arp攻擊與防范

　　如今互聯(lián)網(wǎng)的重要性越來越大，很多人也對一些知識很感興趣，那么你知道arp攻擊與防范嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于arp攻擊與防范的相關(guān)資料，供你參考。

　　arp攻擊與防范：

　　一、要想防患arp攻擊，那么我們要知道什么是arp?

　　ARP：地址解析協(xié)議，用于將32位的IP地址解析成48位的物理mac地址。

　　在以太網(wǎng)協(xié)議中，規(guī)定同一局域網(wǎng)中的主機相互通信，必須知道對方的物理地址(即mac地址)，而在tcp/ip協(xié)議中，網(wǎng)絡(luò)層和傳輸層只關(guān)心目標(biāo)主機的ip地址。這就導(dǎo)致在以太網(wǎng)中使用IP協(xié)議時，數(shù)據(jù)鏈路層的以太網(wǎng)協(xié)議接到上層的IP協(xié)議提供的數(shù)據(jù)中，只包含目的主機的IP地址。所以就需要一種協(xié)議，根據(jù)目的的IP地址，獲得其mac地址。所以arp協(xié)議就應(yīng)運而生。

　　另外，當(dāng)發(fā)送主機和目的主機不在同一個局域網(wǎng)中時，即便知道目的主機的MAC地址，兩者也不能直接通信，必須經(jīng)過路由轉(zhuǎn)發(fā)才可以。所以此時，發(fā)送主機通過ARP協(xié)議獲得的將不是目的主機的真實MAC地址，而是一臺可以通往局域網(wǎng)外的路由器的某個端口的MAC地址。于是此后發(fā)送主機發(fā)往目的主機的所有幀，都將發(fā)往該路由器，通過它向外發(fā)送。這種情況稱為ARP代理(ARP Proxy)。

　　二、arp攻擊的原理

　　ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。

　　ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一臺計算機感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計算機的通信信息，并因此造成網(wǎng)內(nèi)其它計算機的通信故障。

　　三、什么是ARP欺騙

　　在局域網(wǎng)中，黑客 經(jīng)過收到ARP Request廣播包，能夠偷聽到其它節(jié)點的 (IP, MAC) 地址, 黑客就偽裝為A，告訴B (受害者) 一個假地址，使得B在發(fā)送給A 的數(shù)據(jù)包都被黑客截取，而A, B 渾然不知。

　　四、arp的攻擊方式：

　　1、ip地址沖突

　　Arp病毒制造者制造出局域網(wǎng)上有另一臺主機與受害主機共享一個IP的假象。大量的攻擊數(shù)據(jù)包能令受害主機耗費大量的系統(tǒng)資源。

　?、賳尾バ偷腎P地址沖突

　　數(shù)據(jù)鏈路層記錄的目的物理地址為被攻擊主機的物理地址，這樣使得該arp數(shù)據(jù)包只能被受攻擊主機所接收，而不被局域網(wǎng)內(nèi)其他主機所接收，實現(xiàn)隱蔽式攻擊。

　?、趶V播型的IP地址沖突

　　數(shù)據(jù)鏈路層記錄的目的物理地址為廣播地址，這樣使得局域網(wǎng)內(nèi)的所有主機都會接收到該arp數(shù)據(jù)包，雖然該arp數(shù)據(jù)包所記錄的目的IP地址不是受攻擊主機的IP地址，但是由于該arp數(shù)據(jù)包為廣播數(shù)據(jù)包，這樣受攻擊主機也會收到。

　　2、arp泛洪攻擊

　　攻擊主機持續(xù)把偽造的mac-ip映射對發(fā)給受害的主機，對于局域網(wǎng)內(nèi)的所有主機和網(wǎng)管進行廣播，搶占網(wǎng)絡(luò)帶寬和干擾正常通信。

　　3、arp掃描攻擊

　　Arp攻擊者向局域網(wǎng)發(fā)送arp請求，從而獲得正在運行主機的IP和MAC地址的映射對。攻擊源通過對arp掃描獲得所要攻擊的IP和mac地址，從而為網(wǎng)絡(luò)監(jiān)聽、盜取用戶數(shù)據(jù)，實現(xiàn)隱蔽式攻擊做準(zhǔn)備。

　　4、虛擬主機攻擊

　　黑客通過在網(wǎng)絡(luò)內(nèi)虛擬構(gòu)建網(wǎng)卡，將自己虛擬成網(wǎng)絡(luò)內(nèi)的一臺主機，擁有虛擬的物理地址和IP地址。使得占用局域網(wǎng)內(nèi)的IP地址資源，使得正常運行的主機會發(fā)生IP地址沖突，并且大量的虛擬主機攻擊會使得局域網(wǎng)內(nèi)的主機無法正常獲得IP地址。

　　5、ARP欺騙攻擊

　　目的是向目標(biāo)主機發(fā)送偽造的arp應(yīng)答，并使目標(biāo)主機接收應(yīng)答中的IP與MAC間的映射，并以此更新目標(biāo)主機緩存。從而影響鏈接暢通。其方式有：冒充主機欺騙網(wǎng)關(guān)，原理是截獲網(wǎng)關(guān)數(shù)據(jù)和冒充網(wǎng)關(guān)欺騙主機，原理是偽造網(wǎng)關(guān)。

　　五、arp攻擊防患措施

　　1、在客戶端靜態(tài)綁定IP地址和MAC地址

　　進入命令行arp –a命令查看，獲取本機的網(wǎng)關(guān)IP地址和網(wǎng)關(guān)mac地址

　　編寫一個批處理內(nèi)容為：

　　@echo off

　　arp -d

　　arp –s 網(wǎng)關(guān)的IP地址 自己的mac地址

　　保存放置到開機啟動項里

　　2、設(shè)置arp服務(wù)器

　　指定局域網(wǎng)內(nèi)部的一臺機器作為arp服務(wù)器，專門保存且維護可信范圍內(nèi)的所有主機的IP地址與mac地址的映射記錄。該服務(wù)器通過查閱自己的arp緩存的靜態(tài)記錄，并以被查詢主機的名義相應(yīng)局域網(wǎng)內(nèi)部的arp請求，同時設(shè)置局域網(wǎng)內(nèi)部其他主機只是用來自arp服務(wù)器的arp響應(yīng)。

　　3、交換機端口設(shè)置

　　通過劃分VLAN和交換機端口綁定，以圖防范ARP，也是常用的防范方法。做法是細致地劃分VLAN，減小廣播域的范圍，使ARP在小范圍內(nèi)起作用，而不至于發(fā)生大面積影響。同時，一些網(wǎng)管交換機具有MAC地址學(xué)習(xí)的功能，學(xué)習(xí)完成后，再關(guān)閉這個功能，就可以把對應(yīng)的MAC和端口進行綁定，避免了病毒利用ARP攻擊篡改自身地址。也就是說，把ARP攻擊中被截獲數(shù)據(jù)的風(fēng)險解除了。這種方法確實能起到一定的作用。

　　不過，VLAN和交換機端口綁定的問題在于：

　?、贈]有對網(wǎng)關(guān)的任何保護，不管如何細分VLAN，網(wǎng)關(guān)一旦被攻擊，照樣會造成全網(wǎng)上網(wǎng)的掉線和癱瘓。

　?、诎衙恳慌_電腦都牢牢地固定在一個交換機端口上，這種管理太死板了。這根本不適合移動終端的使用，從辦公室到會議室，這臺電腦恐怕就無法上網(wǎng)了。在無線應(yīng)用下，又怎么辦呢?還是需要其他的辦法。

　?、蹖嵤┙粨Q機端口綁定，必定要全部采用高級的網(wǎng)管交換機、三層交換機，整個交換網(wǎng)絡(luò)的造價大大提高。

　　因為交換網(wǎng)絡(luò)本身就是無條件支持ARP操作的，就是它本身的漏洞 造成了ARP攻擊的可能，它上面的管理手段不是針對ARP的。因此，在現(xiàn)有的交換網(wǎng)絡(luò)上實施ARP防范措施，屬于以子之矛攻子之盾。而且操作維護復(fù)雜，基本上是個費力不討好的事情。

　　4、ARP個人防火墻

　　在一些殺毒軟件中加入了ARP個人防火墻的功能，它是通過在終端電腦上對網(wǎng)關(guān)進行綁定，保證不受網(wǎng)絡(luò)中假網(wǎng)關(guān)的影響，從而保護自身數(shù)據(jù)不被竊取的措施。ARP防火墻使用范圍很廣，有很多人以為有了防火墻，ARP攻擊就不構(gòu)成威脅了，其實完全不是那么回事。

　　ARP個人防火墻也有很大缺陷：

　?、偎荒鼙ＷC綁定的網(wǎng)關(guān)一定是正確的。如果一個網(wǎng)絡(luò)中已經(jīng)發(fā)生了ARP欺騙，有人在偽造網(wǎng)關(guān)，那么，ARP個人防火墻上來就會綁定這個錯誤的網(wǎng)關(guān)，這是具有極大風(fēng)險的。即使配置中不默認(rèn)而發(fā)出提示，缺乏網(wǎng)絡(luò)知識的用戶恐怕也無所適從。

　?、贏RP是網(wǎng)絡(luò)中的問題，ARP既能偽造網(wǎng)關(guān)，也能截獲數(shù)據(jù)，是個“雙頭怪”。在個人終端上做ARP防范，而不管網(wǎng)關(guān)那端如何，這本身就不是一個完整的辦法。ARP個人防火墻起到的作用，就是防止自己的數(shù)據(jù)不會被盜取，而整個網(wǎng)絡(luò)的問題，如掉線、卡滯等，ARP個人防火墻是無能為力的。

　　因此，ARP個人防火墻并沒有提供可靠的保證。最重要的是，它是跟網(wǎng)絡(luò)穩(wěn)定無關(guān)的措施，它是個人的，不是網(wǎng)絡(luò)的。

　　5、安裝監(jiān)聽軟件

　　可以安裝sniffer軟件，監(jiān)聽網(wǎng)絡(luò)中的arp包，由于ARP欺騙往往使用廣播形式傳播，即使在交換機環(huán)境下也明顯能監(jiān)聽到某PC端正在狂發(fā)arp包，可以定位到arp病毒源主機。

　　6、反欺騙

　　通過命令設(shè)置一個錯誤的網(wǎng)關(guān)地址，反欺騙arp病毒，然后再添加一條靜態(tài)路由，設(shè)置正確的網(wǎng)關(guān)用于正常的網(wǎng)絡(luò)訪問。

　　看過文章“arp攻擊與防范”的人還看了：

　　1.ARP緩存感染攻擊解析

　　2.怎么清除arp病毒

　　3.Windows 7如何有效防止ARP病毒

　　4.如何防護ARP攻擊

　　5.電腦遭受ARP斷網(wǎng)攻擊怎么處理

　　6.路由器怎么利用NETSH命令防ARP

　　7.如何設(shè)置ARP防護

　　8.關(guān)于網(wǎng)絡(luò)安全與局域網(wǎng)ARP地址欺騙攻擊的介紹

　　9.如何防止無線路由器ARP攻擊

　　10.ARP欺騙的原理是什么