如何處理ARP的攻擊技巧

　　以下是OMG小編為大家收集整理的文章，希望對(duì)大家有所幫助。

　　從原理和應(yīng)用談解決ARP攻擊的方法：

　　很多網(wǎng)吧和企業(yè)網(wǎng)絡(luò)不穩(wěn)，無故掉線，經(jīng)濟(jì)蒙受了很大的損失。根據(jù)情況可以看出這是一種存在于網(wǎng)絡(luò)中的一種普遍問題。出現(xiàn)此類問題的主要原因就是遭受了ARP攻擊?，F(xiàn)在ARP不只是協(xié)議的簡(jiǎn)寫，還成了掉線的代名詞。由于其變種版本之多，傳播速度之快，很多技術(shù)人員和企業(yè)對(duì)其束手無策。下面就來給大家從原理到應(yīng)用談一談這方面的話題。希望能夠幫大家解決此類問題，凈化網(wǎng)絡(luò)環(huán)境。

　　在局域網(wǎng)中，通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址，實(shí)現(xiàn)局域網(wǎng)機(jī)器的通信。ARP協(xié)議對(duì)網(wǎng)絡(luò)安全具有重要的意義。這是建立在相互信任的基礎(chǔ)上。如果通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，將在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞、掉線、重定向、嗅探攻擊。

　　我們知道每個(gè)主機(jī)都用一個(gè)ARP高速緩存，存放最近IP地址到MAC硬件地址之間的映射記錄。windows高速緩存中的每一條記錄的生存時(shí)間一般為60秒，起始時(shí)間從被創(chuàng)建時(shí)開始算起。默認(rèn)情況下，ARP從緩存中讀取IP-MAC條目，緩存中的IP-MAC條目是根據(jù)ARP響應(yīng)包動(dòng)態(tài)變化的。因此，只要網(wǎng)絡(luò)上有ARP響應(yīng)包發(fā)送到本機(jī)，即會(huì)更新ARP高速緩存中的IP-MAC條目。如：X向Y發(fā)送一個(gè)自己偽造的ARP應(yīng)答，而這個(gè)應(yīng)答中的數(shù)據(jù)發(fā)送方IP地址是192.168.1.3(Z的IP地址)，MAC地址是DD-DD-DD-DD-DD-DD(Z的真實(shí)MAC地址卻是CC-CC-CC-CC-CC-CC，這里被偽造了)。當(dāng)Y接收到X偽造的ARP應(yīng)答，就會(huì)更新本地的ARP緩存(Y可不知道被偽造了)。那么如果偽造成網(wǎng)關(guān)呢?

　　Switch上同樣維護(hù)著一個(gè)動(dòng)態(tài)的MAC緩存，它一般是這樣，首先，交換機(jī)內(nèi)部有一個(gè)對(duì)應(yīng)的列表，交換機(jī)的端口對(duì)應(yīng)MAC地址表Port n <-> Mac記錄著每一個(gè)端口下面存在那些MAC地址，這個(gè)表開始是空的，交換機(jī)從來往數(shù)據(jù)幀中學(xué)習(xí)。因?yàn)镸AC-PORT緩存表是動(dòng)態(tài)更新的，那么讓整個(gè) Switch的端口表都改變，對(duì)Switch進(jìn)行MAC地址欺騙的Flood，不斷發(fā)送大量假M(fèi)AC地址的數(shù)據(jù)包，Switch就更新MAC-PORT緩存，如果能通過這樣的辦法把以前正常的MAC和Port對(duì)應(yīng)的關(guān)系破壞了，那么Switch就會(huì)進(jìn)行泛洪發(fā)送給每一個(gè)端口，讓Switch基本變成一個(gè) HUB，向所有的端口發(fā)送數(shù)據(jù)包，要進(jìn)行嗅探攻擊的目的一樣能夠達(dá)到。也將造成Switch MAC-PORT緩存的崩潰，如下面交換機(jī)中日志所示：

　　Internet 192.168.1.4 0000b.cd85.a193 ARPAVlan256

　　Internet 192.168.1.5 0000b.cd85.a193 ARPAVlan256

　　Internet 192.168.1.6 0000b.cd85.a193 ARPAVlan256

　　Internet 192.168.1.7 0000b.cd85.a193 ARPAVlan256

　　Internet 192.168.1.8 0000b.cd85.a193 ARPAVlan256

　　Internet 192.168.1.9 0000b.cd85.a193 ARPAVlan256

　　ARP攻擊時(shí)的主要現(xiàn)象

　　網(wǎng)上銀行、保密數(shù)據(jù)的頻繁丟失。當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序時(shí)，會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機(jī)。其他用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機(jī)上網(wǎng)，切換的時(shí)候用戶會(huì)斷一次線。切換到病毒主機(jī)上網(wǎng)后，如果用戶已經(jīng)登陸服務(wù)器，那么病毒主機(jī)就會(huì)經(jīng)常偽造斷線的假像，那么用戶就得重新登錄服務(wù)器，這樣病毒主機(jī)就可以竊取所有機(jī)器的資料了。

　　網(wǎng)速時(shí)快時(shí)慢，極其不穩(wěn)定，但單機(jī)進(jìn)行光纖數(shù)據(jù)測(cè)試時(shí)一切正常。局域網(wǎng)內(nèi)頻繁性區(qū)域或整體掉線，重啟計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備后恢復(fù)正常

　　由于ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會(huì)感覺上網(wǎng)速度越來越慢。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí)，用戶會(huì)恢復(fù)從路由器上網(wǎng)，切換過程中用戶會(huì)再次斷線。

　　ARP的解決辦法：

　　目前來看普遍的解決辦法都是采用雙綁,具體方法：

　　先找到正確的 網(wǎng)關(guān) IP 網(wǎng)關(guān)物理地址 然后 在客戶端做對(duì)網(wǎng)關(guān)的arp綁定。

　　步驟一：

　　查找本網(wǎng)段的網(wǎng)關(guān)地址，比如192.168.1.1，以下以此網(wǎng)關(guān)為例。在正常上網(wǎng)時(shí)，“開始→運(yùn)行→cmd→確定”，輸入：arp -a，點(diǎn)回車，查看網(wǎng)關(guān)對(duì)應(yīng)的Physical Address。

　　比如：網(wǎng)關(guān)192.168.1.1 對(duì)應(yīng)0A-0B-0C-0D-0E-0F。

　　步驟二：

　　編寫一個(gè)批處理文件rarp.bat，內(nèi)容如下：

　　@echo off

　　arp -d

　　arp -s 192.168.1.1 0A-0B-0C-0D-0E-0F

　　保存為：rarp.bat。

　　步驟三：

　　運(yùn)行批處理文件將這個(gè)批處理文件拖到“windows→開始→程序→啟動(dòng)”中。

　　但雙綁并不能徹底解決ARP問題，IP沖突以及一些ARP變種是不能應(yīng)對(duì)的。

　　再有就是采用防ARP的硬件路由，但價(jià)格很高,并且不能保證在大量攻擊出現(xiàn)地情況下穩(wěn)定工作.那么現(xiàn)在就沒有，有效并能夠徹底的解決辦法了嗎?有的，那就是采用能夠以底層驅(qū)動(dòng)的方式工作的軟件，并全網(wǎng)部署來防范ARP問題.

　　此類軟件是通過系統(tǒng)底層核心驅(qū)動(dòng)，以服務(wù)及進(jìn)程并存的形式隨系統(tǒng)啟動(dòng)并運(yùn)行，不占用計(jì)算機(jī)系統(tǒng)資源。這種方式不同于雙綁。因?yàn)樗菍?duì)通信中的數(shù)據(jù)包進(jìn)行分析與判斷，只有合法的包才可以被放行。非法包就被丟棄掉了。也不用擔(dān)心計(jì)算機(jī)會(huì)在重啟后新建ARP緩存列表，因?yàn)槭且苑?wù)與進(jìn)程相結(jié)合的形式 存在于計(jì)算機(jī)中，當(dāng)計(jì)算機(jī)重啟后軟件的防護(hù)功能也會(huì)隨操作系統(tǒng)自動(dòng)啟動(dòng)并工作。

　　目前滿足這一要求的并能出色工作的軟件推薦大家選用ARP衛(wèi)士，此軟件不僅僅解決了ARP問題，同時(shí)也擁有內(nèi)網(wǎng)洪水防護(hù)功能與P2P限速功能。

　　ARP衛(wèi)士在系統(tǒng)網(wǎng)絡(luò)的底層安裝了一個(gè)核心驅(qū)動(dòng),通過這個(gè)核心驅(qū)動(dòng)過濾所有的ARP數(shù)據(jù)包,對(duì)每個(gè)ARP應(yīng)答進(jìn)行判斷,只有符合規(guī)則的ARP包,才會(huì)被進(jìn)一步處理.這樣,就實(shí)現(xiàn)防御了計(jì)算機(jī)被欺騙. 同時(shí),ARP衛(wèi)士對(duì)每一個(gè)發(fā)送出去的ARP應(yīng)答都進(jìn)行檢測(cè),只有符合規(guī)則的ARP數(shù)據(jù)包才會(huì)被發(fā)送出去,這樣就實(shí)現(xiàn)了對(duì)發(fā)送攻擊的攔截...

　　洪水?dāng)r截：通過此項(xiàng)設(shè)置，可以對(duì)規(guī)則列表中出現(xiàn)了SYN洪水攻擊、UDP洪水攻擊、ICMP洪水攻擊的機(jī)器進(jìn)行懲罰。當(dāng)局域網(wǎng) 內(nèi)某臺(tái)計(jì)算機(jī)所發(fā)送的SYN報(bào)文、UDP報(bào)文、ICMP報(bào)文超出此項(xiàng)設(shè)置中所規(guī)定的上限時(shí)，“ARP衛(wèi)士”客戶端將會(huì)按 照預(yù)設(shè)值對(duì)其進(jìn)行相應(yīng)懲罰。在懲罰時(shí)間內(nèi)，這臺(tái)計(jì)算機(jī)將不會(huì)再向網(wǎng)絡(luò)內(nèi)發(fā)送相應(yīng)報(bào)文。但懲罰不會(huì)對(duì)已建立 的連接產(chǎn)生影響。

　　流量控制：通過此項(xiàng)設(shè)置，可以對(duì)規(guī)則列表中的所有計(jì)算機(jī)進(jìn)行廣域網(wǎng)及局域網(wǎng)的上傳及下載流量進(jìn)行限制(即所謂的網(wǎng)絡(luò) 限速)。鼠標(biāo)右鍵單擊“排除機(jī)器列表”窗口即可對(duì)其中內(nèi)容進(jìn)行修改、編輯。存在于“排除機(jī)器列表”中的IP地址將不 會(huì)受到流量控制的約束。

　　ARP Guard(ARP衛(wèi)士)的確可以從根本上徹底解 決ARP欺騙攻擊所帶來的所有問題。它不僅可以保護(hù)計(jì)算機(jī)不受ARP欺騙攻擊的影響，而且還會(huì)對(duì)感染了ARP攻擊病毒或欺騙木馬的 病毒源機(jī)器進(jìn)行控制，使其不能對(duì)局域網(wǎng)內(nèi)其它計(jì)算機(jī)進(jìn)行欺騙攻擊。保持網(wǎng)絡(luò)正常通訊，防止帶有ARP欺騙攻擊的機(jī)器對(duì)網(wǎng)內(nèi)計(jì) 算機(jī)的監(jiān)聽，使瀏覽網(wǎng)頁(yè)、數(shù)據(jù)傳輸時(shí)不受ARP欺騙者限制。

　　總體來看我覺得這個(gè)軟件是目前市面上最好的了。同時(shí)在線客服工作也很負(fù)責(zé)。但有些時(shí)候?qū)τ诰W(wǎng)管來說還是不太方便。比如管理端換了IP。那么下面的客戶端只能重新指向新的IP。再有軟件不能對(duì)所有的無盤系統(tǒng)都支持。對(duì)LINUX操作系統(tǒng)也不能支持。希望這些能夠盡快被軟件開發(fā)商注意并及時(shí)更新。好了，說了這么多，希望能夠給大家解決ARP掉線問題，提供幫助。