请教arp攻击防御
发布网友
发布时间:2022-05-05 14:33
我来回答
共4个回答
热心网友
时间:2022-06-27 15:19
防范方法
1、*MAC和IP地址
杜绝IP 地址盗用现象。如果是通过代理服务器上网:到代理服务器端让网络管理员把上网的静态IP 地址与所记录计算机的网卡地址进行*。如: arp-s 192.16.10.400-EO-4C-6C-08-75.这样,就将上网的静态IP 地址192.16.10.4 与网卡地址为00-EO-4C-6C-08-75 的计算机绑定在一起了,即使别人盗用您的IP 地址,也无法通过代理服务器上网。如果是通过交换机连接,可以将计算机的IP地址、网卡的MAC 地址以及交换机端口绑定。
2、修改MAC地址,欺骗arp欺骗技术
就是假冒MAC 地址,所以最稳妥的一个办法就是修改机器的MAC 地址,只要把MAC 地址改为别的,就可以欺骗过arp 欺骗,从而达到*的目的。
3、使用arp服务器
使用ARP 服务器。通过该服务器查找自己的ARP 转换表来响应其他机器的ARP 广播。确保这台arp 服务器不被攻击。
4、交换机端口设置
(1)端口保护(类似于端口隔离):arp 欺骗技术需要交换机的两个端口直接通讯,端口设为保护端口即可简单方便地隔离用户之间信息互通,不必占用VLAN 资源。同一个交换机的两个端口之间不能进行直接通讯,需要通过转发才能相互通讯。
(2)数据过滤:如果需要对报文做更进一步的控制用户可以采用ACL(访问控制列表)。ACL 利用IP 地址、TCP/UDP 端口等对进出交换机的报文进行过滤,根据预设条件,对报文做出允许转发或阻塞的决定。华为和Cisco 的交换机均支持IP ACL 和MAC ACL,每种ACL 分别支持标准格式和扩展格式。标准格式的ACL 根据源地址和上层协议类型进行过滤,扩展格式的ACL 根据源地址、目的地址以及上层协议类型进行过滤,异词检查伪装MAC 地址的帧。
5、禁止网络接口做arp 解析
在相对系统中禁止某个网络接口做ARP 解析(对抗ARP欺骗攻击),可以做静态ARP 协议设置(因为对方不会响应ARP 请求报义)如: ARP –s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系统中如:Unix , NT 等,都可以结合“禁止相应网络接口做ARP 解析”和“使用静态ARP 表”的设置来对抗ARP 欺骗攻击。而Linux 系统,其静态ARP 表项不会被动态刷新,所以不需要“禁止相应网络接口做ARP 解析”,即可对抗arp 欺骗攻击。
6、使用硬件屏蔽主机
设置好你的路由,确保IP 地址能到达合法的路径。(静态配置路由ARP 条目),注意,使用交换集线器和网桥无法阻止arp 欺骗。
7、定期检查arp缓存
管理员定期用响应的IP 包中获得一个rarp 请求, 然后检查ARP 响应的真实性。定期轮询, 检查主机上的arp 缓存。使用防火墙连续监控网络。注意有使用SNMP 的情况下,arp 的欺骗有可能导致陷阱包丢失。
技巧一则
绑定MAC 地址的方法个人认为是不实用的,首先,这样做会加大网络管理员的工作量,试想,如果校园网内有3000个用户,网络管理员就必须做3000 次端口绑定MAC 地址的操作,甚至更多。其次,网络管理员应该比较清楚的是, 由于网络构建成本的原因,接入层交换机的性能是相对较弱的,功能也相对单一一些,对于让接入层交换机做地址绑定的工作,对于交换机性能的影响相当大,从而影响网络数据的传输。
建议用户采用绑定网关地址的方法解决并且防止arp 欺骗。
1) 首先,获得安全网关的内网的MAC 地址。(以windowsXP 为例)点击"开始"→"运行",在打开中输入cmd.点击确定后将出现相关网络状态及连接信息,然后在其中输入ipconfig/all,然后继续输入arp - a 可以查看网关的MAC 地址。
2) 编写一个批处理文件rarp.bat(文件名可以任意) 内容如下:
@echo off
arp - d
arp - s 192.168.200.1 00- aa- 00- 62- c6- 09
将文件中的网关IP 地址和MAC 地址更改为实际使用的网关IP 地址和MAC 地址即可。
3) 编写完以后,点击"文件" →"另存为".注意文件名一定要是*.bat 如arp.bat 保存类型注意要选择所有类型。点击保存就可以了。最后删除之前创建的"新建文本文档"就可以。
4) 将这个批处理软件拖到"windows- - 开始- - 程序- - 启动"中,(一般在系统中的文件夹路径为C:/Documents and Settings/All Users/「开始」菜单/ 程序/ 启动) .
5) 最后重新启动一下电脑就可以。
静态ARP 表能忽略执行欺骗行为的ARP 应答,我们采用这样的方式可以杜绝本机受到ARP 欺骗包的影响。对于解决ARP 欺骗的问题还有多种方法:比如通过专门的防ARP 的软件,或是通过交换机做用户的入侵检测。前者也是个针对ARP欺骗的不错的解决方案,但是软件的设置过程并不比设置静态arp 表简单。后者对接入层交换机要求太高,如果交换机的性能指标不是太高,会造成比较严重的网络延迟,接入层交换机的性能达到了要求,又会使网络安装的成本提高。
在应对ARP 攻击的时候,除了利用上述的各种技术手段,还应该注意不要把网络安全信任关系建立在IP 基础上或MAC 基础上,最好设置静态的MAC->IP 对应表,不要让主机刷新你设定好的转换表,除非很有必要,否则停止使用ARP,将arp 做为永久条目保存在对应表中
参考资料:http://langbotian.blog.hexun.com/32247594_d.html
热心网友
时间:2022-06-27 15:19
不用软件,用批处理,我是电脑学院的学生,在学校机房里遇到此类头疼的问题,本人又是安装协会的会员,同学们上不了网,都找我,头很疼呀!
@echo off
arp -d
arp -s 192.168.1.1 00-E0-4C-7F-40-A1
exit
注:192.168.1.1 00-E0-4C-7F-40-A1 是我们学校网关的IP地址MAC地址。
你要改成自己网关的IP、MAC地址!!!!!!!!!!
写成批处理放在启动项里。机子启动里就绑定了网关了,ARP欺骗就无效了!
不过比较麻烦,要自己动手,在每台内网的计算机进入开放模式下,改一下。
热心网友
时间:2022-06-27 15:20
进路由器锁了 那个MAC,最有效!
如果你要忍耐用,彩影ARP防火墙,拦截速度超快,就连SKILLER这种非ARP攻击软件也可以远程关闭。功能强大!可以看到人家电脑网卡发送数据包是否正常.
热心网友
时间:2022-06-27 15:20
聚生网管!