局域网arp攻击的防范 最近听说一些学校的机房或校园网由于arp攻击不能上网,其实这个攻击很早我就看过,可能4、5年前吧。当时没有太在意因为感觉有人实现起来早呢,再说互联网又不是一个大vlan所以没有多想,直到我遇到了这个攻击之后才直到真这样的攻击真的非常有效。有人问我计算机没有病毒也是新装的但就是有时能上网有时就上不去,我说很有可能是arp攻击,问我有什么好办法 ,但我真的感觉没有一招就灵的方法。这个得需要综合的考虑。因为arp攻击很可能是其它攻击的开始,你往往解决arp攻击的机子但等会你就发现其它的机子也有了或者出现一些其它的莫名其妙的问题。下面我就我理解和实践来告诉你怎么样防范。 一、arp攻击的攻击的原理 ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,通过交换机等连接设备传输是“帧”,也就是链路层,链路层里面传输的实际是封装ip数据的帧,里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。 ARP攻击就是通过伪造IP-MAC对应关系实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成在链路层上数据不能传输从而引起网络中断。ARP攻击主要是存在于同一网段的局域网网络中也就是同一链路层里,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。 二、防范的方法 欺骗有双向也有单向的所以解决起来有时确实麻烦,先说说怎样预防,其实预防就是不要感染病毒、木马或恶意软件。通常你要先装上一款能升级的病毒库的杀毒软件哪怕能查毒也行。我推荐用瑞星不管是网络版还是个人版我感觉都非常好,而且2008瑞星即时升级功能的加入更是{sx}。再者就要安装一款能检测恶意程序、系统漏洞的安全软件。我推荐使用卡卡助手,我认为至少能用它检测一下系统有没有要安装的补丁。如果你能及时更新杀毒软件和检测漏洞了话基本上你能防止病毒的在你的机上泛滥。但我不能保证你能高枕无忧。 再说说如果你没有感染病毒也就是说你的计算机没有发送伪造arp响应包给别的计算机,但你也却上不了网,但能和同一网段里的其它电脑正常通信,这说明你被忽悠了,通常情况下你是不能ping通网关的ip地址,但能ping通一些同网段的活动的ip地址。这时你需要找一个软件也就是arp防火墙,我推荐使用瑞星2008防火墙,或者你选择其它的arp专用防火墙。如果你先安装费时你可以手工添加网关ip地址staitc arp 条目。具体操作: arp -a 显示arp 缓存 arp -d 先删除arp缓存 arp -s gateway_ip gateway_mac 这个命令增加了一条静态ip-mac映射 我做一个批处理只要修改里面的网关的mac和ip地址就行了,怎么样获得mac地址看后边: 到这里你也许能上网了但只能保证你到网关的链路方向是正确的,如果网关被忽悠了 也许回来的链路是通过别的计算机中转的,这时需要在网关上同样绑定你的机子正确的ip-mac,这时就能正常的通信了。 还有就是从计算机网络结构上优化 把arp攻击的影响范围缩小,缩小了查起来比较好查,现在学校都安装了以带有三层协议栈核心的交换机,所有可以支持vlan ,vlan不仅能带来方便同样对arp攻击的分割同样有效。因为arp协议处于链路层,配置好的三层交换机是不转发arp数据包,只转发ip层的数据 ,根据iso 网络七层协议栈,链路层属于第二层,ip层属于第三层,核心交换机为什么叫三层交换机,我想就是可以转发ip数据这个原因。但核心交换机转发三层数据和路由器路由三层数据虽然达到同一个目的,但实现方法是不一样的。所以就要根据各自学校的特点划分vlan 比如:机房应该在一个独立的vlan 如果有多个学生机房应该一个机房一个vlan 办公室、学校各班、服务器组都应该在各自独立的vlan 里。 这样做的好处就是学生机房里arp攻击不会影响其它地方正常的通信。还有交换机要是有anti-arp功能要是开启,在一定程度上能起到作用。 机房是一个arp最容易攻击的地方,也许有人说不是还原卡吗?应该不会有病毒的,因为每次一重启机子就恢复到起始了。但现在的病毒很厉害能突破还原卡常住硬盘。我看过这样编程代码区区几十行就行了,说到这你怕了。但这是一个事实学会接受它吧。不过你还可以通过还原卡网络复制来重新复制没有感染病毒的机子。通常这么做的是非常有效的。因为你不用费脑子。一个感染病毒的机子就是装上杀毒软件也未必能很好的工作。 三怎样找出arp攻击的机子 1.如果有的机子明明ip地址配置很正确,但说ip地址冲突,我想你{zh0}重新安装一下系统。 2.你可以登陆核心交换 输入 show arp 如果你可以看到好多ip地址却对应同一个mac地址,这时你只要找出mac地址所在的计算机就是感染病毒机子。mac 地址其实就是48位的网卡的地址。说到这还没说怎么查看机子的mac地址。很简单,就是在dos提示里 输入congfig/all 就可以 00-00-11-33-ee-99 看到这种形式的就是本子的mac地址。当然还有其它方法。 3、采用抓包工具来抓arp协议包。这个需要你有一定网络协议知识,要不你会看的头大。因为有可能在不到一分钟时间内可能抓到上百个包。 4、有的arp防火墙有这个功能告诉你到底那个机子正在伪造arp响应包,找到后重装或杀毒。 |