防范ARP攻擊的策略

防范方法

　　1、捆綁MAC和IP地址

　　杜絕IP 地址盜用現(xiàn)象。 如果是通過代理服務(wù)器上網(wǎng)：到代理服務(wù)器端讓網(wǎng)絡(luò)管理員把上網(wǎng)的靜態(tài)IP 地址與所記錄計(jì)算機(jī)的網(wǎng)卡地址進(jìn)行捆綁。 如： ARP-s 192.16.10.400-EO-4C-6C-08-75。 這樣， 就將上網(wǎng)的靜態(tài)IP 地址192.16.10.4 與網(wǎng)卡地址為00-EO-4C-6C-08-75 的計(jì)算機(jī)綁定在一起了， 即使別人盜用您的IP 地址， 也無法通過代理服務(wù)器上網(wǎng)。 如果是通過交換機(jī)連接， 可以將計(jì)算機(jī)的IP地址、網(wǎng)卡的MAC 地址以及交換機(jī)端口綁定。

　　2、修改MAC地址， 欺騙ARP欺騙技術(shù)

　　就是假冒MAC 地址， 所以最穩(wěn)妥的一個辦法就是修改機(jī)器的MAC 地址， 只要把MAC 地址改為別的， 就可以欺騙過ARP 欺騙， 從而達(dá)到突破封鎖的目的。

　　3、使用ARP服務(wù)器

　　使用ARP 服務(wù)器。 通過該服務(wù)器查找自己的ARP 轉(zhuǎn)換表來響應(yīng)其他機(jī)器的ARP 廣播。 確保這臺ARP 服務(wù)器不被攻擊。

　　4、交換機(jī)端口設(shè)置

　　(1)端口保護(hù)(類似于端口隔離)：ARP 欺騙技術(shù)需要交換機(jī)的兩個端口直接通訊， 端口設(shè)為保護(hù)端口即可簡單方便地隔離用戶之間信息互通， 不必占用VLAN 資源。 同一個交換機(jī)的兩個端口之間不能進(jìn)行直接通訊， 需要通過轉(zhuǎn)發(fā)才能相互通訊。

　　(2)數(shù)據(jù)過濾：如果需要對報(bào)文做更進(jìn)一步的控制用戶可以采用ACL(訪問控制列表)。 ACL 利用IP 地址、TCP/UDP 端口等對進(jìn)出交換機(jī)的報(bào)文進(jìn)行過濾， 根據(jù)預(yù)設(shè)條件， 對報(bào)文做出允許轉(zhuǎn)發(fā)或阻塞的決定。 華為和Cisco 的交換機(jī)均支持IP ACL 和MAC ACL， 每種ACL 分別支持標(biāo)準(zhǔn)格式和擴(kuò)展格式。 標(biāo)準(zhǔn)格式的ACL 根據(jù)源地址和上層協(xié)議類型進(jìn)行過濾， 擴(kuò)展格式的ACL 根據(jù)源地址、目的地址以及上層協(xié)議類型進(jìn)行過濾， 異詞檢查偽裝MAC 地址的幀。

　　5、禁止網(wǎng)絡(luò)接口做ARP 解析

　　在相對系統(tǒng)中禁止某個網(wǎng)絡(luò)接口做ARP 解析(對抗ARP欺騙攻擊)， 可以做靜態(tài)ARP 協(xié)議設(shè)置(因?yàn)閷Ψ讲粫�響�?yīng)ARP 請求報(bào)義)如： ARP –s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系統(tǒng)中如：Unix ， NT 等， 都可以結(jié)合“禁止相應(yīng)網(wǎng)絡(luò)接口做ARP 解析”和“使用靜態(tài)ARP 表”的設(shè)置來對抗ARP 欺騙攻擊。 而Linux 系統(tǒng)， 其靜態(tài)ARP 表項(xiàng)不會被動態(tài)刷新， 所以不需要“禁止相應(yīng)網(wǎng)絡(luò)接口做ARP 解析”， 即可對抗ARP 欺騙攻擊。

　　6、使用硬件屏蔽主機(jī)

　　設(shè)置好你的路由， 確保IP 地址能到達(dá)合法的路徑。 ( 靜態(tài)配置路由ARP 條目)， 注意， 使用交換集線器和網(wǎng)橋無法阻止ARP 欺騙。

　　7、定期檢查ARP緩存

　　管理員定期用響應(yīng)的IP 包中獲得一個rarp 請求, 然后檢查ARP 響應(yīng)的真實(shí)性。 定期輪詢, 檢查主機(jī)上的ARP 緩存。 使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。 注意有使用SNMP 的情況下， ARP 的欺騙有可能導(dǎo)致陷阱包丟失。

　　技巧一則

　　址的方法個人認(rèn)為是不實(shí)用的， 首先, 這樣做會加大網(wǎng)絡(luò)管理員的工作量， 試想， 如果校園網(wǎng)內(nèi)有3000個用戶， 網(wǎng)絡(luò)管理員就必須做3000 次端口綁定MAC 地址的操作， 甚至更多。 其次, 網(wǎng)絡(luò)管理員應(yīng)該比較清楚的是, 由于網(wǎng)絡(luò)構(gòu)建成本的原因， 接入層交換機(jī)的性能是相對較弱的, 功能也相對單一一些, 對于讓接入層交換機(jī)做地址綁定的工作， 對于交換機(jī)性能的影響相當(dāng)大, 從而影響網(wǎng)絡(luò)數(shù)據(jù)的傳輸。

　　建議用戶采用綁定網(wǎng)關(guān)地址的方法解決并且防止ARP 欺騙。

　　1) 首先, 獲得安全網(wǎng)關(guān)的內(nèi)網(wǎng)的MAC 地址。 ( 以windowsXP 為例)點(diǎn)擊"開始"→"運(yùn)行", 在打開中輸入cmd。 點(diǎn)擊確定后將出現(xiàn)相關(guān)網(wǎng)絡(luò)狀態(tài)及連接信息, 然后在其中輸入ipconfig/all， 然后繼續(xù)輸入arp - a 可以查看網(wǎng)關(guān)的MAC 地址。

　　2) 編寫一個批處理文件rarp.bat( 文件名可以任意) 內(nèi)容如下:

　　@echo off

　　arp - d

　　arp - s 192.168.200.1 00- aa- 00- 62- c6- 09

　　將文件中的網(wǎng)關(guān)IP 地址和MAC 地址更改為實(shí)際使用的網(wǎng)關(guān)IP 地址和MAC 地址即可。

　　3) 編寫完以后, 點(diǎn)擊"文件" →"另存為"。 注意文件名一定要是*.bat 如arp.bat 保存類型注意要選擇所有類型。 點(diǎn)擊保存就可以了。 最后刪除之前創(chuàng)建的"新建文本文檔"就可以。

　　4) 將這個批處理軟件拖到"windows- - 開始- - 程序- - 啟動"中, ( 一般在系統(tǒng)中的文件夾路徑為C:Documents and SettingsAll Users「開始」菜單 程序 啟動) 。

　　5) 最后重新啟動一下電腦就可以。

　　靜態(tài)ARP 表能忽略執(zhí)行欺騙行為的ARP 應(yīng)答, 我們采用這樣的方式可以杜絕本機(jī)受到ARP 欺騙包的影響。 對于解決ARP 欺騙的問題還有多種方法: 比如通過專門的防ARP 的軟件, 或是通過交換機(jī)做用戶的入侵檢測。 前者也是個針對ARP欺騙的不錯的解決方案, 但是軟件的設(shè)置過程并不比設(shè)置靜態(tài)ARP 表簡單。 后者對接入層交換機(jī)要求太高, 如果交換機(jī)的性能指標(biāo)不是太高, 會造成比較嚴(yán)重的網(wǎng)絡(luò)延遲, 接入層交換機(jī)的性能達(dá)到了要求, 又會使網(wǎng)絡(luò)安裝的成本提高。

　　在應(yīng)對ARP 攻擊的時候， 除了利用上述的各種技術(shù)手段， 還應(yīng)該注意不要把網(wǎng)絡(luò)安全信任關(guān)系建立在IP 基礎(chǔ)上或MAC 基礎(chǔ)上， 最好設(shè)置靜態(tài)的MAC->IP 對應(yīng)表， 不要讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表， 除非很有必要， 否則停止使用ARP， 將ARP 做為永久條目保存在對應(yīng)表中。