1. 首頁 > 生活經驗 > >

如何防止ARP攻擊 防arp攻擊路由器

知識百科經驗分享


如何有效的防止ARP攻擊
關于這個問題的討論已經很深入了,對ARP攻擊的機理了解的很透徹,各種防范措施也層出不窮 。但問題是,現在真正擺脫ARP問題困擾了嗎?從用戶那里了解到,雖然嘗試過各種方法,但這個問題并沒有根本解決 。原因就在于,目前很多種ARP防范措施,一是解決措施的防范能力有限,并不是最根本的辦法 。二是對網絡管理約束很大,不方便不實用,不具備可操作性 。三是某些措施對網絡傳輸的效能有損失,網速變慢,帶寬浪費,也不可取 。本文通過具體分析一下普遍流行的四種防范ARP措施,去了解為什么ARP問題始終不能根治 。上篇:四種常見防范ARP措施的分析一、雙綁措施雙綁是在路由器和終端上都進行IP-MAC綁定的措施,它可以對ARP欺騙的兩邊,偽造網關和截獲數據,都具有約束的作用 。這是從ARP欺騙原理上進行的防范措施,也是最普遍應用的辦法 。它對付最普通的ARP欺騙是有效的 。但雙綁的缺陷在于3點:1、在終端上進行的靜態綁定,很容易被升級的ARP攻擊所搗毀,病毒的一個ARP–d命令,就可以使靜態綁定完全失效 。2、在路由器上做IP-MAC表的綁定工作,費時費力,是一項繁瑣的維護工作 。換個網卡或更換IP,都需要重新配置路由 。對于流動性電腦,這個需要隨時進行的綁定工作,是網絡維護的巨大負擔,網管員幾乎無法完成 。3、雙綁只是讓網絡的兩端電腦和路由不接收相關ARP信息,但是大量的ARP攻擊數據還是能發出,還要在內網傳輸,大幅降低內網傳輸效率,依然會出現問題 。因此,雖然雙綁曾經是ARP防范的基礎措施,但因為防范能力有限,管理太麻煩,現在它的效果越來越有限了 。二、ARP個人防火墻在一些殺毒軟件中加入了ARP個人防火墻的功能,它是通過在終端電腦上對網關進行綁定,保證不受網絡中假網關的影響,從而保護自身數據不被竊取的措施 。ARP防火墻使用范圍很廣,有很多人以為有了防火墻,ARP攻擊就不構成威脅了,其實完全不是那么回事 。ARP個人防火墻也有很大缺陷:1、它不能保證綁定的網關一定是正確的 。如果一個網絡中已經發生了ARP欺騙,有人在偽造網關,那么,ARP個人防火墻上來就會綁定這個錯誤的網關,這是具有極大風險的 。即使配置中不默認而發出提示,缺乏網絡知識的用戶恐怕也無所適從 。2、ARP是網絡中的問題,ARP既能偽造網關,也能截獲數據,是個“雙頭怪” 。在個人終端上做ARP防范,而不管網關那端如何,這本身就不是一個完整的辦法 。ARP個人防火墻起到的作用,就是防止自己的數據不會被盜取,而整個網絡的問題,如掉線、卡滯等,ARP個人防火墻是無能為力的 。因此,ARP個人防火墻并沒有提供可靠的保證 。最重要的是,它是跟網絡穩定無關的措施,它是個人的,不是網絡的 。三、VLAN和交換機端口綁定通過劃分VLAN和交換機端口綁定,以圖防范ARP,也是常用的防范方法 。做法是細致地劃分VLAN,減小廣播域的范圍,使ARP在小范圍內起作用,而不至于發生大面積影響 。同時,一些網管交換機具有MAC地址學習的功能,學習完成后,再關閉這個功能,就可以把對應的MAC和端口進行綁定,避免了病毒利用ARP攻擊篡改自身地址 。也就是說,把ARP攻擊中被截獲數據的風險解除了 。這種方法確實能起到一定的作用 。不過,VLAN和交換機端口綁定的問題在于:1、沒有對網關的任何保護,不管如何細分VLAN,網關一旦被攻擊,照樣會造成全網上網的掉線和癱瘓 。2、把每一臺電腦都牢牢地固定在一個交換機端口上,這種管理太死板了 。這根本不適合移動終端的使用,從辦公室到會議室,這臺電腦恐怕就無法上網了 。在無線應用下,又怎么辦呢?還是需要其他的辦法 。3、實施交換機端口綁定,必定要全部采用高級的網管交換機、三層交換機,整個交換網絡的造價大大提高 。因為交換網絡本身就是無條件支持ARP操作的,就是它本身的漏洞造成了ARP攻擊的可能,它上面的管理手段不是針對ARP的 。因此,在現有的交換網絡上實施ARP防范措施,屬于以子之矛攻子之盾 。而且操作維護復雜,基本上是個費力不討好的事情 。四、PPPoE網絡下面給每一個用戶分配一個帳號、密碼,上網時必須通過PPPoE認證,這種方法也是防范ARP措施的一種 。PPPoE撥號方式對封包進行了二次封裝,使其具備了不受ARP欺騙影響的使用效果,很多人認為找到了解決ARP問題的終極方案 。問題主要集中在效率和實用性上面:1、PPPoE需要對封包進行二次封裝,在接入設備上再解封裝,必然降低了網絡傳輸效率,造成了帶寬資源的浪費,要知道在路由等設備上添加PPPoE Server的處理效能和電信接入商的PPPoE Server可不是一個數量級的 。2、PPPoE方式下局域網間無法互訪,在很多網絡都有局域網內部的域控服務器、DNS服務器、郵件服務器、OA系統、資料共享、打印共享等等,需要局域網間相互通信的需求,而PPPoE方式使這一切都無法使用,是無法被接受的 。3、不使用PPPoE,在進行內網訪問時,ARP的問題依然存在,什么都沒有解決,網絡的穩定性還是不行 。因此,PPPoE在技術上屬于避開底層協議連接,眼不見心不煩,通過犧牲網絡效率換取網絡穩定 。最不能接受的,就是網絡只能上網用,內部其他的共享就不能在PPPoE下進行了 。通過對以上四種普遍的ARP防范方法的分析,我們可以看出,現有ARP防范措施都存在問題 。這也就是ARP即使研究很久很透,但依然在實踐中無法徹底解決的原因所在了 。下篇:免疫網絡是解決ARP最根本的辦法道高一尺魔高一丈,網絡問題必定需要網絡的方法去解決 。目前,欣全向推廣的免疫網絡就是徹底解決ARP問題的最實際的方法 。從技術原理上,徹底解決ARP欺騙和攻擊,要有三個技術要點 。1、終端對網關的綁定要堅實可靠,這個綁定能夠抵制被病毒搗毀 。2、接入路由器或網關要對下面終端IP-MAC的識別始終保證唯一準確 。3、網絡內要有一個最可依賴的機構,提供對網關IP-MAC最強大的保護 。它既能夠分發正確的網關信息,又能夠對出現的假網關信息立即封殺 。免疫網絡在這三個問題上,都有專門的技術解決手段,而且這些技術都是廠家欣全向的技術專利 。下面我們會詳細說明 。現在,我們要先做一個免疫網絡結構和實施的簡單介紹 。免疫網絡就是在現有的路由器、交換機、網卡、網線構成的普通交換網絡基礎上,加入一套安全和管理的解決方案 。這樣一來,在普通的網絡通信中,就融合進了安全和管理的機制,保證了在網絡通信過程中具有了安全管控的能力,堵上了普通網絡對安全從不設防的先天漏洞 。免疫網絡的結構實施一個免疫網絡不是一個很復雜的事,代價并不大 。它要做的僅僅是用免疫墻路由器或免疫網關,替換掉現有的寬帶接入設備 。在免疫墻路由器下,需要自備一臺服務器24小時運行免疫運營中心 。免疫網關不需要,已自帶服務器 。這就是方案的所需要的硬件調整措施 。軟性的網絡調整是IP規劃、分組策略、終端自動安裝上網驅動等配置和安裝工作,以保證整個的安全管理功能有效地運行 。其實這部分工作和網管員對網絡日常的管理沒有太大區別 。免疫網絡的監控中心免疫網絡具有強大的網絡基礎安全和管理功能,對ARP的防范僅是其十分之一不到的能力 。但本文談的是ARP問題,所以我們需要回過頭來,具體地解釋免疫網絡對ARP欺騙和攻擊防范的機理 。至于免疫網絡更多的強大,可以后續研究 。前述治理ARP問題的三個技術要點,終端綁定、網關、機構三個環節,免疫網絡分別采用了專門的技術手段 。1、終端綁定采用了看守式綁定技術 。免疫網絡需要每一臺終端自動安裝驅動,不安裝或卸載就不能上網 。在驅動中的看守式綁定,就是把正確的網關信息存貯在非公開的位置加以保護,任何對網關信息的更改,由于看守程序的嚴密監控,都是不能成功的,這就完成了對終端綁定牢固可靠的要求 。2、免疫墻路由器或免疫網關的ARP先天免疫技術 。在NAT轉發過程中,由于加入了特殊的機制,免疫墻路由器根本不理會任何對終端IP-MAC的ARP申告,也就是說,誰都無法欺騙網關 。與其他路由器不同,免疫墻路由器沒有使用IP-MAC的列表進行工作,當然也不需要繁瑣的路由器IP-MAC表綁定和維護操作 。先天免疫,就是不用管也具有這個能力 。
如何防止ARP攻擊
每臺主機都有一個臨時存放IP-MAC的對應表ARP攻擊就通過更改這個緩存來達到欺騙的目的,使用靜態的ARP來綁定正確的MAC是一個有效的方法.在命令行下使用arp
-a可以查看當前的ARP緩存表.以下是本機的ARP表

C:\Documents
and
Settings\cnqing>arp
-a
Interface:
192.168.0.1
on
Interface
0x1000003
Internet
Address
Physical
Address
Type
192.168.0.1
00-03-6b-7f-ed-02
dynamic
其中代表動態緩存,即收到一個相關ARP包就會修改這項.如果是個非法的含有不正確的網關的ARP包,這個表就會自動更改.這樣我們就不能找到正確的網關MAC,就不能正常和其他主機通信.靜態表的建立用ARP
-S
IP
MAC.
執行arp
-s
192.168.0.1
00-03-6b-7f-ed-02后,我們再次查看ARP緩存表.
C:\Documents
and
Settings\cnqing>arp
-a
Interface:
192.168.0.1
on
Interface
0x1000003
Internet
Address
Physical
Address
Type
192.168.0.1
00-03-6b-7f-ed-02
static
此時"TYPE"項變成了"static",靜態類型.這個狀態下,是不會在接受到ARP包時改變本地緩存的.從而有效的防止ARP攻擊.靜態的ARP條目在每次重啟后都要消失需要重新設置.
此時我們就可以自己寫一個批處理文件,文件內容如下:
@echo
off
arp
-d
arp
-s
192.168.0.1
00-03-6b-7f-ed-02
寫好之后我們把它存儲為
rarp.bat,再把此文件放到開始菜單-程序-啟動欄,這樣每次啟動機器時,就自動執行此批處理文件 。菜單-程序-啟動欄默認目錄:C:\Documents
and
Settings\All
Users\「開始」菜單\程序\啟動
如何徹底防arp攻擊
防范ARP的方法有以下幾種:
①保證電腦不接收欺騙包
②保證電腦收到欺騙包之后不相信
③如果網絡設備能夠識別這種欺騙包,并且提前丟棄掉,則電腦/手機端就不會被欺騙;
④如果網絡設備沒有攔截這種欺騙包,則電腦/手機端需要做安全防御,然后再丟棄 。
參考資料:網頁鏈接

arp攻擊與防范
如今互聯網的重要性越來越大,很多人也對一些知識很感興趣,那么你知道arp攻擊與防范嗎?下面是我整理的一些關于arp攻擊與防范的相關資料,供你參考 。
arp攻擊與防范:
一、要想防患arp攻擊,那么我們要知道什么是arp?
ARP:地址解析協議,用于將32位的IP地址解析成48位的物理mac地址 。
在以太網協議中,規定同一局域網中的主機相互通信,必須知道對方的物理地址(即mac地址),而在tcp/ip協議中,網絡層和傳輸層只關心目標主機的ip地址 。這就導致在以太網中使用IP協議時,數據鏈路層的以太網協議接到上層的IP協議提供的數據中,只包含目的主機的IP地址 。所以就需要一種協議,根據目的的IP地址,獲得其mac地址 。所以arp協議就應運而生 。
另外,當發送主機和目的主機不在同一個局域網中時,即便知道目的主機的MAC地址,兩者也不能直接通信,必須經過路由轉發才可以 。所以此時,發送主機通過ARP協議獲得的將不是目的主機的真實MAC地址,而是一臺可以通往局域網外的路由器的某個端口的MAC地址 。于是此后發送主機發往目的主機的所有幀,都將發往該路由器,通過它向外發送 。這種情況稱為ARP代理(ARP Proxy) 。
二、arp攻擊的原理
ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞,攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,造成網絡中斷或中間人攻擊 。
ARP攻擊主要是存在于局域網網絡中,局域網中若有一臺計算機感染ARP木馬,則感染該ARP木馬的系統將會試圖通過“ARP欺騙”手段截獲所在網絡內其它計算機的通信信息,并因此造成網內其它計算機的通信故障 。
三、什么是ARP欺騙
在局域網中,黑客 經過收到ARP Request廣播包,能夠偷聽到其它節點的 (IP, MAC) 地址, 黑客就偽裝為A,告訴B (受害者) 一個假地址,使得B在發送給A 的數據包都被黑客截取,而A, B 渾然不知 。
四、arp的攻擊方式:
1、ip地址沖突
Arp病毒制造者制造出局域網上有另一臺主機與受害主機共享一個IP的假象 。大量的攻擊數據包能令受害主機耗費大量的系統資源 。
①單播型的IP地址沖突
數據鏈路層記錄的目的物理地址為被攻擊主機的物理地址,這樣使得該arp數據包只能被受攻擊主機所接收,而不被局域網內其他主機所接收,實現隱蔽式攻擊 。
②廣播型的IP地址沖突
數據鏈路層記錄的目的物理地址為廣播地址,這樣使得局域網內的所有主機都會接收到該arp數據包,雖然該arp數據包所記錄的目的IP地址不是受攻擊主機的IP地址,但是由于該arp數據包為廣播數據包,這樣受攻擊主機也會收到 。
2、arp泛洪攻擊
攻擊主機持續把偽造的mac-ip映射對發給受害的主機,對于局域網內的所有主機和網管進行廣播,搶占網絡帶寬和干擾正常通信 。
3、arp掃描攻擊
Arp攻擊者向局域網發送arp請求,從而獲得正在運行主機的IP和MAC地址的映射對 。攻擊源通過對arp掃描獲得所要攻擊的IP和mac地址,從而為網絡監聽、盜取用戶數據,實現隱蔽式攻擊做準備 。
4、虛擬主機攻擊
黑客通過在網絡內虛擬構建網卡,將自己虛擬成網絡內的一臺主機,擁有虛擬的物理地址和IP地址 。使得占用局域網內的IP地址資源,使得正常運行的主機會發生IP地址沖突,并且大量的虛擬主機攻擊會使得局域網內的主機無法正常獲得IP地址 。
5、ARP欺騙攻擊
目的是向目標主機發送偽造的arp應答,并使目標主機接收應答中的IP與MAC間的映射,并以此更新目標主機緩存 。從而影響鏈接暢通 。其方式有:冒充主機欺騙網關,原理是截獲網關數據和冒充網關欺騙主機,原理是偽造網關 。
五、arp攻擊防患措施
1、在客戶端靜態綁定IP地址和MAC地址
進入命令行arp –a命令查看,獲取本機的網關IP地址和網關mac地址
編寫一個批處理內容為:
@echo off
arp -d
arp –s 網關的IP地址 自己的mac地址
保存放置到開機啟動項里
2、設置arp服務器
指定局域網內部的一臺機器作為arp服務器,專門保存且維護可信范圍內的所有主機的IP地址與mac地址的映射記錄 。該服務器通過查閱自己的arp緩存的靜態記錄,并以被查詢主機的名義相應局域網內部的arp請求,同時設置局域網內部其他主機只是用來自arp服務器的arp響應 。
3、交換機端口設置
通過劃分VLAN和交換機端口綁定,以圖防范ARP,也是常用的防范方法 。做法是細致地劃分VLAN,減小廣播域的范圍,使ARP在小范圍內起作用,而不至于發生大面積影響 。同時,一些網管交換機具有MAC地址學習的功能,學習完成后,再關閉這個功能,就可以把對應的MAC和端口進行綁定,避免了病毒利用ARP攻擊篡改自身地址 。也就是說,把ARP攻擊中被截獲數據的風險解除了 。這種方法確實能起到一定的作用 。
不過,VLAN和交換機端口綁定的問題在于:
①沒有對網關的任何保護,不管如何細分VLAN,網關一旦被攻擊,照樣會造成全網上網的掉線和癱瘓 。
②把每一臺電腦都牢牢地固定在一個交換機端口上,這種管理太死板了 。這根本不適合移動終端的使用,從辦公室到會議室,這臺電腦恐怕就無法上網了 。在無線應用下,又怎么辦呢?還是需要其他的辦法 。
③實施交換機端口綁定,必定要全部采用高級的網管交換機、三層交換機,整個交換網絡的造價大大提高 。
因為交換網絡本身就是無條件支持ARP操作的,就是它本身的漏洞 造成了ARP攻擊的可能,它上面的管理手段不是針對ARP的 。因此,在現有的交換網絡上實施ARP防范措施,屬于以子之矛攻子之盾 。而且操作維護復雜,基本上是個費力不討好的事情 。
4、ARP個人防火墻
在一些殺毒軟件中加入了ARP個人防火墻的功能,它是通過在終端電腦上對網關進行綁定,保證不受網絡中假網關的影響,從而保護自身數據不被竊取的措施 。ARP防火墻使用范圍很廣,有很多人以為有了防火墻,ARP攻擊就不構成威脅了,其實完全不是那么回事 。
ARP個人防火墻也有很大缺陷:
①它不能保證綁定的網關一定是正確的 。如果一個網絡中已經發生了ARP欺騙,有人在偽造網關,那么,ARP個人防火墻上來就會綁定這個錯誤的網關,這是具有極大風險的 。即使配置中不默認而發出提示,缺乏網絡知識的用戶恐怕也無所適從 。
②ARP是網絡中的問題,ARP既能偽造網關,也能截獲數據,是個“雙頭怪” 。在個人終端上做ARP防范,而不管網關那端如何,這本身就不是一個完整的辦法 。ARP個人防火墻起到的作用,就是防止自己的數據不會被盜取,而整個網絡的問題,如掉線、卡滯等,ARP個人防火墻是無能為力的 。
因此,ARP個人防火墻并沒有提供可靠的保證 。最重要的是,它是跟網絡穩定無關的措施,它是個人的,不是網絡的 。
5、安裝監聽軟件
可以安裝sniffer軟件,監聽網絡中的arp包,由于ARP欺騙往往使用廣播形式傳播,即使在交換機環境下也明顯能監聽到某PC端正在狂發arp包,可以定位到arp病毒源主機 。
6、反欺騙
通過命令設置一個錯誤的網關地址,反欺騙arp病毒,然后再添加一條靜態路由,設置正確的網關用于正常的網絡訪問 。


怎么防arp攻擊
方法一:
首先安裝arptables:
sudo apt-get install arptables
然后定義規則:
sudo arptables -A INPUT --src-mac ! 網關物理地址 -j DROP
sudo arptables -A INPUT -s ! 網關IP -j DROP
sudo arptables -A OUTPUT --destination-mac ff:ff:ff:ff:ff:ff -j ACCEPT
不過這樣就有一點不好,局域網內的資源不能用!
sudo arptables -F
當然我們可以做個腳本,每次開機的時候自動運行!~sudo gedit /etc/init.d/arptables,內容如下:
#! /bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
arptables -A INPUT --src-mac ! 網關物理地址 -j DROP
arptables -A INPUT -s ! 網關IP -j DROP
arptables -A OUTPUT --destination-mac ff:ff:ff:ff:ff:ff -j ACCEPT
然后給arptables加個execution的屬性,
sudo chmod 755 /etc/init.d/arptables
再把arptables設置自動運行,
sudo update-rc.d arptables start 99 S .
用sysv-rc-conf直接設置
方法二:
手工綁定arp
1、先使用arp和 arp -a查看一下當前ARP緩存列表
[root@ftpsvr ~]# arp
AddressHWtypeHWaddressFlags MaskIface
192.168.1.234ether00:04:61:AE:11:2BCeth0
192.168.1.145ether00:13:20:E9:11:04Ceth0
192.168.1.1ether00:02:B3:38:08:62Ceth0
說明:
Address:主機的IP地址
Hwtype:主機的硬件類型
Hwaddress:主機的硬件地址
Flags Mask:記錄標志,”C”表示arp高速緩存中的條目,”M”表示靜態的arp條目 。
[root@ftpsvr ~]# arp -a
? (192.168.1.234) at 00:04:61:AE:11:2B [ether] on eth0
? (192.168.1.1) at 00:16:76:22:23:86 [ether] on eth0
2、新建一個靜態的mac–>ip對應表文件:ip-mac,將要綁定的IP和MAC 地下寫入此文件,格式為 ip mac 。
[root@ftpsvr ~]# echo ‘192.168.1.1 00:02:B3:38:08:62 ‘ > /etc/ip-mac
[root@ftpsvr ~]# more /etc/ip-mac
192.168.1.1 00:02:B3:38:08:62
3、設置開機自動綁定
[root@ftpsvr ~]# echo ‘arp -f /etc/ip-mac ‘ >> /etc/rc.d/rc.local
4、手動執行一下綁定
[root@ftpsvr ~]# arp -f /etc/ip-mac
5、確認綁定是否成功
[root@ftpsvr ~]# arp
AddressHWtypeHWaddressFlags MaskIface
192.168.0.205ether00:02:B3:A7:85:48Ceth0
192.168.1.234ether00:04:61:AE:11:2BCeth0
192.168.1.1ether00:02:B3:38:08:62CMeth0
[root@ftpsvr ~]# arp -a
? (192.168.0.205) at 00:02:B3:A7:85:48 [ether] on eth0
? (192.168.1.234) at 00:04:61:AE:11:2B [ether] on eth0
? (192.168.1.1) at 00:02:B3:38:08:62 [ether] PERM on eth0
從綁定前后的ARP緩存列表中,可以看到網關(192.168.1.1)的記錄標志已經改變,說明綁定成功
ARP攻擊,如何防御?
這個問題十分有趣,下面我來回答一下對該問題的看法 。

ARP欺騙和攻擊問題,是企業網絡的心腹大患 。關于這個問題的討論已經很深入了,對ARP攻擊的機理了解的很透徹,各種防范措施也層出不窮 。

雙綁措施
對偶綁定是指在路由器和終端上對ip - mac綁定的一種測量方法,可以用來綁定ARP、偽網關和攔截數據的兩端 。這是一種預防措施,從ARP欺騙的原則,是最常用的方法 。它是有效的對抗最常見的ARP欺騙 。
ARP個人防火墻
在一些殺毒軟件中加入了ARP個人防火墻功能,它是通過終端對網關的綁定,保證不受網絡中假網關的影響,從而保護他們的數據不被竊取 。ARP防火墻被廣泛使用 。很多人認為有防火墻 。ARP攻擊不是威脅 。
VLAN和交換機端口綁定
它也常用來通過分隔VLAN和交換端口綁定來防止ARP 。方法是對VLAN進行仔細的分割,減少廣播域的范圍,使ARP在小范圍內發揮作用,而不會產生廣泛的影響 。同時,部分網絡交換機在完成學習后,有MAC地址學習功能,然后關閉功能,可以將相應的MAC綁定和端口設置為避免使用ARP病毒攻擊篡改自己的地址 。也就是說,從ARP攻擊中截取數據的風險被解除了 。這種方法確實起作用 。
總結:由于交換網絡本身是對ARP操作的無條件支持,導致ARP攻擊的是其自身的弱點,而ARP攻擊不是針對ARP的 。因此,在現有的交流網絡上實施ARP預防措施,屬于兒童之矛 。而維持復雜性的操作基本上是一項費力不討好的任務 。

【如何防止ARP攻擊 防arp攻擊路由器】關于防arp攻擊和防arp攻擊路由器的內容就分享到這兒!更多實用知識經驗,盡在 m.apearl.cn