基于ARP欺騙的懲處措施

發(fā)現(xiàn)非控節(jié)點后， 最好的方法是將其隔離。 基于802.1X協(xié)議的認證提供了控制交換機端口

的方法， 可以通過關(guān)閉交換機端口來實現(xiàn)主機的不能聯(lián)網(wǎng)。 但只有高端交換機支持該方法， 不能

滿足共享以太網(wǎng)（HUB連接）的情況， 而旦主機仍然可以切換端口實現(xiàn)聯(lián)網(wǎng)。 ARP欺騙也叫ARP

Cache Poisoning， 通過向目標主機發(fā)送偽造的ARP應(yīng)答數(shù)據(jù)包（ARPReply）， 誘使后者依據(jù)偽應(yīng)答

包的IP與MAC映射信息對更新自己的ARP緩存， 從而被預(yù)先偽造的IP及MAC信息對欺騙。 假

設(shè)主機C為實施ARP欺騙的攻擊者， 并知道A和B的IP地址， C發(fā)送ARP包獲得主機A的MAC

地址， 然后向A發(fā)送ARPReply數(shù)據(jù)包， 其中的源IP地址為B的IP地址， 但是源MAC地址卻是主

機C的MAC地址。 主機A收到該ARPReply后， 以新的IP與MAC映射對更新ARP緩存。 這以

后， A發(fā)送給B的數(shù)據(jù)包目標MAC地址全部使用C的MAC地址， 數(shù)據(jù)實際被傳送至C。 CINSS

中， 攻擊者為Scanner或Spy， 通過將非控節(jié)點ARP緩存中的網(wǎng)關(guān)MAC地址、網(wǎng)關(guān)ARP緩存中的非

控節(jié)點MAC地址都改為“000000000000”， 可以實現(xiàn)非控節(jié)點訪問跨網(wǎng)段的網(wǎng)絡(luò)其他服務(wù)的中斷。

攻擊者按照每秒發(fā)送10次ARP應(yīng)答包的速率進行欺騙， 即使采用ARP緩存恢復(fù)措施， 也不能根本

上解決問題， 非控節(jié)點的跨網(wǎng)段訪問仍將受到極大干擾。