如何防護ARP攻擊
如何防護ARP攻擊
ARP類型的攻擊最早用于盜取密碼之用,網(wǎng)內(nèi)中毒電腦可以偽裝成路由器,盜取用戶的密碼, 后來發(fā)展成內(nèi)藏于軟件,擾亂其他局域網(wǎng)用戶正常的網(wǎng)絡(luò)通信。那么如何防護ARP攻擊,下面我們一起來看看!
ARP攻擊僅能在以太網(wǎng)(局域網(wǎng)如:機房、內(nèi)網(wǎng)、公司網(wǎng)絡(luò)等)進行。無法對外網(wǎng)(互聯(lián)網(wǎng)、非本區(qū)域內(nèi)的局域網(wǎng))進行攻擊,下面學習啦小編來告訴你一些關(guān)于抵抗ARP攻擊的知識吧。
第一、建立MAC數(shù)據(jù)庫,把網(wǎng)吧內(nèi)所有網(wǎng)卡的MAC地址記錄下來,每個MAC和IP、地理位置統(tǒng)統(tǒng)裝入數(shù)據(jù)庫,以便及時查詢備案。
第二、建立DHCP服務(wù)器(建議建在網(wǎng)關(guān)上,因為DHCP不占用多少CPU,而且ARP欺騙攻擊一般總是先攻擊網(wǎng)關(guān),我們就是要讓他先攻擊網(wǎng)關(guān),因為網(wǎng)關(guān)這里有監(jiān)控程序的,網(wǎng)關(guān)地址建議選擇192.168.10.2 ,把192.168.10.1留空,如果犯罪程序愚蠢的話讓他去攻擊空地址吧),另外所有客戶機的IP地址及其相關(guān)主機信息,只能由網(wǎng)關(guān)這里取得,網(wǎng)關(guān)這里開通DHCP服務(wù),但是要給每個網(wǎng)卡,綁定固定唯一IP地址。一定要保持網(wǎng)內(nèi)的機器IP/MAC一一對應(yīng)的關(guān)系。這樣客戶機雖然是DHCP取地址,但每次開機的IP地址都是一樣的。
第三、網(wǎng)關(guān)監(jiān)聽網(wǎng)絡(luò)安全。網(wǎng)關(guān)上面使用TCPDUMP程序截取每個ARP程序包,弄一個腳本分析軟件分析這些ARP協(xié)議。ARP欺騙攻擊的包一般有以下兩個特點,滿足之一可視為攻擊包報警:第一以太網(wǎng)數(shù)據(jù)包頭的源地址、目標地址和ARP數(shù)據(jù)包的協(xié)議地址不匹配?;蛘撸珹RP數(shù)據(jù)包的發(fā)送和目標地址不在自己網(wǎng)絡(luò)網(wǎng)卡MAC數(shù)據(jù)庫內(nèi),或者與自己網(wǎng)絡(luò)MAC數(shù)據(jù)庫 MAC/IP 不匹配。這些統(tǒng)統(tǒng)第一時間報警,查這些數(shù)據(jù)包(以太網(wǎng)數(shù)據(jù)包)的源地址(也有可能偽造),就大致知道那臺機器在發(fā)起攻擊了。
第四、網(wǎng)關(guān)機器關(guān)閉ARP動態(tài)刷新的過程,使用靜態(tài)路由,這樣的話,即使犯罪嫌疑人使用ARP欺騙攻擊網(wǎng)關(guān)的話,這樣對網(wǎng)關(guān)也是沒有用的,確保主機安全。
網(wǎng)關(guān)建立靜態(tài)IP/MAC捆綁的方法是:建立/etc/ethers文件,其中包含正確的IP/MAC對應(yīng)關(guān)系,格式如下:
192.168.2.32 08:00:4E:B0:24:47
然后再/etc/rc.d/rc.local
最后添加:arp -f
生效即可
第五、偷偷摸摸的走到那臺機器,看看使用人是否故意,還是被任放了什么木馬程序陷害的。如果后者,不聲不響的找個借口支開他,拔掉網(wǎng)線(不關(guān)機,特別要看看Win98里的計劃任務(wù)),看看機器的當前使用記錄和運行情況,確定是否是在攻擊。
第六、使用防護軟件。ARP防火墻采用系統(tǒng)內(nèi)核層攔截技術(shù)和主動防御技術(shù),包含六大功能模塊可解決大部分欺騙、ARP攻擊帶來的問題,從而保證通訊安全(保障通訊數(shù)據(jù)不被網(wǎng)管軟件/惡意軟件監(jiān)聽和控制)、保證網(wǎng)絡(luò)暢通。
第七、具有ARP防護功能的網(wǎng)絡(luò)設(shè)備。由于ARP形式的攻擊而引發(fā)的網(wǎng)絡(luò)問題是目前網(wǎng)絡(luò)管理,特別是局域網(wǎng)管理中最讓人頭疼的攻擊,他的攻擊技術(shù)含量低,隨便一個人都可以通過攻擊軟件來完成ARP欺騙攻擊,同時防范ARP形式的攻擊也沒有什么特別有效的方法。