明輝手游網(wǎng)中心:是一個(gè)免費(fèi)提供流行視頻軟件教程、在線學(xué)習(xí)分享的學(xué)習(xí)平臺!

ARP協(xié)議欺騙老生常談

發(fā)表時(shí)間:2023-07-13 來源:明輝站整理相關(guān)軟件相關(guān)文章人氣:

[摘要]ARP協(xié)議欺騙一直是我們網(wǎng)絡(luò)中的大敵。 很多網(wǎng)絡(luò)管理員的必修課都是跟這個(gè)家伙打交道。 但是, 如何有效防范它的欺騙和攻擊呢?今天我們就簡單為大家介紹一下這方面的內(nèi)容。   ARP協(xié)議欺騙的防范...

ARP協(xié)議欺騙一直是我們網(wǎng)絡(luò)中的大敵。 很多網(wǎng)絡(luò)管理員的必修課都是跟這個(gè)家伙打交道。 但是, 如何有效防范它的欺騙和攻擊呢?今天我們就簡單為大家介紹一下這方面的內(nèi)容。

  ARP協(xié)議欺騙的防范

  1、運(yùn)營商可采用Super VLAN或PVLAN技術(shù)

  所謂Super VLAN也叫VLAN聚合, 這種技術(shù)在同一個(gè)子網(wǎng)中化出多個(gè)Sub VLAN, 而將整個(gè)IP子網(wǎng)指定為一個(gè)VLAN聚合(Super VLAN), 所有的Sub VLAN都使用Super VLAN的默認(rèn)網(wǎng)關(guān)IP地址, 不同的Sub VLAN仍保留各自獨(dú)立的廣播域。 子網(wǎng)中的所有主機(jī)只能與自己的默認(rèn)網(wǎng)關(guān)通信。 如果將交換機(jī)或IP DSLAM設(shè)備的每個(gè)端口化為一個(gè)Sub VLAN, 則實(shí)現(xiàn)了所有端口的隔離, 也就避免了ARP欺騙。

  PVLAN即私有VLAN(Private VLAN) , PVLAN采用兩層VLAN隔離技術(shù), 只有上層VLAN全局可見, 下層VLAN相互隔離。 如果將交換機(jī)或IP DSLAM設(shè)備的每個(gè)端口化為一個(gè)(下層)VLAN, 則實(shí)現(xiàn)了所有端口的隔離。

  PVLAN和SuperVLAN技術(shù)都可以實(shí)現(xiàn)端口隔離, 但實(shí)現(xiàn)方式、出發(fā)點(diǎn)不同。 PVLAN是為了節(jié)省VLAN, 而SuperVlan的初衷是節(jié)省IP地址。

  2、單位局域網(wǎng)可采用IP與MAC綁定

  在PC上IP+MAC綁, 網(wǎng)絡(luò)設(shè)備上IP+MAC+端口綁。 但不幸的是Win 98/me、未打ARP補(bǔ)丁的win 2000/xp sp1(現(xiàn)在大多都已經(jīng)打過了)等系統(tǒng) 使用ARP -s所設(shè)置的靜態(tài)ARP項(xiàng)還是會被ARP欺騙所改變。

  如果網(wǎng)絡(luò)設(shè)備上只做IP+MAC綁定, 其實(shí)也是不安全的, 假如同一二層下的某臺機(jī)器發(fā)偽造的ARP reply(源ip和源mac都填欲攻擊的那臺機(jī)子的)給網(wǎng)關(guān), 還是會造成網(wǎng)關(guān)把流量送到欺騙者所連的那個(gè)(物理)端口從而造成網(wǎng)絡(luò)不通。

  對于采用了大量傻瓜交換機(jī)的局域網(wǎng), 用戶自己可以采取支持ARP過濾的防火墻等方法。 推薦Look ‘n’Stop防火墻, 支持ARP協(xié)議規(guī)則自定義。

  最后就是使用ARPGuard啦(才拉到正題上), 但它只是保護(hù)主機(jī)和網(wǎng)關(guān)間的通訊。

  ARPGuard的原理

  ARPGuard可以保護(hù)主機(jī)和網(wǎng)關(guān)的通訊不受ARP協(xié)議欺騙的影響。

  1、第一次運(yùn)行(或檢測到網(wǎng)關(guān)IP改變)時(shí)獲取網(wǎng)關(guān)對應(yīng)的MAC地址, 將網(wǎng)卡信息、網(wǎng)關(guān)IP、網(wǎng)關(guān)MAC等信息保存到配置文件中, 其他時(shí)候直接使用配置文件。

  2、移去原默認(rèn)路由(當(dāng)前網(wǎng)卡的)

  3、產(chǎn)生一個(gè)隨機(jī)IP, 將它添加成默認(rèn)網(wǎng)關(guān)。

  4、默認(rèn)網(wǎng)關(guān)IP 和網(wǎng)關(guān)的MAC綁定(使用DeleteIpNetEntry和CreateIpNetEntry修改ARP Cache表項(xiàng))

  5、周期性檢測ARP Cache中原默認(rèn)網(wǎng)關(guān)(不是隨機(jī)IP那個(gè)) 網(wǎng)關(guān)的MAC在ARP Cache的值是否被改寫, 若被改寫就報(bào)警。

  6、針對有些攻擊程序只給網(wǎng)關(guān)設(shè)備(如路由器或三層交換機(jī))發(fā)欺騙包的情況。 由于此時(shí)本機(jī)ARP Cache中網(wǎng)關(guān)MAC并未被改變, 因此只有主動防護(hù), 即默認(rèn)每秒發(fā)10個(gè)ARP reply包來維持網(wǎng)關(guān)設(shè)備的ARP Cache(可選)

  7、程序結(jié)束時(shí)恢復(fù)默認(rèn)網(wǎng)關(guān)和路由。

  值得說明的是ARP協(xié)議程序中限定了發(fā)包間隔不低于100ms, 主要是怕過量的包對網(wǎng)絡(luò)設(shè)備造成負(fù)擔(dān)。 如果你遭受的攻擊太猛烈, 你也可以去掉這個(gè)限制, 設(shè)定一個(gè)更小的數(shù)值, 保證你的通訊正常。


上面是電腦上網(wǎng)安全的一些基礎(chǔ)常識,學(xué)習(xí)了安全知識,幾乎可以讓你免費(fèi)電腦中毒的煩擾。