服務(wù)器的ARP欺騙攻擊的防范

這些天我的服務(wù)器幾乎天天都被人ARP欺騙攻擊， 網(wǎng)頁(yè)被掛木馬， 實(shí)在煩死了， 深圳的龍崗電信機(jī)房實(shí)在是夠惡心的， 不得已， 我只好尋找一些防范ARP攻擊的方法， 目前發(fā)現(xiàn)可以使用靜態(tài)地址法和使用專(zhuān)用軟件的方法來(lái)防范ARP欺騙攻擊。

　　靜態(tài)地址法指的是， 在本地服務(wù)器上， 將路由器的MAC地址設(shè)置為靜態(tài)的方式來(lái)阻止別人對(duì)我的ARP攻擊， 如果你也越到了類(lèi)似的ARP欺騙攻擊， 也可以參考這個(gè)方法進(jìn)行設(shè)置。

　　首先， 找到路由器真實(shí)的MAC地址， 在沒(méi)有被攻擊的條件下， 輸入命令arp -a 網(wǎng)關(guān)的IP地址， 就可以找到， 其中Physical Address里就是網(wǎng)關(guān)MAC地址， 顯示類(lèi)似00-07-e9-0a-77-93， 其類(lèi)型Type通常為動(dòng)態(tài)dynamic。 我們的目的是要將其設(shè)置為靜態(tài)static。

　　接著， 使用arp -d命令刪除目前的arp列表， 再使用arp -s 網(wǎng)關(guān)IP地址 網(wǎng)關(guān)MAC地址， 將其設(shè)置為靜態(tài)static。

　　這時(shí)候， 系統(tǒng)的ARP就會(huì)變成靜態(tài)了， 但是如果服務(wù)器重新啟動(dòng)， 這些設(shè)置就消失了， 因此， 編輯一個(gè)BAT文件， 內(nèi)容為以上的arp -s的內(nèi)容， 將其加到“啟動(dòng)”菜單中， 然后修改Windows注冊(cè)表使得Windows可以自動(dòng)登錄， 這樣每次啟動(dòng)都會(huì)自動(dòng)設(shè)置靜態(tài)的ARP了。

　　如果感覺(jué)操作起來(lái)麻煩， 或者使用上面的方法依舊無(wú)法阻止ARP攻擊， 那么可以使用第二種方法， 使用專(zhuān)門(mén)的ARP防火墻軟件來(lái)阻止別人的ARP攻擊。 目前主要的ARP防火墻產(chǎn)品有免費(fèi)的奇虎360antiarp， 其他大多都是收費(fèi)的ARP防火墻， 根據(jù)我的使用感受， 有一個(gè)叫antiarp的商用軟件功能還是比較豐富的， 軟件價(jià)格是每臺(tái)服務(wù)器199元。 在服務(wù)器上安裝這個(gè)軟件之后， 除了可以自動(dòng)預(yù)防ARP攻擊之外， 還可以使用這個(gè)ARP防火墻軟件查找出ARP攻擊者的IP地址。 知道了攻擊者的IP地址后， 大家就可以將其截圖后發(fā)給IDC機(jī)房， 要求機(jī)房關(guān)閉那臺(tái)ARP服務(wù)器， 通常情況下機(jī)房會(huì)關(guān)閉病毒服務(wù)器， 如果機(jī)房不關(guān)閉服務(wù)器， 那就去公安局報(bào)案， 指控電信機(jī)房散布病毒。

　　對(duì)于那些托管服務(wù)器卻不做好安全設(shè)定的人， 我勸他們先學(xué)好計(jì)算機(jī)知識(shí)后再托管服務(wù)器， 否則以后肯定會(huì)吃大虧。 對(duì)于那些主動(dòng)在服務(wù)器上使用arp病毒工具的人， 我鄙視他們， 祝他們好自為之。

　　附錄：ARP相關(guān)背景知識(shí)(來(lái)自欣向ARP工具)

　　ARP欺騙原理：

　　在局域網(wǎng)中， 通信前必須通過(guò)ARP協(xié)議來(lái)完成IP地址轉(zhuǎn)換為第二層物理地址(即MAC地址)。 ARP協(xié)議對(duì)網(wǎng)絡(luò)安全具有重要的意義， 但是當(dāng)初ARP方式的設(shè)計(jì)沒(méi)有考慮到過(guò)多的安全問(wèn)題， 給ARP留下很多的隱患， ARP欺騙就是其中一個(gè)例子。 而ARP欺騙攻擊就是利用該協(xié)議漏洞， 通過(guò)偽造MAC地址實(shí)現(xiàn)ARP欺騙的攻擊技術(shù)。

　　在同一局域網(wǎng)內(nèi)的電腦都是通過(guò)MAC地址進(jìn)行通訊的。 方法為， PC和另一臺(tái)設(shè)備通訊， PC會(huì)先尋找對(duì)方的IP地址， 然后在通過(guò)ARP表(ARP表里面有所以可以通訊IP和IP所對(duì)應(yīng)的MAC地址)調(diào)出相應(yīng)的MAC地址。 通過(guò)MAC地址與對(duì)方通訊。 也就是說(shuō)在內(nèi)網(wǎng)中各設(shè)備互相尋找和用來(lái)通訊的地址是MAC地址， 而不是IP地址。

　　網(wǎng)內(nèi)的任何一臺(tái)機(jī)器都可以輕松的發(fā)送ARP廣播， 來(lái)宣稱(chēng)自己的IP和自己的MAC.這樣收到的機(jī)器都會(huì)在自己的ARP表格中建立一個(gè)他的ARP項(xiàng)， 記錄他的IP和MAC地址。 如果這個(gè)廣播是錯(cuò)誤的其他機(jī)器也會(huì)接受。 有了這個(gè)方法欺騙者只需要做一個(gè)軟件， 就可以在局域網(wǎng)內(nèi)進(jìn)行ARP欺騙攻擊了。

　　ARP的發(fā)現(xiàn)：

　　ARP的通病就是掉線(xiàn)， 在掉線(xiàn)的基礎(chǔ)上可以通過(guò)以下幾種方式判別， 1.一般情況下不需要處理1分鐘之內(nèi)就可以回復(fù)正常上網(wǎng)。 因?yàn)锳RP欺騙是由時(shí)限， 過(guò)了期限就會(huì)自動(dòng)的回復(fù)正常。 而且現(xiàn)在大多數(shù)路由器都會(huì)在很短時(shí)間內(nèi)不停廣播自己的正確ARP， 使受騙的機(jī)器回復(fù)正常。 但是如果出現(xiàn)攻擊性ARP欺騙(其實(shí)就是時(shí)間很短的量很大的欺騙ARP， 1秒有個(gè)幾百上千的)， 他是不斷的通過(guò)非常大量ARP欺騙來(lái)阻止內(nèi)網(wǎng)機(jī)器上網(wǎng)， 即使路由器不斷廣播正確的包也會(huì)被他大量的錯(cuò)誤信息給淹沒(méi)。 2.打開(kāi)被騙機(jī)器的DOS界面， 輸入ARP -A命令會(huì)看到相關(guān)的ARP表， 通過(guò)看到的網(wǎng)關(guān)的MAC地址可以去判別是否出現(xiàn)ARP欺騙， 但是由于時(shí)限性， 這個(gè)工作必須在機(jī)器回復(fù)正常之前完成。 如果出現(xiàn)欺騙問(wèn)題， ARP表里面會(huì)出現(xiàn)錯(cuò)誤的網(wǎng)關(guān)MAC地址， 和真實(shí)的網(wǎng)關(guān)MAC一對(duì)黑白立分。