WEB开发网
开发学院网络安全安全技术 防范ARP攻击策略面面观及技巧一则 阅读

防范ARP攻击策略面面观及技巧一则

 2008-09-05 13:21:37 来源:WEB开发网   
核心提示: 在相对系统中禁止某个网络接口做ARP 解析(对抗ARP欺骗攻击),可以做静态ARP 协议设置(因为对方不会响应ARP 请求报义)如: ARP –s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系统中如:Unix ,防范ARP攻击策略面面观及技巧一则(2

在相对系统中禁止某个网络接口做ARP 解析(对抗ARP欺骗攻击),可以做静态ARP 协议设置(因为对方不会响应ARP 请求报义)如: ARP –s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系统中如:Unix , NT 等,都可以结合“禁止相应网络接口做ARP 解析”和“使用静态ARP 表”的设置来对抗ARP 欺骗攻击。而Linux 系统,其静态ARP 表项不会被动态刷新,所以不需要“禁止相应网络接口做ARP 解析”,即可对抗ARP 欺骗攻击。

6、使用硬件屏蔽主机

设置好你的路由,确保IP 地址能到达合法的路径。( 静态配置路由ARP 条目),注意,使用交换集线器和网桥无法阻止ARP 欺骗。

7、定期检查ARP缓存

管理员定期用响应的IP 包中获得一个rarp 请求, 然后检查ARP 响应的真实性。定期轮询, 检查主机上的ARP 缓存。使用防火墙连续监控网络。注意有使用SNMP 的情况下,ARP 的欺骗有可能导致陷阱包丢失。

技巧一则

这个方法个人认为是不实用的,首先, 这样做会加大网络管理员的工作量,试想,如果校园网内有3000个用户,网络管理员就必须做3000 次端口绑定MAC 地址的操作,甚至更多。其次, 网络管理员应该比较清楚的是, 由于网络构建成本的原因,接入层交换机的性能是相对较弱的, 功能也相对单一一些, 对于让接入层交换机做地址绑定的工作,对于交换机性能的影响相当大, 从而影响网络数据的传输。

建议用户采用绑定网关地址的方法解决并且防止ARP 欺骗。

1) 首先, 获得安全网关的内网的MAC 地址。( 以windowsXP 为例)点击"开始"→"运行", 在打开中输入cmd。点击确定后将出现相关网络状态及连接信息, 然后在其中输入ipconfig/all,然后继续输入arp - a 可以查看网关的MAC 地址。

2) 编写一个批处理文件rarp.bat( 文件名可以任意) 内容如下:

@echo off

arp - d

arp - s 192.168.200.1 00- aa- 00- 62- c6- 09

将文件中的网关IP 地址和MAC 地址更改为实际使用的网关IP 地址和MAC 地址即可。

3) 编写完以后, 点击"文件" →"另存为"。注意文件名一定要是*.bat 如arp.bat 保存类型注意要选择所有类型。点击保存就可以了。最后删除之前创建的"新建文本文档"就可以。

4) 将这个批处理软件拖到"windows- - 开始- - 程序- - 启动"中, ( 一般在系统中的文件夹路径为C:Documents and SettingsAll Users「开始」菜单 程序 启动) 。

5) 最后重新启动一下电脑就可以。

静态ARP 表能忽略执行欺骗行为的ARP 应答, 我们采用这样的方式可以杜绝本机受到ARP 欺骗包的影响。对于解决ARP 欺骗的问题还有多种方法: 比如通过专门的防ARP 的软件, 或是通过交换机做用户的入侵检测。前者也是个针对ARP欺骗的不错的解决方案, 但是软件的设置过程并不比设置静态ARP 表简单。后者对接入层交换机要求太高, 如果交换机的性能指标不是太高, 会造成比较严重的网络延迟, 接入层交换机的性能达到了要求, 又会使网络安装的成本提高。

在应对ARP 攻击的时候,除了利用上述的各种技术手段,还应该注意不要把网络安全信任关系建立在IP 基础上或MAC 基础上,最好设置静态的MAC->IP 对应表,不要让主机刷新你设定好的转换表,除非很有必要,否则停止使用ARP,将ARP 做为永久条目保存在对应表中。

上一页  1 2 

Tags:防范 ARP 攻击

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接