過ARP協議獲得的將不是目的主機的真實MAC地址,而是壹臺可以通往局域網外的路由器的某個端口的MAC地址。於是此後發送主機發往目的主機的所有幀,都將發往該路由器,通過它向外發送。這種情況稱為ARP代理(ARP Proxy)。
二、arp攻擊的原理
ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞,攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,造成網絡中斷或中間人攻擊。
ARP攻擊主要是存在於局域網網絡中,局域網中若有壹臺計算機感染ARP木馬,則感染該ARP木馬的系統將會試圖通過?ARP欺騙?手段截獲所在網絡內 其它 計算機的通信信息,並因此造成網內其它計算機的通信故障。
三、什麽是ARP欺騙
在局域網中,黑客 經過收到ARP Request廣播包,能夠偷聽到其它節點的 (IP, MAC) 地址, 黑客就偽裝為A,告訴B (受害者) 壹個假地址,使得B在發送給A 的數據包都被黑客截取,而A, B 渾然不知。
四、arp的攻擊方式:
1、ip地址沖突
Arp病毒制造者制造出局域網上有另壹臺主機與受害主機***享壹個IP的假象。大量的攻擊數據包能令受害主機耗費大量的系統資源。
①單播型的IP地址沖突
數據鏈路層記錄的目的物理地址為被攻擊主機的物理地址,這樣使得該arp數據包只能被受攻擊主機所接收,而不被局域網內其他主機所接收,實現隱蔽式攻擊。
②廣播型的IP地址沖突
數據鏈路層記錄的目的物理地址為廣播地址,這樣使得局域網內的所有主機都會接收到該arp數據包,雖然該arp數據包所記錄的目的IP地址不是受攻擊主機的IP地址,但是由於該arp數據包為廣播數據包,這樣受攻擊主機也會收到。
2、arp泛洪攻擊
攻擊主機持續把偽造的mac-ip映射對發給受害的主機,對於局域網內的所有主機和網管進行廣播,搶占網絡帶寬和幹擾正常通信。
3、arp掃描攻擊
Arp攻擊者向局域網發送arp請求,從而獲得正在運行主機的IP和MAC地址的映射對。攻擊源通過對arp掃描獲得所要攻擊的IP和mac地址,從而為網絡監聽、盜取用戶數據,實現隱蔽式攻擊做準備。
4、虛擬主機攻擊
黑客通過在網絡內虛擬構建網卡,將自己虛擬成網絡內的壹臺主機,擁有虛擬的物理地址和IP地址。使得占用局域網內的IP地址資源,使得正常運行的主機會發生IP地址沖突,並且大量的虛擬主機攻擊會使得局域網內的主機無法正常獲得IP地址。
5、ARP欺騙攻擊
目的是向目標主機發送偽造的arp應答,並使目標主機接收應答中的IP與MAC間的映射,並以此更新目標主機緩存。從而影響鏈接暢通。其方式有:冒充主機欺騙網關,原理是截獲網關數據和冒充網關欺騙主機,原理是偽造網關。
五、arp攻擊防患 措施
1、在客戶端靜態綁定IP地址和MAC地址
進入命令行arp ?a命令查看,獲取本機的網關IP地址和網關mac地址
編寫壹個批處理內容為:
@echo off
arp -d
arp ?s 網關的IP地址 自己的mac地址
保存放置到開機啟動項裏
2、設置arp服務器
指定局域網內部的壹臺機器作為arp服務器,專門保存且維護可信範圍內的所有主機的IP地址與mac地址的映射記錄。該服務器通過查閱自己的arp緩存的靜態記錄,並以被查詢主機的名義相應局域網內部的arp請求,同時設置局域網內部其他主機只是用來自arp服務器的arp響應。
3、交換機端口設置
通過劃分VLAN和交換機端口綁定,以圖防範ARP,也是常用的防範 方法 。做法是細致地劃分VLAN,減小廣播域的範圍,使ARP在小範圍內起作用,而不至於發生大面積影響。同時,壹些網管交換機具有MAC地址學習的功能,學習完成後,再關閉這個功能,就可以把對應的MAC和端口進行綁定,避免了病毒利用ARP攻擊篡改自身地址。也就是說,把ARP攻擊中被截獲數據的風險解除了。這種方法確實能起到壹定的作用。
不過,VLAN和交換機端口綁定的問題在於:
①沒有對網關的任何保護,不管如何細分VLAN,網關壹旦被攻擊,照樣會造成全網上網的掉線和癱瘓。
②把每壹臺電腦都牢牢地固定在壹個交換機端口上,這種管理太死板了。這根本不適合移動終端的使用,從辦公室到會議室,這臺電腦恐怕就無法上網了。在無線應用下,又怎麽辦呢?還是需要其他的辦法。
③實施交換機端口綁定,必定要全部采用高級的網管交換機、三層交換機,整個交換網絡的造價大大提高。
因為交換網絡本身就是無條件支持ARP操作的,就是它本身的漏洞 造成了ARP攻擊的可能,它上面的管理手段不是針對ARP的。因此,在現有的交換網絡上實施ARP防範措施,屬於以子之矛攻子之盾。而且操作維護復雜,基本上是個費力不討好的事情。
4、ARP個人防火墻
在壹些殺毒軟件中加入了ARP個人防火墻的功能,它是通過在終端電腦上對網關進行綁定,保證不受網絡中假網關的影響,從而保護自身數據不被竊取的措施。ARP防火墻使用範圍很廣,有很多人以為有了防火墻,ARP攻擊就不構成威脅了,其實完全不是那麽回事。
ARP個人防火墻也有很大缺陷:
①它不能保證綁定的網關壹定是正確的。如果壹個網絡中已經發生了ARP欺騙,有人在偽造網關,那麽,ARP個人防火墻上來就會綁定這個錯誤的網關,這是具有極大風險的。即使配置中不默認而發出提示,缺乏 網絡知識 的用戶恐怕也無所適從。
②ARP是網絡中的問題,ARP既能偽造網關,也能截獲數據,是個?雙頭怪?。在個人終端上做ARP防範,而不管網關那端如何,這本身就不是壹個完整的辦法。ARP個人防火墻起到的作用,就是防止自己的數據不會被盜取,而整個網絡的問題,如掉線、卡滯等,ARP個人防火墻是無能為力的。
因此,ARP個人防火墻並沒有提供可靠的保證。最重要的是,它是跟網絡穩定無關的措施,它是個人的,不是網絡的。
5、安裝監聽軟件
可以安裝sniffer軟件,監聽網絡中的arp包,由於ARP欺騙往往使用廣播形式傳播,即使在交換機環境下也明顯能監聽到某PC端正在狂發arp包,可以定位到arp病毒源主機。
6、反欺騙
通過命令設置壹個錯誤的網關地址,反欺騙arp病毒,然後再添加壹條靜態路由,設置正確的網關用於正常的網絡訪問。
?
?