局域網(wǎng)內(nèi)出現(xiàn)ARP攻擊,用戶鬧翻天,網(wǎng)管疲于奔命的事,可能很多人了都遇見過。下面我就提供給大家一個(gè)完整的解決方案,從此遠(yuǎn)離ARP攻擊。
ARP攻擊遠(yuǎn)離拓?fù)?/p>
一、先介紹下ARP攻擊的幾種模式,我們才能有的放矢。
第一種 仿冒網(wǎng)關(guān)攻擊
破壞主機(jī)假冒網(wǎng)關(guān),很多局域網(wǎng)網(wǎng)關(guān)軟件也是采用這種方式。
第二種 欺騙網(wǎng)關(guān)攻擊
破壞主機(jī)發(fā)送假冒真實(shí)主機(jī)信息,使真實(shí)主機(jī)接收不到回包。
第三種 欺騙終端用戶
第四種 mac洪泛攻擊
在典型的MAC flooding中,攻擊者能讓目標(biāo)網(wǎng)絡(luò)中的交換機(jī)不斷泛洪大量不同源MAC地址的數(shù)據(jù)包,導(dǎo)致交換機(jī)內(nèi)存不足以存放正確的MAC地址和物理端口號(hào)相對(duì)應(yīng)的關(guān)系表。如果攻擊成功,交換機(jī)會(huì)進(jìn)入failopen模式,所有新進(jìn)入交換機(jī)的數(shù)據(jù)包會(huì)不經(jīng)過交換機(jī)處理直接廣播到所有的端口(類似HUB集線器的功能)。攻擊者能進(jìn)一步利用嗅探工具對(duì)網(wǎng)絡(luò)內(nèi)所有用戶的信息進(jìn)行捕獲,從而能得到機(jī)密信息或者各種業(yè)務(wù)敏感信息。
根據(jù)上面的分析,大家可以看出所有攻擊都涉及到二層MAC地址和三層的IP地址,因此檢測和防護(hù)的依據(jù)都要從這些方面入手。
先說下檢測的常見方法:
二、當(dāng)局域網(wǎng)內(nèi)出現(xiàn)ARP攻擊了,基本4要素:
(一)所有客戶機(jī)做IP與MAC地址靜態(tài)綁定操作
不過這個(gè)操作只要電腦重啟或者TCP/IP協(xié)議停用后就被刪除。
解決重啟后被刪除辦法可以寫個(gè)bat腳本隨機(jī)啟動(dòng):
1、Win鍵+R,輸入notepad回車,復(fù)制粘貼以下內(nèi)容
windows XP系統(tǒng)方案:
arp -d
arp -s 192.168.2.1 2c-b2-1a-5f-87-2d :靜態(tài)綁定網(wǎng)關(guān)的IP與MAC的對(duì)應(yīng)關(guān)系
arp -s 192.168.2.100 d8-96-95-4e-ca-a5 :靜態(tài)綁定本機(jī)IP與MAC的對(duì)應(yīng)關(guān)系
Windows 7/ Windows 10系統(tǒng)方案:
netsh interface ipv4 delete neighbors 11 :此處11以netsh interface ipv4 show interface命令查詢所在網(wǎng)卡的IDX值,一般為11
2、另存為ARP.bat文件放入系統(tǒng)啟動(dòng)目錄"C:Documents and SettingsAdministrator「開始」菜單程序啟動(dòng)",保存時(shí)注意文本格式如圖
(二)防火墻要開啟ARP防護(hù),如圖
(三)如不是特別要求,建議按部門劃分VLAN,減少廣播風(fēng)暴降低ARP攻擊范圍
(四)做端口鏡像,用第三方軟件(比如Wireshark)分析很快找出問題機(jī)
ARP主要用于網(wǎng)絡(luò)診斷與配置,下圖為ARP命令使用詳解
