如何防范ARP攻擊

局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫�”，幀里面是有目�?biāo)主機(jī)的mac地址的。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)ip地址轉(zhuǎn)換成目標(biāo)mac地址的過程。arp協(xié)議的基本功能就是通過目標(biāo)設(shè)備的ip地址，查詢目標(biāo)設(shè)備的mac地址以保證通信的順利進(jìn)行。

注解：簡單地說，arp協(xié)議主要負(fù)責(zé)將局域網(wǎng)中的32為ip地址轉(zhuǎn)換為對應(yīng)的48位物理地址，即網(wǎng)卡的mac地址，比如ip地址為192.168.0.1網(wǎng)卡mac地址為00-03-0f-fd-1d-2b。整個(gè)轉(zhuǎn)換過程是一臺(tái)主機(jī)先向目標(biāo)主機(jī)發(fā)送包含ip地址信息的廣播數(shù)據(jù)包，即arp請求，然后目標(biāo)主機(jī)向該主機(jī)發(fā)送一個(gè)含有ip地址和mac地址數(shù)據(jù)包，通過mac地址兩個(gè)主機(jī)就可以實(shí)現(xiàn)數(shù)據(jù)傳輸了。

應(yīng)用：在安裝了以太網(wǎng)網(wǎng)絡(luò)適配器的計(jì)算機(jī)中都有專門的arp緩存，包含一個(gè)或多個(gè)表，用于保存ip地址以及經(jīng)過解析的mac地址。在windows中要查看或者修改arp緩存中的信息，可以使用arp命令來完成，比如在windows xp的命令提示符窗口中鍵入“arp -a”或“arp -g”可以查看arp緩存中的內(nèi)容；鍵入“arp -d ipaddress”表示刪除指定的ip地址項(xiàng)（ipaddress表示ip地址）。arp命令的其他用法可以鍵入“arp /?”查看到。

我們首先要知道以太網(wǎng)內(nèi)主機(jī)通信是靠mac地址來確定目標(biāo)的.arp協(xié)議又稱"地址解析協(xié)議",它負(fù)責(zé)通知電腦要連接的目標(biāo)的地址,這里說的地址在以太網(wǎng)中就是mac地址,簡單說來就是通過ip地址來查詢目標(biāo)主機(jī)的mac地址.一旦這個(gè)環(huán)節(jié)出錯(cuò),我們就不能正常和目標(biāo)主機(jī)進(jìn)行通信,甚至使整個(gè)網(wǎng)絡(luò)癱瘓.

arp的攻擊主要有以下幾種方式

一.簡單的欺騙攻擊

這是比較常見的攻擊,通過發(fā)送偽造的arp包來欺騙路由和目標(biāo)主機(jī),讓目標(biāo)主機(jī)認(rèn)為這是一個(gè)合法的主機(jī).便完成了欺騙.這種欺騙多發(fā)生在同一網(wǎng)段內(nèi),因?yàn)槁酚刹粫?huì)把本網(wǎng)段的包向外轉(zhuǎn)發(fā),當(dāng)然實(shí)現(xiàn)不同網(wǎng)段的攻擊也有方法,便要通過icmp協(xié)議來告訴路由器重新選擇路由.

二.交換環(huán)境的嗅探

在最初的小型局域網(wǎng)中我們使用hub來進(jìn)行互連,這是一種廣播的方式,每個(gè)包都會(huì)經(jīng)過網(wǎng)內(nèi)的每臺(tái)主機(jī),通過使用軟件,就可以嗅談到整個(gè)局域網(wǎng)的數(shù)據(jù).現(xiàn)在的網(wǎng)絡(luò)多是交換環(huán)境,網(wǎng)絡(luò)內(nèi)數(shù)據(jù)的傳輸被鎖定的特定目標(biāo).既已確定的目標(biāo)通信主機(jī).在arp欺騙的基礎(chǔ)之上,可以把自己的主機(jī)偽造成一個(gè)中間轉(zhuǎn)發(fā)站來監(jiān)聽兩臺(tái)主機(jī)之間的通信.

三.mac flooding

這是一個(gè)比較危險(xiǎn)的攻擊,可以溢出交換機(jī)的arp表,使整個(gè)網(wǎng)絡(luò)不能正常通信

四.基于arp的dos

這是新出現(xiàn)的一種攻擊方式,d.o.s又稱拒絕服務(wù)攻擊,當(dāng)大量的連接請求被發(fā)送到一臺(tái)主機(jī)時(shí),由于主機(jī)的處理能力有限,不能為正常用戶提供服務(wù),便出現(xiàn)拒絕服務(wù).這個(gè)過程中如果使用arp來隱藏自己,在被攻擊主機(jī)的日志上就不會(huì)出現(xiàn)真實(shí)的ip.攻擊的同時(shí),也不會(huì)影響到本機(jī).

防護(hù)方法:

1.ip+mac訪問控制.

單純依靠ip或mac來建立信任關(guān)系是不安全,理想的安全關(guān)系建立在ip+mac的基礎(chǔ)上.這也是我們校園網(wǎng)上網(wǎng)必須綁定ip和mac的原因之一.

2.靜態(tài)arp緩存表.

每臺(tái)主機(jī)都有一個(gè)臨時(shí)存放ip-mac的對應(yīng)表arp攻擊就通過更改這個(gè)緩存來達(dá)到欺騙的目的,使用靜態(tài)的arp來綁定正確的mac是一個(gè)有效的方法.在命令行下使用arp -a可以查看當(dāng)前的arp緩存表.以下是本機(jī)的arp表

c:\documents and settings\cnqing>arp -a

interf-ace: 210.31.197.81 on interf-ace 0x1000003

internet address physical address type

210.31.197.94 00-03-6b-7f-ed-02 dynamic

其中"dynamic" 代表動(dòng)態(tài)緩存,即收到一個(gè)相關(guān)arp包就會(huì)修改這項(xiàng).如果是個(gè)非法的含有不正確的網(wǎng)關(guān)的arp包,這個(gè)表就會(huì)自動(dòng)更改.這樣我們就不能找到正確的網(wǎng)關(guān)mac,就不能正常和其他主機(jī)通信.靜態(tài)表的建立用arp -s ip mac.

執(zhí)行"arp -s 210.31.197.94 00-03-6b-7f-ed-02"后,我們再次查看arp緩存表.

c:\documents and settings\cnqing>arp -a

《如何防范ARP攻擊》全文內(nèi)容當(dāng)前網(wǎng)頁未完全顯示，剩余內(nèi)容請?jiān)L問下一頁查看。

interf-ace: 210.31.197.81 on interf-ace 0x1000003

internet address physical address type

210.31.197.94 00-03-6b-7f-ed-02 static

此時(shí)"type"項(xiàng)變成了"static",靜態(tài)類型.這個(gè)狀態(tài)下,是不會(huì)在接受到arp包時(shí)改變本地緩存的.從而有效的防止arp攻擊.靜態(tài)的arp條目在每次重啟后都要消失需要重新設(shè)置.

3.arp 高速緩存超時(shí)設(shè)置

在arp高速緩存中的表項(xiàng)一般都要設(shè)置超時(shí)值,縮短這個(gè)這個(gè)超時(shí)值可以有效的防止arp表的溢出.

4.主動(dòng)查詢

在某個(gè)正常的時(shí)刻,做一個(gè)ip和mac對應(yīng)的數(shù)據(jù)庫,以后定期檢查當(dāng)前的ip和mac對應(yīng)關(guān)系是否正常.定期檢測交換機(jī)的流量列表,查看丟包率.

總結(jié):arp本省不能造成多大的危害,一旦被結(jié)合利用,其危險(xiǎn)性就不可估量了.由于arp本身的問題.使得防范arp的攻擊很棘手,經(jīng)常查看當(dāng)前的網(wǎng)絡(luò)狀態(tài),監(jiān)控流量對一個(gè)網(wǎng)管員來說是個(gè)很好的習(xí)慣.

如何防止ARP攻擊2017-04-21 11:21 | #2樓

一、用戶檢查和處理“arp 欺騙”木馬的方法。

1、檢查本機(jī)是否中的“ arp 欺騙”木馬染毒

同時(shí)按住鍵盤上的“ ctrl + alt +del”鍵，選擇“任務(wù)管理器”，點(diǎn)選“進(jìn)程”標(biāo)簽。查看其中是否有一個(gè)名為“mir0.dat”之類的進(jìn)程。如果有，則說明已經(jīng)中毒。右鍵點(diǎn)擊此進(jìn)程后選擇“結(jié)束進(jìn)程”。

2、在受到arp欺騙木馬程序（病毒）攻擊時(shí)，用戶可選擇下列方法的一種處理。

方法一：

下載anti arpsniffer軟件保護(hù)本地計(jì)算機(jī)正常運(yùn)行。同時(shí)把此軟件設(shè)為自動(dòng)啟動(dòng)，步驟：先把a(bǔ)ntiarp.exe生成桌面快捷方式->選"開始"->"程序"->雙擊"啟動(dòng)"->再把桌面上antiarp.exe快捷鍵拷到"啟動(dòng)"中，以保證下次開機(jī)自動(dòng)運(yùn)行，起到保護(hù)的作用。

方法二：

在“開始” - “程序” -“附件”菜單下調(diào)出“命令提示符”。輸入并執(zhí)行以下命令：ipconfig

記錄網(wǎng)關(guān) ip 地址，即“ default gateway”對應(yīng)的值，例如“ 10.1.4.1”。再輸入并執(zhí)行以下命令： arp /a

在“ internet address ”下找到上步記錄的網(wǎng)關(guān) ip地址，記錄其對應(yīng)的物理地址，即“ physical address”值，例如“00-e0-fc-0f-8f-4d”。在網(wǎng)絡(luò)正常時(shí)這就是網(wǎng)關(guān)的正確物理地址，在網(wǎng)絡(luò)受“arp欺騙”木馬影響而不正常時(shí)，它就是木馬所在計(jì)算機(jī)的網(wǎng)卡物理地址。也可以掃描本子網(wǎng)內(nèi)的全部 ip 地址，然后再查 arp表。如果有一個(gè) ip對應(yīng)的物理地址與網(wǎng)關(guān)的相同，那么這個(gè) ip地址和物理地址就是中毒計(jì)算機(jī)的 ip地址和網(wǎng)卡物理地址。本方法可在一定程度上減輕中木馬的其它計(jì)算機(jī)對本機(jī)的影響。用上邊介紹的方法確定正確的網(wǎng)關(guān)ip 地址和網(wǎng)關(guān)物理地址，然后在“命令提示符”窗口中輸入并執(zhí)行以下命令： arp /s 網(wǎng)關(guān)ip 網(wǎng)關(guān)物理地址 。

方法三：(只適用時(shí)出現(xiàn)故障時(shí)的臨時(shí)解決辦法）

在“開始” - “程序” -“附件”菜單下調(diào)出“命令提示符”。輸入并執(zhí)行以下命令：arp -d

方法四：

局域網(wǎng)arp攻擊免疫器,網(wǎng)上有得下。

（1）將這里面3個(gè)dll文件復(fù)制到windows\system32里面，將npf 這個(gè)文件復(fù)制到 windows\system32\drivers里面。

（2）將這4個(gè)文件在安全屬性里改成只讀。也就是不允許任何人修改。

二、以下程序帶有此類arp病毒（傳奇殺手等），請不要使用：

傳奇2冰橙子1.44版

傳奇2及時(shí)雨pk版

"網(wǎng)吧傳奇殺手"的木馬軟件進(jìn)行傳奇帳號(hào)和密碼的掃描

網(wǎng)絡(luò)執(zhí)法官等類似程序

【如何防范ARP攻擊】相關(guān)文章：

如何防范網(wǎng)絡(luò)攻擊09-23

系統(tǒng)管-理-員如何防范黑客的攻擊09-23

解析系統(tǒng)管-理-員應(yīng)如何防范黑客攻擊09-23

如何防范邪教09-23

如何防范詐騙11-28

如何防范傳銷陷阱06-15

如何防范客戶流失09-23

如何防范非法集資02-27

如何防范求職陷阱09-23