ARP攻击
-病毒原理:前面已经降到了ARP的工作原理,需要再强调一点,根据RFC的规定,PC在发送ARP响应时,不需要一定要先收到ARP的请求报文,局域网中任何一台PC都可以向网络内其它PC通告:自己的IP和MAC的对应关系,这就是自居ARP。病毒或使用黑客软件发送错误的虚假的ARP响应报文给其它主机,报文中的IP和MAC地址的对应为虚假的,或者发送错误的网关IP和网关MAC的对应关系,使这些主机和网关ARP学习错误,扰乱局域网中各PC以及网关中保存的ARP表,使得网络中合法的主机不能正常上网,造成网络中断,或充当“中间人”,监视用户流量,窃取用户信息。
-案例:WinPinF病毒、Ettercap黑客软件、网络剪刀手、网络警察
-防御手段:Netcore 2+4层系列交换机和高端路由器提供简便配置实现ARP/MAC绑定,过滤非法网络流量。防御ARP欺骗
使用Netcore高端路由器2805做双向绑定防ARP攻击
1、 进入到路由器的配置界面选择网络安全-MAC地址绑定-全部绑定(如图1),选择全部绑定后就可以把局域网内所有电脑的IP与MAC做静态绑定。(如图2)
2、 设置未定义的MAC默认为不能连接到互联网,网络安全-MAC地址过滤-选择默认操作为“拒绝”-确定。(如图3)
3、 做完以上两步后我们需要看看路由器局域网口(LAN口)的网关IP和MAC地址,为下一步工作站端的ARP绑定做准备,选择状态信息然后查看局域网口的IP地址和MAC地址。(如图4)IP:192.168.1.1 MAC: 08-10-17-36-32-e9
4、 在路由器端IP与MAC的绑定已经做好了,接下来就在电脑上做IP与MAC的绑定。Windows的操作系统中都带有ARP这一命令行程序,在电脑的Windows命令行界面中输入“arp -s +路由器IP(如192.168.1.1)+路由器LAN口MAC地址”就可以将的路由器IP和MAC绑定到电脑的ARP表中。每次开机都要在命令行那输入命令比较麻烦,我们还有更简单的方法,就是新建一个批处理文件放在启动项那里就可以了。具体步骤:
① 新建一个记事本文件如arp.txt,然后添加命令行中的命令“arp -s +路由器IP+路由器LAN口MAC地址”,(如图5)保存后并把后缀名为bat。
要得到路由器的LAN口MAC地址和IP地址,可以查看路由器的界面中的“状态信息”
② 将建立好的批处理文件arp.bat拷贝到系统的启动目录中。电脑每次启动时将自动运行该文件,自动绑定IP与MAC。(如图6)
完成以上步骤可以做到防止ARP攻击,但是该方法的缺点在于每当主机的网卡Link down、Link UP或者MAC地址更改,在机器上添加的静态绑定条目就会失效,需要在主机上重新运行批处理才能生效。
<<上一页
1
2
3
4
5
下一页>>
