arp攻击与防护措施及解决方案

arp攻击与防护措施及解决方案内容摘要：

每台 PC 做IP MAC 绑定吧，这样可以彻底根除 ARP 欺骗带来的烦恼。 况且，路由只需要单向绑定，已经为您省去了另一半更繁琐的工作，并且设置时不需要重启路由器断网。 路由器本身不怕 ARP，您再做好 PC 上的绑定，让 PC 也不怕 ARP，双管齐下，您的网吧就可以高枕无忧了。 网络安全中的 ARP 协议和欺骗技术及其对策 ARP 协议的概念和工作原理对 学习网络安全知识的初学者来说是首先遇到的几个重要的知识点之一，其中 ARP 欺骗技术和及其对策更是学习网络安全中的重点与难点， 16 往往难以一下子掌握这些 抽象复杂的机理。 因此很有必要用详细介始一下网络安全中的 ARP 协议和欺骗技术相应的对策。 一， TCP/IP 协议之 ARP 协议的定义 ARP 协议即地址解析协议 Address Resolution Protocol， ARP 协议是将 IP 地址与网络物理地址一一对应的协议。 负责 IP 地址和网 卡实体地址 (MAC)之间的转换。 也就是将网络层（ IP 层，也 就是相当于 ISO OSI 的第三层）地址解析为数据连接层（ MAC 层，也就是相当于 ISO OSI 的第二层）的 MAC 地址。 如果您对网路七层协定有比较清晰的理解的话应该知道各个层级之间都使用其各自的协定。 一张 ARP 的表，用来支持在 MAC 地 址和 IP 地址之间的一一对应关系。 它提供两者的相互转换。 二， ARP 协议的工作原理 在以太网（ Ether）中，一个网络设备要和另一个网络设备进行直接通信，除了知道目标设备的网络层逻辑地址（如 IP 地址）外，还要知 道目标设备的第二层物理地址（ MAC 地址）。 ARP 协议的基本功能就是通过目标设备的 IP 地址， 查询目标设备的MAC 地址，以保证通信的顺利进行。 当一个网络设备需要和另一个网络设备通信时，它首先把目标设备的 IP 地址与自己的子 网掩码进行 与 操作，以判断目标设备与自己是否位于同一网段内。 如果目标设备在同一网段内，并且源设备没有获得与目标 IP 地址相对应的 MAC 地址信息， 则源设备以第二层广播的形式（目标 MAC 地址为全 1）发送 ARP 请求报文，在 ARP 请求报文中包含了源设备与目标设备的 IP 地址。 同一网段中的所有其他 设 备都可以收到并分析这个 ARP 请求报文，如果某设备发现报文中的目标 IP 地址与自己的 IP 地址相同，则它向源设备发回 ARP 响应报文，通过该报文使源设备 获得目标设备的 MAC 地址信息。 如果目标设备与源设备不在同一网段，则源设备首先把 IP 分组发向自己的缺省网关 （ Default Gateway），由缺省网关对该分组进行转发。 如果源设备没有关于缺省网关的 MAC 信息，则它同样通过 ARP 协议获取缺省网关的 MAC 地址信息。 为了减 少广播量，网络设备通过 ARP 表在缓存中保存 IP 与 MAC 地址的映射信息。 在一次 ARP 的请求与响应过程中，通信双方都把对方的 MAC 地址与 IP 地址的对 应关系保存在各自的 ARP表中，以在后续的通信中使用。 ARP 表使用老化机制，删除在一段时间内没有使用过的IP 与 MAC 地址的映射关系。 17 还有当传送过来的包要传向一个 LAN 的主机时，当它到达网关时，网关要求 ARP 程序 找到物理主机或与 IP 地址相对应的 MAC 地址。 ARP 程序在缓存中寻找，如果找到地址，就提供此地址，以便让此包转换成相应的长度和格式，以传送到此主 机。 如果未找到， ARP 程序就在网上广播一个特殊格式的消息，看哪个机器知道与这个 IP 地址相关的 MAC 地址。 如果一台机器发现那是自己的 IP 地址，它就 发送回应，这样就指出了相应的地址。 ARP 程序就更新自己的缓存然后发送此包到回应的 MAC 地址。 因为不同协议的相应处理方法不同，所以有不同网络的地址 解析请求。 也有反向地址解析协议（ RARP）供不知道 IP 地址的主机从 ARP 缓存中获得 IP 地址。 我们还是来通过实验更加深入直观地了解 ARP 协议的工作原理吧。 我们假设有两台主机： A 机的 IP 地址是 ， MAC 地址是 5254ab278283。 B 机的 IP 地址是 ， MAC 地址是 5254ab278284。 当主机 A 想与主机 B 进行通讯时， A 机只知道 B 机的 IP 地址是 ,当数据包封装到 MAC 层时他如何知道 B 的 MAC 地址呢，一般的 OS 中是这样做的，在 OS 的内核中保存一分 MAC 地址表，就是我们一中介始到的。 用 arp a 就可以看见这个表的内容了，例如： C:/arp a Interface: on Interface 0x1000002 Inter Address Physical Address Type 5254ab278283 dynamic 其中表内有 IP 和 MAC 地址的对应关系，当要过进行通讯时，系统先查看这个表中是否 有相关的表项，如果有就直接使用，如果没有系统就会发出一个 ARP 请求包 ,这个包的目的地址为 ffffffffffff 的广播地址，他的作用就是询问局域 网内 IP 地址为 的主机的 MAC 地址，就像是 A 在局域网中发信息找一个 IP 地址为 . MAC地址，同样 A机把自已的 MAC地址告诉出去是 5254ab 278283 ，随后所有主机都会接收到这个包，但只有 IP 为 的 B 才会响应一个 ARP 应答包给主机 A,B 机会回信息给 A 机说他的 MAC 地址是 52 54ab278284 18 ,好这下主机 A 就知道 B 的 MAC 地址了，于时他就可以封包发送了，同时主机 A 将 B的 MAC 地址放入 ARP 缓冲中，隔一定时间就将其删除，确保不断更新。 注意，在这个过程中，如果主机 A 在发送 ARP 请求时，假如该局域网内有一台主机C 的 IP 和 A 相同， C 就会得知有一台主机的 IP 地址同自已的 IP 地址相同，于时就蹦出一个 IP 冲突的对话筐。 与 ARP 相对应的还有一个协议 RARP:Reverse Address Resolution Protocol， 反向地址解析协议，该协议主要用于工作站模型动态获取 IP 的过程中，作用是由MAC 地址向服务器取回 IP 地址。 三，如何实现 ARP 协议的欺骗技术和相应的对策 1， ARP 协议欺骗技术 当我们设定一个目标进行 ARP 欺骗时，也就是把 MAC 地址通过一主机 A 发送到主机B 上的数据包都变成发送给主机 C 的了，如果 C 能够接收到 A 发送的数据包后，第一步属于嗅探成功了，而对于主机 A 来目前是不可能意识到这一点，主机 C 接收到主 机 A发送给主机 B 的数据包可没有转交给 B。 当进行 ARP 重定向。 打开主机 C 的 IP 转发功能，A 发送过来的数据包，转发给 C，好比一个路由器一样。 但是这就 是 ARP 协议欺骗真正的一步，假如主机 C 进行发送 ICMP 重定向的话就麻烦了，因为他可以直接进行整个包的修改转发，捕获到主机 A 发送给的数据包，全部进 行修改后再转发给主机 B，而主机B 接收到的数据包完全认为是从主机 A 发送来的。 这样就是主机 C 进行 ARP 协议欺骗技术，对于网络安全来是很重要的。 当然还 可以通过 MAC 地址进行欺骗的。 2， ARP 协议欺骗技术相应对策 各种网络安全的对策都是相对的，主要要看网管平时对网络安全的重视性了。 下面介始一些相应的对策： 1) 在系统中建立静态 ARP 表 ,建立后对本身自已系统影响不大的，对网络影响较大，破坏了动态 ARP 解析过程。 静态 ARP 协议表不会过期的，我们用 “arp d” 命令清除 ARP 表，即手动删除。 但是有的系统的静态 ARP 表项可以被动态刷新，如 Solaris 系统 ,那样的话依靠静态 ARP 表项并不能对抗 ARP 欺骗攻击，相反纵容了 ARP 欺骗攻击，因为虚假的静态 ARP 表项不会自动超时消失。 当然， 可以考虑利用 cron 机制补救 之。 19 (增加一个 crontab) 为了对抗 ARP 欺骗攻击，对于 Solaris 系统来说，应该结合 禁止相应网络接口做 ARP 解 析 和 使用静态 ARP 表 的设置 2)在相对系统中禁止某个网络接口做 ARP解析 (对抗 ARP欺骗攻击 )，可以做静态 ARP协议设置 (因为对方不会响应 ARP 请求报文 ) 如： arp s 080020a82eac 在绝大多数操作系统如： Unix， BSD， NT 等，都可以结合 禁止相应网络 接口做 ARP解析 和 使用静态 ARP 表 的设置来对抗 ARP 欺骗攻击。 而 Linux 系统，其静态 ARP 表项不会被动态刷新，所以不需要 禁止相应网络接 口做 ARP 解析 即可对抗 ARP 欺骗攻击。 三 ARP 防范软件 360 安全卫士新版发布增加 ARP 防火墙 ARP 攻击免疫功能 Vista Vista 下开启有 UAC 的实时保护 ,开启保护时给用户弹出提示 解决网络链接状态中的 UDP 端口号显示不正确的问题 20 bug Sniffer 什么是 Sniffer。 人们谈到黑客攻击 ,一般所指的都是以主动方式进行的 ,例如利用漏洞或者猜测系统密码的方式对系统进行攻击。 但是其实还有一类危害非常大的被动攻击方式往往为大家所忽视 ,那就是利用 Sniffer 进行嗅探攻击。 简绍 Sniffer 使用方法 一、捕获数据包前的准备工作在默认情况下， sniffer 将捕获其接入碰撞域中流经的所有数据包，但在某些场景下，有些数据包可能不是我们所需要的，为了快速定位网络问题所在，有必要对所要捕获的数据包作过滤。 Sniffer 提供了捕获数据包前的过滤规则的定义，过滤规则包括 3 层地址的定义和几百种协议的定义。 定义过滤规则的做法一般如下： 在主界面选择 capture224。 definefilter 选项。 definefilter224。 address，这是最常用的定义。 其中包括 MAC 地 址、 ip 地址和 ipx 地址的定义。 以定义 IP 地址过滤为例，见图 1。 21 图 1 比如， 现在要捕获地址为 的主机与其他主机通信的信息 ，在 Mode 选项卡中，选 Include(选 Exclude选项，是表示捕获除此地址外所有的数据包 )；在 station选项中，在任意一栏填上 ,另外一栏填上 any（ any 表示所有的 IP 地址）。 这样就完成了地址的定义。 注意到 ： 表示，捕获 station1 收发的数据包； 表示，捕获 station1 发送的数据包； 表示，捕获 station1 收到的数据包。 最后，选取 ，将定义的规则保存下来，供以后使用。 definefilter224。 advanced，定义希望捕获的相关协议的数据包。 如图 2。 22 如图 2 比如，想捕获 FTP、 NETBIOS、 DNS、 HTTP 的数据包，那么说首先打开 TCP 选项卡，再进一步选协议；还要明确 DNS、 NETBIOS 的数据包有些是属于 UDP 协议，故需在 UDP选项卡做类 似 TCP 选项卡的工作，否则捕获的数据包将不全。 如果不选任何协议，则捕获所有协议的数据包。 PacketSize选项中，可以定义捕获的包大小，图 3，是定义捕获包大小界于 64 至 128bytes的数据包。 图 3 23 definefilter224。 buffer,定义捕获数据包的缓冲区。 如图 4： 图 4 Buffersize 选项卡，将其设为最大 40M。 Capturebuffer 选项卡，将设置缓冲区文件存放的位置。 最后，需将定义的过滤规则应用于捕获中。 如图 5： 24 图 5 点选 SelectFilter224。 Capture 中选取定义的捕获规则。 二、捕获数据包时观察到的信息 Capture224。 Start,启动捕获引擎。 sniffer 可以实时监控主机、协议、应用程序、不同包类型等的分布情况。 如图 6： 25 图 6 Dashboard:。