7種簡(jiǎn)易方法助你抵御ARP欺騙攻擊

在局域網(wǎng)內(nèi)， ARP攻擊依然占有很高比例。 眾所周知， ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址， 查詢目標(biāo)設(shè)備的MAC地址， 以保證通信的順利進(jìn)行。 ARP協(xié)議的基礎(chǔ)就是信任局域網(wǎng)內(nèi)所有的人， 那么就很容易實(shí)現(xiàn)在以太網(wǎng)上的ARP欺騙。 更何況ARP協(xié)議是工作在更低于IP協(xié)議的協(xié)議層， 因此它的危害就更加隱蔽。

    ARP類型的攻擊最早用于盜取密碼之用， 網(wǎng)內(nèi)中毒電腦可以偽裝成路由器， 盜取用戶的密碼， 后來發(fā)展成內(nèi)藏于軟件， 擾亂其他局域網(wǎng)用戶正常的網(wǎng)絡(luò)通信。

    作為網(wǎng)管的你可能會(huì)有此經(jīng)歷——網(wǎng)絡(luò)頻繁掉線， 速度變慢， 你對(duì)此卻無從下手。 這可能就是網(wǎng)絡(luò)遭受ARP攻擊表現(xiàn)， 下面介紹五種簡(jiǎn)單方法幫助你快速解決之。

    第一、建立MAC數(shù)據(jù)庫， 把網(wǎng)吧內(nèi)所有網(wǎng)卡的MAC地址記錄下來， 每個(gè)MAC和IP、地理位置統(tǒng)統(tǒng)裝入數(shù)據(jù)庫， 以便及時(shí)查詢備案。

    第二、建立DHCP服務(wù)器(建議建在網(wǎng)關(guān)上， 因?yàn)镈HCP不占用多少CPU， 而且ARP欺騙攻擊一般總是先攻擊網(wǎng)關(guān)， 我們就是要讓他先攻擊網(wǎng)關(guān)， 因?yàn)榫W(wǎng)關(guān)這里有監(jiān)控程序的， 網(wǎng)關(guān)地址建議選擇192.168.10.2 ， 把192.168.10.1留空， 如果犯罪程序愚蠢的話讓他去攻擊空地址吧)， 另外所有客戶機(jī)的IP地址及其相關(guān)主機(jī)信息， 只能由網(wǎng)關(guān)這里取得， 網(wǎng)關(guān)這里開通DHCP服務(wù)， 但是要給每個(gè)網(wǎng)卡， 綁定固定唯一IP地址。 一定要保持網(wǎng)內(nèi)的機(jī)器IP/MAC一一對(duì)應(yīng)的關(guān)系。 這樣客戶機(jī)雖然是DHCP取地址， 但每次開機(jī)的IP地址都是一樣的。

    第三、網(wǎng)關(guān)監(jiān)聽網(wǎng)絡(luò)安全。 網(wǎng)關(guān)上面使用TCPDUMP程序截取每個(gè)ARP程序包， 弄一個(gè)腳本分析軟件分析這些ARP協(xié)議。 ARP欺騙攻擊的包一般有以下兩個(gè)特點(diǎn)， 滿足之一可視為攻擊包報(bào)警：第一以太網(wǎng)數(shù)據(jù)包頭的源地址、目標(biāo)地址和ARP數(shù)據(jù)包的協(xié)議地址不匹配。 或者， ARP數(shù)據(jù)包的發(fā)送和目標(biāo)地址不在自己網(wǎng)絡(luò)網(wǎng)卡MAC數(shù)據(jù)庫內(nèi)， 或者與自己網(wǎng)絡(luò)MAC數(shù)據(jù)庫 MAC/IP 不匹配。 這些統(tǒng)統(tǒng)第一時(shí)間報(bào)警， 查這些數(shù)據(jù)包（以太網(wǎng)數(shù)據(jù)包）的源地址(也有可能偽造)， 就大致知道那臺(tái)機(jī)器在發(fā)起攻擊了。

    第四、網(wǎng)關(guān)機(jī)器關(guān)閉ARP動(dòng)態(tài)刷新的過程， 使用靜態(tài)路由， 這樣的話， 即使犯罪嫌疑人使用ARP欺騙攻擊網(wǎng)關(guān)的話， 這樣對(duì)網(wǎng)關(guān)也是沒有用的， 確保主機(jī)安全。

    網(wǎng)關(guān)建立靜態(tài)IP/MAC捆綁的方法是：建立/etc/ethers文件， 其中包含正確的IP/MAC對(duì)應(yīng)關(guān)系， 格式如下：

    192.168.2.32 08:00:4E:B0:24:47

    然后再/etc/rc.d/rc.local最后添加：

    arp -f 生效即可

    第五、偷偷摸摸的走到那臺(tái)機(jī)器， 看看使用人是否故意， 還是被任放了什么木馬程序陷害的。 如果后者， 不聲不響的找個(gè)借口支開他， 拔掉網(wǎng)線(不關(guān)機(jī),特別要看看Win98里的計(jì)劃任務(wù))， 看看機(jī)器的當(dāng)前使用記錄和運(yùn)行情況， 確定是否是在攻擊。

    第六、使用防護(hù)軟件。 ARP防火墻采用系統(tǒng)內(nèi)核層攔截技術(shù)和主動(dòng)防御技術(shù)， 包含六大功能模塊可解決大部分欺騙、ARP攻擊帶來的問題， 從而保證通訊安全（保障通訊數(shù)據(jù)不被網(wǎng)管軟件/惡意軟件監(jiān)聽和控制）、保證網(wǎng)絡(luò)暢通。

    目前關(guān)于ARP類的防護(hù)軟件出的比較多了， 瞎忙是幾款A(yù)RP防火墻免費(fèi)產(chǎn)品：

    金山ARP防火墻V1.3.781.50 正式版下載地址：

http://download.it168.com/270/271/44181/index.shtml

    冰盾ARP防火墻V1.0 Build80122

http://download.it168.com/08/0801/90059/90059_3.shtml

    第七、具有ARP防護(hù)功能的網(wǎng)絡(luò)設(shè)備。 由于ARP形式的攻擊而引發(fā)的網(wǎng)絡(luò)問題是目前網(wǎng)絡(luò)管理， 特別是局域網(wǎng)管理中最讓人頭疼的攻擊， 他的攻擊技術(shù)含量低， 隨便一個(gè)人都可以通過攻擊軟件來完成ARP欺騙攻擊， 同時(shí)防范ARP形式的攻擊也沒有什么特別有效的方法。 目前只能通過被動(dòng)的亡羊補(bǔ)牢形式的措施了， 本文介紹的方法希望對(duì)大家有所幫助。