⑴ 如何解決內網ARP攻擊
區域網ARP欺騙攻擊的防範
安裝金山貝殼ARP防火牆
http://www.beike.cn/arp.html
主要閃光點:
1.主動防禦:主動向網關通告本機的真實地址(MAC地址),保障安全上網,不受ARP欺騙影響。
2.攔截IP地址沖突:在系統內核層攔截接收到的IP沖突數據包,避免本機因IP地址沖突造成掉線。
3.攔截外部ARP攻擊:在系統內核層攔截接虛假的ARP數據包,保障本機對網路地址識別的正確性。
4.攔截對外ARP攻擊:在系統內核層攔截本機對外的ARP攻擊數據包,防止本機感染病毒/木馬後成為攻擊源。
5.安全模式:不響應除網關外的其它機器發送的ARP請求,達到隱身效果,避免受到ARP攻擊。
6.查殺盜號木馬:集成《貝殼木馬專殺》查殺盜號木馬功能,保護計算機不受木馬/病毒的侵害。
⑵ 如何防止區域網內的電腦遭到其它電腦的ARP攻擊在伺服器那裡怎麼設置
區域網防ARP攻擊不能從單機入手,應該從源頭開始,如果區域網里電腦多,網管會累壞的。如果你用路由器,在路由器里進行設置,有些SOHO級的路由器里就有防火牆功能的,能設置防ARP攻擊的,同時將區域網中的電腦的MAC地址與IP進行綁定,這樣就可以了。我不知道你的伺服器有否參與網路管理的,如果伺服器上安裝有那些網管軟體的,如網路崗這類的,在這些軟體里都有防ARP攻擊的設置選項的。
⑶ 如何有效的防止ARP攻擊
×
loading..
資訊
安全
論壇
下載
讀書
程序開發
資料庫
系統
網路
電子書
微信學院
站長學院
QQ
手機軟體
考試
系統安全|
網站安全|
企業安全|
網路安全|
工具軟體|
殺毒防毒|
加密解密|
首頁 > 安全 > 網路安全 > 正文
如何有效的防止ARP攻擊
2013-02-22
0 個評論
收藏
我要投稿
ARP欺騙和攻擊問題,是企業網路的心腹大患。關於這個問題的討論已經很深入了,對ARP攻擊的機理了解的很透徹,各種防範措施也層出不窮。
但問題是,現在真正擺脫ARP問題困擾了嗎?從用戶那裡了解到,雖然嘗試過各種方法,但這個問題並沒有根本解決。原因就在於,目前很多種ARP防範措施,一是解決措施的防範能力有限,並不是最根本的辦法。二是對網路管理約束很大,不方便不實用,不具備可操作性。三是某些措施對網路傳輸的效能有損失,網速變慢,帶寬浪費,也不可取。
本文通過具體分析一下普遍流行的四種防範ARP措施,去了解為什麼ARP問題始終不能根治。
上篇:四種常見防範ARP措施的分析
一、雙綁措施
雙綁是在路由器和終端上都進行IP-MAC綁定的措施,它可以對ARP欺騙的兩邊,偽造網關和截獲數據,都具有約束的作用。這是從ARP欺騙原理上進行的防範措施,也是最普遍應用的辦法。它對付最普通的ARP欺騙是有效的。
但雙綁的缺陷在於3點:
1、
在終端上進行的靜態綁定,很容易被升級的ARP攻擊所搗毀,病毒的一個ARP
–d命令,就可以使靜態綁定完全失效。
2、
在路由器上做IP-MAC表的綁定工作,費時費力,是一項繁瑣的維護工作。換個網卡或更換IP,都需要重新配置路由。對於流動性電腦,這個需要隨時進行的綁定工作,是網路維護的巨大負擔,網管員幾乎無法完成。
3、
雙綁只是讓網路的兩端電腦和路由不接收相關ARP信息,但是大量的ARP攻擊數據還是能發出,還要在內網傳輸,大幅降低內網傳輸效率,依然會出現問題。
因此,雖然雙綁曾經是ARP防範的基礎措施,但因為防範能力有限,管理太麻煩,現在它的效果越來越有限了。
二、ARP個人防火牆
在一些殺毒軟體中加入了ARP個人防火牆的功能,它是通過在終端電腦上對網關進行綁定,保證不受網路中假網關的影響,從而保護自身數據不被竊取的措施。ARP防火牆使用范圍很廣,有很多人以為有了防火牆,ARP攻擊就不構成威脅了,其實完全不是那麼回事。
ARP個人防火牆也有很大缺陷:
1、它不能保證綁定的網關一定是正確的。如果一個網路中已經發生了ARP欺騙,有人在偽造網關,那麼,ARP個人防火牆上來就會綁定這個錯誤的網關,這是具有極大風險的。即使配置中不默認而發出提示,缺乏網路知識的用戶恐怕也無所適從。
2
、ARP是網路中的問題,ARP既能偽造網關,也能截獲數據,是個「雙頭怪」。在個人終端上做ARP防範,而不管網關那端如何,這本身就不是一個完整的辦法。ARP個人防火牆起到的作用,就是防止自己的數據不會被盜取,而整個網路的問題,如掉線、卡滯等,ARP個人防火牆是無能為力的。
因此,ARP個人防火牆並沒有提供可靠的保證。最重要的是,它是跟網路穩定無關的措施,它是個人的,不是網路的。
三、VLAN和交換機埠綁定
通過劃分VLAN和交換機埠綁定,以圖防範ARP,也是常用的防範方法。做法是細致地劃分VLAN,減小廣播域的范圍,使ARP在小范圍內起作用,而不至於發生大面積影響。同時,一些網管交換機具有MAC地址學習的功能,學習完成後,再關閉這個功能,就可以把對應的MAC和埠進行綁定,避免了病毒利用ARP攻擊篡改自身地址。也就是說,把ARP攻擊中被截獲數據的風險解除了。這種方法確實能起到一定的作用。
不過,VLAN和交換機埠綁定的問題在於:
1、沒有對網關的任何保護,不管如何細分VLAN,網關一旦被攻擊,照樣會造成全網上網的掉線和癱瘓。
2、把每一台電腦都牢牢地固定在一個交換機埠上,這種管理太死板了。這根本不適合移動終端的使用,從辦公室到會議室,這台電腦恐怕就無法上網了。在無線應用下,又怎麼辦呢?還是需要其他的辦法。
3、實施交換機埠綁定,必定要全部採用高級的網管交換機、三層交換機,整個交換網路的造價大大提高。
因為交換網路本身就是無條件支持ARP操作的,就是它本身的漏洞造成了ARP攻擊的可能,它上面的管理手段不是針對ARP的。因此,在現有的交換網路上實施ARP防範措施,屬於以子之矛攻子之盾。而且操作維護復雜,基本上是個費力不討好的事情。
四、PPPoE
網路下面給每一個用戶分配一個帳號、密碼,上網時必須通過PPPoE認證,這種方法也是防範ARP措施的一種。PPPoE撥號方式對封包進行了二次封裝,使其具備了不受ARP欺騙影響的使用效果,很多人認為找到了解決ARP問題的終極方案。
問題主要集中在效率和實用性上面:
1、PPPoE需要對封包進行二次封裝,在接入設備上再解封裝,必然降低了網路傳輸效率,造成了帶寬資源的浪費,要知道在路由等設備上添加PPPoE Server的處理效能和電信接入商的PPPoE Server可不是一個數量級的。
2、PPPoE方式下區域網間無法互訪,在很多網路都有區域網內部的域控伺服器、DNS伺服器、郵件伺服器、OA系統、資料共享、列印共享等等,需要區域網間相互通信的需求,而PPPoE方式使這一切都無法使用,是無法被接受的。
3、不使用PPPoE,在進行內網訪問時,ARP的問題依然存在,什麼都沒有解決,網路的穩定性還是不行。
因此,PPPoE在技術上屬於避開底層協議連接,眼不見心不煩,通過犧牲網路效率換取網路穩定。最不能接受的,就是網路只能上網用,內部其他的共享就不能在PPPoE下進行了。
通過對以上四種普遍的ARP防範方法的分析,我們可以看出,現有ARP防範措施都存在問題。這也就是ARP即使研究很久很透,但依然在實踐中無法徹底解決的原因所在了。
⑷ 防範ARP攻擊的最有效的方法是什麼
1、不要把你的網路安全信任關系建立在IP基礎上或MAC基礎上,(rarp同樣存在欺騙的問題),理想的關系應該建立在IP+MAC基礎上。2、設置靜態的MAC-->IP對應表,不要讓主機刷新你設定好的轉換表。3、除非很有必要,否則停止使用ARP,將ARP做為永久條目保存在對應表中。4、使用ARP伺服器。通過該伺服器查找自己的ARP轉換表來響應其他機器的ARP廣播。確保這台ARP伺服器不被黑。5、使用""proxy""代理IP的傳輸。6、使用硬體屏蔽主機。設置好你的路由,確保IP地址能到達合法的路徑。(靜態配置路由ARP條目),注意,使用交換集線器和網橋無法阻止ARP欺騙。7、管理員定期用響應的IP包中獲得一個rarp請求,然後檢查ARP響應的真實性。8、管理員定期輪詢,檢查主機上的ARP緩存。9、使用防火牆連續監控網路。注意有使用SNMP的情況下,ARP的欺騙有可能導致陷阱包丟失。最後建議你為了自己電腦的安全,使用火狐瀏覽器從此擺脫流氓插件,徹底杜絕木馬病毒火狐瀏覽器推薦下載: http://hi..com/beiy/blog/item/96d4433b4b5ca7eb14cecb5e.html
⑸ 請問大家2003伺服器,怎麼才能禁止ARP攻擊
2、設置靜態的MAC-->IP對應表,不要讓主機刷新你設定好的轉換表。 3、除非很有必要,否則停止使用ARP,將ARP做為永久條目保存在對應表中。 4、使用ARP伺服器。通過該伺服器查找自己的ARP轉換表來響應其他機器的ARP廣播。確保這台ARP伺服器不被黑。 5、使用"proxy"代理IP的傳輸。 6、使用硬體屏蔽主機。設置好你的路由,確保IP地址能到達合法的路徑。(靜態配置路由ARP條目),注意,使用交換集線器和網橋無法阻止ARP欺騙。 7、管理員定期用響應的IP包中獲得一個rarp請求,然後檢查ARP響應的真實性。 8、管理員定期輪詢,檢查主機上的ARP緩存。 9、使用防火牆連續監控網路。注意有使用SNMP的情況下,ARP的欺騙有可能導致陷阱包丟失。 【HiPER用戶的解決方案】 建議用戶採用雙向綁定的方法解決並且防止ARP欺騙。 1、在PC上綁定路由器的IP和MAC地址: 1)首先,獲得路由器的內網的MAC地址(例如HiPER網關地址192.168.16.254的MAC地址為0022aa0022aa)。 2)編寫一個批處理文件rarp.bat內容如下:@echo offarp -darp -s 192.168.16.254 00-22-aa-00-22-aa 將文件中的網關IP地址和MAC地址更改為您自己的網關IP地址和MAC地址即可。 將這個批處理軟體拖到「windows--開始--程序--啟動」中。 3)如果是網吧,可以利用收費軟體服務端程序(pubwin或者萬象都可以)發送批處理文件rarp.bat到所有客戶機的啟動目錄。Windows2000的默認啟動目錄為「C:\Documents and SettingsAll Users「開始」菜單程序啟動」。 2、在路由器上綁定用戶主機的IP和MAC地址(440以後的路由器軟體版本支持):
⑹ 如何防止ARP斷網攻擊
應該是伺服器固定攻擊了
首先通知網管對全網進行病毒掃描
然後自己登入伺服器
安裝冰盾殺毒軟體,從設置中搶斷135、136、4088、80、6625埠(有兩個按鈕、點高級;有埠設定,從中點阻止埠,並設置為高級別防禦)
對於這種人,再度發動攻擊就記錄下它攻擊IP,使用DOS反擊;
他發動攻擊肯定要通過或者繞過路由伺服器的防火牆,通知網管卡斷它,如果它還這樣,上網下載帶有惡意代碼的數據包,用CMD不斷發送數據包搶斷卡爆它的埠;
以上為個人憤怒所為,勿學...
防禦很簡單,打開window系統牆,在遠程設定上面取消可以遠程協助、關閉來賓用戶(避免限權提升)有瑞星防火牆的話,把攻擊偵測調到最高,並且根據他的攻擊規律設定防禦方案。上服務端,把廣播關掉,埠隱藏,反擊什麼的就免了,根據瑞星檢測到的IP記錄結果,通知網管,給他殺毒!
要不就直接下載卡巴斯基PUEN,監控埠,裡面設定反擊,把防禦限權提高,然後就吃飯等他攻擊吧~
⑺ 怎麼才能預防ARP攻擊什麼防火牆最好
ARP欺騙木馬的中毒現象表現為:使用區域網時會突然掉線,過一段時間後又會恢復正常。比如客戶端狀態頻頻變紅,用戶頻繁斷網,IE瀏覽器頻繁出錯,以及一些常用軟體出現故障等。如果區域網中是通過身份認證上網的,會突然出現可認證,但不能上網的現象(無法ping通網關),重啟機器或在MS-DOS窗口下運行命令arp -d後,又可恢復上網。
ARP欺騙木馬只需成功感染一台電腦,就可能導致整個區域網都無法上網,嚴重的甚至可能帶來整個網路的癱瘓。該木馬發作時除了會導致同一區域網內的其他用戶上網出現時斷時續的現象外,還會竊取用戶密碼。如盜取QQ密碼、盜取各種網路游戲密碼和賬號去做金錢交易,盜竊網上銀行賬號來做非法交易活動等,這是木馬的慣用伎倆,給用戶造成了很大的不便和巨大的經濟損失。
常用的維護方法
搜索網上,目前對於ARP攻擊防護問題出現最多是綁定IP和MAC和使用ARP防護軟體,也出現了具有ARP防護功能的路由器。呵呵,我們來了解下這三種方法。
3.1 靜態綁定
最常用的方法就是做IP和MAC靜態綁定,在網內把主機和網關都做IP和MAC綁定。
欺騙是通過ARP的動態實時的規則欺騙內網機器,所以我們把ARP全部設置為靜態可以解決對內網PC的欺騙,同時在網關也要進行IP和MAC的靜態綁定,這樣雙向綁定才比較保險。
方法:
對每台主機進行IP和MAC地址靜態綁定。
通過命令,arp -s可以實現 「arp –s IP MAC地址 」。
例如:「arp –s 192.168.10.1 AA-AA-AA-AA-AA-AA」。
如果設置成功會在PC上面通過執行 arp -a 可以看到相關的提示:
Internet Address Physical Address Type
192.168.10.1 AA-AA-AA-AA-AA-AA static(靜態)
一般不綁定,在動態的情況下:
Internet Address Physical Address Type
192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(動態)
說明:對於網路中有很多主機,500台,1000台...,如果我們這樣每一台都去做靜態綁定,工作量是非常大的。。。。,這種靜態綁定,在電腦每次重起後,都必須重新在綁定,雖然也可以做一個批處理文件,但是還是比較麻煩的!
3.2 使用ARP防護軟體
目前關於ARP類的防護軟體出的比較多了,大家使用比較常用的ARP工具主要是欣向ARP工具,Antiarp等。它們除了本身來檢測出ARP攻擊外,防護的工作原理是一定頻率向網路廣播正確的ARP信息。我們還是來簡單說下這兩個小工具。
3.2.1 欣向ARP工具
它有5個功能:
?
A. IP/MAC清單
選擇網卡。如果是單網卡不需要設置。如果是多網卡需要設置連接內網的那塊網卡。
IP/MAC掃描。這里會掃描目前網路中所有的機器的IP與MAC地址。請在內網運行正常時掃描,因為這個表格將作為對之後ARP的參照。
之後的功能都需要這個表格的支持,如果出現提示無法獲取IP或MAC時,就說明這里的表格裡面沒有相應的數據。
?
B. ARP欺騙檢測
這個功能會一直檢測內網是否有PC冒充表格內的IP。你可以把主要的IP設到檢測表格裡面,例如,路由器,電影伺服器,等需要內網機器訪問的機器IP。
(補充)「ARP欺騙記錄」表如何理解:
「Time」:發現問題時的時間;
「sender」:發送欺騙信息的IP或MAC;
「Repeat」:欺詐信息發送的次數;
「ARP info」:是指發送欺騙信息的具體內容.如下面例子:
time sender Repeat ARP info 22:22:22 192.168.1.22 1433 192.168.1.1 is at 00:0e:03:22:02:e8
這條信息的意思是:在22:22:22的時間,檢測到由192.168.1.22發出的欺騙信息,已經發送了1433次,他發送的欺騙信息的內容是:192.168.1.1的MAC地址是00:0e:03:22:02:e8。
打開檢測功能,如果出現針對表內IP的欺騙,會出現提示。可以按照提示查到內網的ARP欺騙的根源。提示一句,任何機器都可以冒充其他機器發送IP與MAC,所以即使提示出某個IP或MAC在發送欺騙信息,也未必是100%的准確。所有請不要以暴力解決某些問題。
?
C. 主動維護
這個功能可以直接解決ARP欺騙的掉線問題,但是並不是理想方法。他的原理就在網路內不停的廣播制定的IP的正確的MAC地址。
「制定維護對象」的表格裡面就是設置需要保護的IP。發包頻率就是每秒發送多少個正確的包給網路內所有機器。強烈建議盡量少的廣播IP,盡量少的廣播頻率。一般設置1次就可以,如果沒有綁定IP的情況下,出現ARP欺騙,可以設置到50-100次,如果還有掉線可以設置更高,即可以實現快速解決ARP欺騙的問題。但是想真正解決ARP問題,還是請參照上面綁定方法。
?
D. 欣向路由器日誌
收集欣向路由器的系統日誌,等功能。
?
E. 抓包
類似於網路分析軟體的抓包,保存格式是.cap。
3.2.1 Antiarp
這個軟體界面比較簡單,以下為我收集該軟體的使用方法。
A. 填入網關IP地址,點擊[獲取網關地址]將會顯示出網關的MAC地址。點擊[自動防護]即可保護當前網卡與該網關的通信不會被第三方監聽。注意:如出現ARP欺騙提示,這說明攻擊者發送了ARP欺騙數據包來獲取網卡的數據包,如果您想追蹤攻擊來源請記住攻擊者的MAC地址,利用MAC地址掃描器可以找出IP 對應的MAC地址。
B. IP地址沖突
如頻繁的出現IP地址沖突,這說明攻擊者頻繁發送ARP欺騙數據包,才會出現IP沖突的警告,利用Anti ARP Sniffer可以防止此類攻擊。
C. 您需要知道沖突的MAC地址,Windows會記錄這些錯誤。查看具體方法如下:
右擊[我的電腦]--[管理]--點擊[事件查看器]--點擊[系統]--查看來源為[TcpIP]---雙擊事件可以看到顯示地址發生沖突,並記錄了該MAC地址,請復制該MAC地址並填入Anti ARP Sniffer的本地MAC地址輸入框中(請注意將:轉換為-),輸入完成之後點擊[防護地址沖突],為了使MAC地址生效請禁用本地網卡然後再啟用網卡,在CMD命令行中輸入Ipconfig /all,查看當前MAC地址是否與本地MAC地址輸入框中的MAC地址相符,如果更改失敗請與我聯系。如果成功將不再會顯示地址沖突。
注意:如果您想恢復默認MAC地址,請點擊[恢復默認],為了使MAC地址生效請禁用本地網卡然後再啟用網卡。
3.3 具有ARP防護功能的路由器
這類路由器以前聽說的很少,對於這類路由器中提到的ARP防護功能,其實它的原理就是定期的發送自己正確的ARP信息。但是路由器的這種功能對於真正意義上的攻擊,是不能解決的。
遭受ARP攻擊的最常見的特徵就是掉線,一般情況下不需要處理一定時間內可以回復正常上網,因為ARP欺騙是有老化時間的,過了老化時間就會自動的回復正常。現在大多數路由器都會在很短時間內不停廣播自己的正確ARP信息,使受騙的主機回復正常。但是如果出現攻擊性ARP欺騙(其實就是時間很短的量很大的欺騙ARP,1秒有個幾百上千的),它是不斷的發起ARP欺騙包來阻止內網機器上網,即使路由器不斷廣播正確的包也會被他大量的錯誤信息給淹沒。
可能你會有疑問:我們也可以發送比欺騙者更多更快正確的ARP信息啊?如果攻擊者每秒發送1000個ARP欺騙包,那我們就每秒發送1500個正確的ARP信息!
面對上面的疑問,我們仔細想想,如果網路拓撲很大,網路中接了很多網路設備和主機,大量的設備都去處理這些廣播信息,那網路使用起來好不爽,再說了會影響到我們工作和學習。ARP廣播會造成網路資源的浪費和佔用。如果該網路出了問題,我們抓包分析,數據包中也會出現很多這類ARP廣播包,對分析也會造成一定的影響。
⑻ 怎麼有效攔截ARP攻擊求解答
杜絕IP 地址盜用現象。如果是通過代理伺服器上網:到代理伺服器端讓網路管理員把上網的靜態IP 地址與所記錄計算機的網卡地址進行*。如: ARP-s 192.16.10.400-EO-4C-6C-08-75。這樣,就將上網的靜態IP 地址192.16.10.4 與網卡地址為00-EO-4C-6C-08-75 的計算機綁定在一起了,即使別人盜用您的IP 地址,也無法通過代理伺服器上網。如果是通過交換機連接,可以將計算機的IP地址、網卡的MAC 地址以及交換機埠綁定。
2、修改MAC地址,欺騙ARP欺騙技術
就是假冒MAC 地址,所以最穩妥的一個辦法就是修改機器的MAC 地址,只要把MAC 地址改為別的,就可以欺騙過ARP 欺騙,從而達到突破封鎖的目的。
3、使用ARP伺服器
使用ARP 伺服器。通過該伺服器查找自己的ARP 轉換表來響應其他機器的ARP 廣播。確保這台ARP 伺服器不被攻擊。
4、交換機埠設置
(1)埠保護(類似於埠隔離):ARP 欺騙技術需要交換機的兩個埠直接通訊,埠設為保護埠即可簡單方便地隔離用戶之間信息互通,不必佔用VLAN 資源。同一個交換機的兩個埠之間不能進行直接通訊,需要通過轉發才能相互通訊。
(2)數據過濾:如果需要對報文做更進一步的控制用戶可以採用ACL(訪問控制列表)。ACL 利用IP 地址、TCP/UDP 埠等對進出交換機的報文進行過濾,根據預設條件,對報文做出允許轉發或阻塞的決定。華為和Cisco 的交換機均支持IP ACL 和MAC ACL,每種ACL 分別支持標准格式和擴展格式。標准格式的ACL 根據源地址和上層協議類型進行過濾,擴展格式的ACL 根據源地址、目的地址以及上層協議類型進行過濾,異詞檢查偽裝MAC 地址的幀。
5、禁止網路介面做ARP 解析
在相對系統中禁止某個網路介面做ARP 解析(對抗ARP欺騙攻擊),可以做靜態ARP 協議設置(因為對方不會響應ARP 請求報義)如: ARP –s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系統中如:Unix , NT 等,都可以結合「禁止相應網路介面做ARP 解析」和「使用靜態ARP 表」的設置來對抗ARP 欺騙攻擊。而Linux 系統,其靜態ARP 表項不會被動態刷新,所以不需要「禁止相應網路介面做ARP 解析」,即可對抗ARP 欺騙攻擊。
6、使用硬體屏蔽主機
設置好你的路由,確保IP 地址能到達合法的路徑。( 靜態配置路由ARP 條目),注意,使用交換集線器和網橋無法阻止ARP 欺騙。
7、定期檢查ARP緩存
管理員定期用響應的IP 包中獲得一個rarp 請求, 然後檢查ARP 響應的真實性。定期輪詢, 檢查主機上的ARP 緩存。使用防火牆連續監控網路。注意有使用SNMP 的情況下,ARP 的欺騙有可能導致陷阱包丟失。
技巧一則址的方法個人認為是不實用的,首先, 這樣做會加大網路管理員的工作量,試想,如果校園網內有3000個用戶,網路管理員就必須做3000 次埠綁定MAC 地址的操作,甚至更多。其次, 網路管理員應該比較清楚的是, 由於網路構建成本的原因,接入層交換機的性能是相對較弱的, 功能也相對單一一些, 對於讓接入層交換機做地址綁定的工作,對於交換機性能的影響相當大, 從而影響網路數據的傳輸。
建議用戶採用綁定網關地址的方法解決並且防止ARP 欺騙。
1) 首先, 獲得安全網關的內網的MAC 地址。( 以windowsXP 為例)點擊"開始"→"運行", 在打開中輸入cmd。點擊確定後將出現相關網路狀態及連接信息, 然後在其中輸入ipconfig/all,然後繼續輸入arp - a 可以查看網關的MAC 地址。
2) 編寫一個批處理文件rarp.bat( 文件名可以任意) 內容如下:@echo offarp - darp - s 192.168.200.1 00- aa- 00- 62- c6- 09
將文件中的網關IP 地址和MAC 地址更改為實際使用的網關IP 地址和MAC 地址即可。
3) 編寫完以後, 點擊"文件" →"另存為"。注意文件名一定要是*.bat 如arp.bat 保存類型注意要選擇所有類型。點擊保存就可以了。最後刪除之前創建的"新建文本文檔"就可以。
4) 將這個批處理軟體拖到"windows- - 開始- - 程序- - 啟動"中, ( 一般在系統中的文件夾路徑為C:\Documents and Settings\All Users\「開始」菜單\ 程序\ 啟動) 。
5) 最後重新啟動一下電腦就可以。
靜態ARP 表能忽略執行欺騙行為的ARP 應答, 我們採用這樣的方式可以杜絕本機受到ARP 欺騙包的影響。對於解決ARP 欺騙的問題還有多種方法: 比如通過專門的防ARP 的軟體, 或是通過交換機做用戶的入侵檢測。前者也是個針對ARP欺騙的不錯的解決方案, 但是軟體的設置過程並不比設置靜態ARP 表簡單。後者對接入層交換機要求太高, 如果交換機的性能指標不是太高, 會造成比較嚴重的網路延遲, 接入層交換機的性能達到了要求, 又會使網路安裝的成本提高。
⑼ 怎麼有效攔截ARP攻擊
1、*MAC和IP地址
杜絕IP 地址盜用現象。如果是通過代理伺服器上網:到代理伺服器端讓網路管理員把上網的靜態IP 地址與所記錄計算機的網卡地址進行*。如: ARP-s 192.16.10.400-EO-4C-6C-08-75。這樣,就將上網的靜態IP 地址192.16.10.4 與網卡地址為00-EO-4C-6C-08-75 的計算機綁定在一起了,即使別人盜用您的IP 地址,也無法通過代理伺服器上網。如果是通過交換機連接,可以將計算機的IP地址、網卡的MAC 地址以及交換機埠綁定。
2、修改MAC地址,欺騙ARP欺騙技術
就是假冒MAC 地址,所以最穩妥的一個辦法就是修改機器的MAC 地址,只要把MAC 地址改為別的,就可以欺騙過ARP 欺騙,從而達到突破封鎖的目的。
3、使用ARP伺服器
使用ARP 伺服器。通過該伺服器查找自己的ARP 轉換表來響應其他機器的ARP 廣播。確保這台ARP 伺服器不被攻擊。
4、交換機埠設置
(1)埠保護(類似於埠隔離):ARP 欺騙技術需要交換機的兩個埠直接通訊,埠設為保護埠即可簡單方便地隔離用戶之間信息互通,不必佔用VLAN 資源。同一個交換機的兩個埠之間不能進行直接通訊,需要通過轉發才能相互通訊。
(2)數據過濾:如果需要對報文做更進一步的控制用戶可以採用ACL(訪問控制列表)。ACL 利用IP 地址、TCP/UDP 埠等對進出交換機的報文進行過濾,根據預設條件,對報文做出允許轉發或阻塞的決定。華為和Cisco 的交換機均支持IP ACL 和MAC ACL,每種ACL 分別支持標准格式和擴展格式。標准格式的ACL 根據源地址和上層協議類型進行過濾,擴展格式的ACL 根據源地址、目的地址以及上層協議類型進行過濾,異詞檢查偽裝MAC 地址的幀。
5、禁止網路介面做ARP 解析
在相對系統中禁止某個網路介面做ARP 解析(對抗ARP欺騙攻擊),可以做靜態ARP 協議設置(因為對方不會響應ARP 請求報義)如: ARP –s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系統中如:Unix , NT 等,都可以結合「禁止相應網路介面做ARP 解析」和「使用靜態ARP 表」的設置來對抗ARP 欺騙攻擊。而Linux 系統,其靜態ARP 表項不會被動態刷新,所以不需要「禁止相應網路介面做ARP 解析」,即可對抗ARP 欺騙攻擊。
6、使用硬體屏蔽主機
設置好你的路由,確保IP 地址能到達合法的路徑。( 靜態配置路由ARP 條目),注意,使用交換集線器和網橋無法阻止ARP 欺騙。
7、定期檢查ARP緩存
管理員定期用響應的IP 包中獲得一個rarp 請求, 然後檢查ARP 響應的真實性。定期輪詢, 檢查主機上的ARP 緩存。使用防火牆連續監控網路。注意有使用SNMP 的情況下,ARP 的欺騙有可能導致陷阱包丟失。
技巧一則
址的方法個人認為是不實用的,首先, 這樣做會加大網路管理員的工作量,試想,如果校園網內有3000個用戶,網路管理員就必須做3000 次埠綁定MAC 地址的操作,甚至更多。其次, 網路管理員應該比較清楚的是, 由於網路構建成本的原因,接入層交換機的性能是相對較弱的, 功能也相對單一一些, 對於讓接入層交換機做地址綁定的工作,對於交換機性能的影響相當大, 從而影響網路數據的傳輸。
建議用戶採用綁定網關地址的方法解決並且防止ARP 欺騙。
1) 首先, 獲得安全網關的內網的MAC 地址。( 以windowsXP 為例)點擊"開始"→"運行", 在打開中輸入cmd。點擊確定後將出現相關網路狀態及連接信息, 然後在其中輸入ipconfig/all,然後繼續輸入arp - a 可以查看網關的MAC 地址。
2) 編寫一個批處理文件rarp.bat( 文件名可以任意) 內容如下:
@echo off
arp - d
arp - s 192.168.200.1 00- aa- 00- 62- c6- 09
將文件中的網關IP 地址和MAC 地址更改為實際使用的網關IP 地址和MAC 地址即可。
3) 編寫完以後, 點擊"文件" →"另存為"。注意文件名一定要是*.bat 如arp.bat 保存類型注意要選擇所有類型。點擊保存就可以了。最後刪除之前創建的"新建文本文檔"就可以。
4) 將這個批處理軟體拖到"windows- - 開始- - 程序- - 啟動"中, ( 一般在系統中的文件夾路徑為C:\Documents and Settings\All Users\「開始」菜單\ 程序\ 啟動) 。
5) 最後重新啟動一下電腦就可以。
靜態ARP 表能忽略執行欺騙行為的ARP 應答, 我們採用這樣的方式可以杜絕本機受到ARP 欺騙包的影響。對於解決ARP 欺騙的問題還有多種方法: 比如通過專門的防ARP 的軟體, 或是通過交換機做用戶的入侵檢測。前者也是個針對ARP欺騙的不錯的解決方案, 但是軟體的設置過程並不比設置靜態ARP 表簡單。後者對接入層交換機要求太高, 如果交換機的性能指標不是太高, 會造成比較嚴重的網路延遲, 接入層交換機的性能達到了要求, 又會使網路安裝的成本提高。
在應對ARP 攻擊的時候,除了利用上述的各種技術手段,還應該注意不要把網路安全信任關系建立在IP 基礎上或MAC 基礎上,最好設置靜態的MAC->IP 對應表,不要讓主機刷新你設定好的轉換表,除非很有必要,否則停止使用ARP,將ARP 做為永久條目保存在對應表中。