對于ARP攻擊的防護措施

關于arp的詳細資料請讀者自行查找參考,鑒于arp的危害性本文不詳細介紹攻擊方法.

我們首先要知道以太網(wǎng)內(nèi)主機通信是靠MAC地址來確定目標的.arp協(xié)議又稱"地址解析協(xié)議",它負責通知電腦要連接的目標的地址,這里說的地址在以太網(wǎng)中就是MAC地址,簡單說來就是通過IP地址來查詢目標主機的MAC地址.一旦這個環(huán)節(jié)出錯,我們就不能正常和目標主機進行通信,甚至使整個網(wǎng)絡癱瘓.

ARP的攻擊主要有以下幾種方式

一.簡單的欺騙攻擊

這是比較常見的攻擊,通過發(fā)送偽造的ARP包來欺騙路由和目標主機,讓目標主機認為這是一個合法的主機.便完成了欺騙.這種欺騙多發(fā)生在同一網(wǎng)段內(nèi),因為路由不會把本網(wǎng)段的包向外轉發(fā),當然實現(xiàn)不同網(wǎng)段的攻擊也有方法,便要通過ICMP協(xié)議來告訴路由器重新選擇路由.

二.交換環(huán)境的嗅探

在最初的小型局域網(wǎng)中我們使用HUB來進行互連,這是一種廣播的方式,每個包都會經(jīng)過網(wǎng)內(nèi)的每臺主機,通過使用軟件,就可以嗅談到整個局域網(wǎng)的數(shù)據(jù).現(xiàn)在的網(wǎng)絡多是交換環(huán)境,網(wǎng)絡內(nèi)數(shù)據(jù)的傳輸被鎖定的特定目標.既已確定的目標通信主機.在ARP欺騙的基礎之上,可以把自己的主機偽造成一個中間轉發(fā)站來監(jiān)聽兩臺主機之間的通信.

三.MAC Flooding

這是一個比較危險的攻擊,可以溢出交換機的ARP表,使整個網(wǎng)絡不能正常通信

四.基于ARP的DOS

這是新出現(xiàn)的一種攻擊方式,D.O.S又稱拒絕服務攻擊,當大量的連接請求被發(fā)送到一臺主機時,由于主機的處理能力有限,不能為正常用戶提供服務,便出現(xiàn)拒絕服務.這個過程中如果使用ARP來隱藏自己,在被攻擊主機的日志上就不會出現(xiàn)真實的IP.攻擊的同時,也不會影響到本機.

防護方法:

1.IP+MAC訪問控制.

單純依靠IP或MAC來建立信任關系是不安全,理想的安全關系建立在IP+MAC的基礎上.這也是我們校園網(wǎng)上網(wǎng)必須綁定IP和MAC的原因之一.

2.靜態(tài)ARP緩存表.

每臺主機都有一個臨時存放IP-MAC的對應表ARP攻擊就通過更改這個緩存來達到欺騙的目的,使用靜態(tài)的ARP來綁定正確的MAC是一個有效的方法.在命令行下使用arp -a可以查看當前的ARP緩存表.以下是本機的ARP表

C:\Documents and Settings\cnqing>arp -a

Interface: 210.31.197.81 on Interface 0x1000003

Internet Address Physical Address Type

210.31.197.94 00-03-6b-7f-ed-02 dynamic

其中"dynamic" 代表動態(tài)緩存,即收到一個相關ARP包就會修改這項.如果是個非法的含有不正確的網(wǎng)關的ARP包,這個表就會自動更改.這樣我們就不能找到正確的網(wǎng)關MAC,就不能正常和其他主機通信.靜態(tài)表的建立用ARP -S IP MAC.

執(zhí)行"arp -s 210.31.197.94 00-03-6b-7f-ed-02"后,我們再次查看ARP緩存表.

C:\Documents and Settings\cnqing>arp -a

Interface: 210.31.197.81 on Interface 0x1000003

Internet Address Physical Address Type

210.31.197.94 00-03-6b-7f-ed-02static

此時"TYPE"項變成了"static",靜態(tài)類型.這個狀態(tài)下,是不會在接受到ARP包時改變本地緩存的.從而有效的防止ARP攻擊.靜態(tài)的ARP條目在每次重啟后都要消失需要重新設置.

3.ARP 高速緩存超時設置

在ARP高速緩存中的表項一般都要設置超時值,縮短這個這個超時值可以有效的防止ARP表的溢出.

4.主動查詢

在某個正常的時刻,做一個IP和MAC對應的數(shù)據(jù)庫,以后定期檢查當前的IP和MAC對應關系是否正常.定期檢測交換機的流量列表,查看丟包率.

總結:ARP本省不能造成多大的危害,一旦被結合利用,其危險性就不可估量了.由于ARP本身的問題.使得防范ARP的攻擊很棘手,經(jīng)常查看當前的網(wǎng)絡狀態(tài),監(jiān)控流量對一個網(wǎng)管員來說是個很好的習慣.