防范ARP攻擊策略面面觀及技巧一則

防范方法

1、捆綁MAC和IP地址

杜絕IP 地址盜用現(xiàn)象。 如果是通過(guò)代理服務(wù)器上網(wǎng)：到代理服務(wù)器端讓網(wǎng)絡(luò)管理員把上網(wǎng)的靜態(tài)IP 地址與所記錄計(jì)算機(jī)的網(wǎng)卡地址進(jìn)行捆綁。 如： ARP-s 192.16.10.400-EO-4C-6C-08-75。 這樣， 就將上網(wǎng)的靜態(tài)IP 地址192.16.10.4 與網(wǎng)卡地址為00-EO-4C-6C-08-75 的計(jì)算機(jī)綁定在一起了， 即使別人盜用您的IP 地址， 也無(wú)法通過(guò)代理服務(wù)器上網(wǎng)。 如果是通過(guò)交換機(jī)連接， 可以將計(jì)算機(jī)的IP地址、網(wǎng)卡的MAC 地址以及交換機(jī)端口綁定。

2、修改MAC地址， 欺騙ARP欺騙技術(shù)

就是假冒MAC 地址， 所以最穩(wěn)妥的一個(gè)辦法就是修改機(jī)器的MAC 地址， 只要把MAC 地址改為別的， 就可以欺騙過(guò)ARP 欺騙， 從而達(dá)到突破封鎖的目的。

3、使用ARP服務(wù)器

使用ARP 服務(wù)器。 通過(guò)該服務(wù)器查找自己的ARP 轉(zhuǎn)換表來(lái)響應(yīng)其他機(jī)器的ARP 廣播。 確保這臺(tái)ARP 服務(wù)器不被攻擊。

4、交換機(jī)端口設(shè)置

(1)端口保護(hù)(類似于端口隔離)：ARP 欺騙技術(shù)需要交換機(jī)的兩個(gè)端口直接通訊， 端口設(shè)為保護(hù)端口即可簡(jiǎn)單方便地隔離用戶之間信息互通， 不必占用VLAN 資源。 同一個(gè)交換機(jī)的兩個(gè)端口之間不能進(jìn)行直接通訊， 需要通過(guò)轉(zhuǎn)發(fā)才能相互通訊。

(2)數(shù)據(jù)過(guò)濾：如果需要對(duì)報(bào)文做更進(jìn)一步的控制用戶可以采用ACL(訪問(wèn)控制列表)。 ACL 利用IP 地址、TCP/UDP 端口等對(duì)進(jìn)出交換機(jī)的報(bào)文進(jìn)行過(guò)濾， 根據(jù)預(yù)設(shè)條件， 對(duì)報(bào)文做出允許轉(zhuǎn)發(fā)或阻塞的決定。 華為和Cisco 的交換機(jī)均支持IP ACL 和MAC ACL， 每種ACL 分別支持標(biāo)準(zhǔn)格式和擴(kuò)展格式。 標(biāo)準(zhǔn)格式的ACL 根據(jù)源地址和上層協(xié)議類型進(jìn)行過(guò)濾， 擴(kuò)展格式的ACL 根據(jù)源地址、目的地址以及上層協(xié)議類型進(jìn)行過(guò)濾， 異詞檢查偽裝MAC 地址的幀。

5、禁止網(wǎng)絡(luò)接口做ARP 解析

在相對(duì)系統(tǒng)中禁止某個(gè)網(wǎng)絡(luò)接口做ARP 解析(對(duì)抗ARP欺騙攻擊)， 可以做靜態(tài)ARP 協(xié)議設(shè)置(因?yàn)閷?duì)方不會(huì)響應(yīng)ARP 請(qǐng)求報(bào)義)如： ARP –s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系統(tǒng)中如：Unix ， NT 等， 都可以結(jié)合“禁止相應(yīng)網(wǎng)絡(luò)接口做ARP 解析”和“使用靜態(tài)ARP 表”的設(shè)置來(lái)對(duì)抗ARP 欺騙攻擊。 而Linux 系統(tǒng)， 其靜態(tài)ARP 表項(xiàng)不會(huì)被動(dòng)態(tài)刷新， 所以不需要“禁止相應(yīng)網(wǎng)絡(luò)接口做ARP 解析”， 即可對(duì)抗ARP 欺騙攻擊。

6、使用硬件屏蔽主機(jī)

設(shè)置好你的路由， 確保IP 地址能到達(dá)合法的路徑。 ( 靜態(tài)配置路由ARP 條目)， 注意， 使用交換集線器和網(wǎng)橋無(wú)法阻止ARP 欺騙。

7、定期檢查ARP緩存

管理員定期用響應(yīng)的IP 包中獲得一個(gè)rarp 請(qǐng)求, 然后檢查ARP 響應(yīng)的真實(shí)性。 定期輪詢, 檢查主機(jī)上的ARP 緩存。 使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。 注意有使用SNMP 的情況下， ARP 的欺騙有可能導(dǎo)致陷阱包丟失。

技巧一則

址的方法個(gè)人認(rèn)為是不實(shí)用的， 首先, 這樣做會(huì)加大網(wǎng)絡(luò)管理員的工作量， 試想， 如果校園網(wǎng)內(nèi)有3000個(gè)用戶， 網(wǎng)絡(luò)管理員就必須做3000 次端口綁定MAC 地址的操作， 甚至更多。 其次, 網(wǎng)絡(luò)管理員應(yīng)該比較清楚的是, 由于網(wǎng)絡(luò)構(gòu)建成本的原因， 接入層交換機(jī)的性能是相對(duì)較弱的, 功能也相對(duì)單一一些, 對(duì)于讓接入層交換機(jī)做地址綁定的工作， 對(duì)于交換機(jī)性能的影響相當(dāng)大, 從而影響網(wǎng)絡(luò)數(shù)據(jù)的傳輸。

建議用戶采用綁定網(wǎng)關(guān)地址的方法解決并且防止ARP 欺騙。

1) 首先, 獲得安全網(wǎng)關(guān)的內(nèi)網(wǎng)的MAC 地址。 ( 以windowsXP 為例)點(diǎn)擊"開(kāi)始"→"運(yùn)行", 在打開(kāi)中輸入cmd。 點(diǎn)擊確定后將出現(xiàn)相關(guān)網(wǎng)絡(luò)狀態(tài)及連接信息, 然后在其中輸入ipconfig/all， 然后繼續(xù)輸入arp - a 可以查看網(wǎng)關(guān)的MAC 地址。

2) 編寫(xiě)一個(gè)批處理文件rarp.bat( 文件名可以任意) 內(nèi)容如下:

@echo off

arp - d

arp - s 192.168.200.1 00- aa- 00- 62- c6- 09

將文件中的網(wǎng)關(guān)IP 地址和MAC 地址更改為實(shí)際使用的網(wǎng)關(guān)IP 地址和MAC 地址即可。

3) 編寫(xiě)完以后, 點(diǎn)擊"文件" →"另存為"。 注意文件名一定要是*.bat 如arp.bat 保存類型注意要選擇所有類型。 點(diǎn)擊保存就可以了。 最后刪除之前創(chuàng)建的"新建文本文檔"就可以。

4) 將這個(gè)批處理軟件拖到"windows- - 開(kāi)始- - 程序- - 啟動(dòng)"中, ( 一般在系統(tǒng)中的文件夾路徑為C:\Documents and Settings\All Users\「開(kāi)始」菜單\ 程序\ 啟動(dòng)) 。

5) 最后重新啟動(dòng)一下電腦就可以。

靜態(tài)ARP 表能忽略執(zhí)行欺騙行為的ARP 應(yīng)答, 我們采用這樣的方式可以杜絕本機(jī)受到ARP 欺騙包的影響。 對(duì)于解決ARP 欺騙的問(wèn)題還有多種方法: 比如通過(guò)專門的防ARP 的軟件, 或是通過(guò)交換機(jī)做用戶的入侵檢測(cè)。 前者也是個(gè)針對(duì)ARP欺騙的不錯(cuò)的解決方案, 但是軟件的設(shè)置過(guò)程并不比設(shè)置靜態(tài)ARP 表簡(jiǎn)單。 后者對(duì)接入層交換機(jī)要求太高, 如果交換機(jī)的性能指標(biāo)不是太高, 會(huì)造成比較嚴(yán)重的網(wǎng)絡(luò)延遲, 接入層交換機(jī)的性能達(dá)到了要求, 又會(huì)使網(wǎng)絡(luò)安裝的成本提高。

在應(yīng)對(duì)ARP 攻擊的時(shí)候， 除了利用上述的各種技術(shù)手段， 還應(yīng)該注意不要把網(wǎng)絡(luò)安全信任關(guān)系建立在IP 基礎(chǔ)上或MAC 基礎(chǔ)上， 最好設(shè)置靜態(tài)的MAC->IP 對(duì)應(yīng)表， 不要讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表， 除非很有必要， 否則停止使用ARP， 將ARP 做為永久條目保存在對(duì)應(yīng)表中。