一、ARP攻擊的防御

1.易于被ARP攻擊的原因

• 我們的主機(jī)在默認(rèn)情況下是沒(méi)有防御ARP攻擊的能力的，原因在于PC在收到ARP報(bào)文后（無(wú)論單播或廣播）都會(huì)學(xué)習(xí)在自己的ARP緩存中，且沒(méi)有驗(yàn)證機(jī)制，無(wú)法分辨真假
• 在公司中一定要解決好ARP攻擊的防御，下面介紹幾種方法

2.常見(jiàn)的幾種防御方法

1）靜態(tài)ARP綁定

• 缺點(diǎn)：工作量大，且無(wú)法長(zhǎng)期有效–關(guān)機(jī)再開(kāi)機(jī)就會(huì)消失

• 原理：前面的ARP原理為，當(dāng)PC發(fā)送ARP廣播請(qǐng)求，接著收到對(duì)方發(fā)來(lái)的ARP單播應(yīng)答后會(huì)動(dòng)態(tài)的形成ARP緩存。如果此時(shí)在PC上人工輸入命令，靜態(tài)綁定ARP緩存中對(duì)方的MAC地址，那么再有黑客發(fā)來(lái)偽造的ARP單播應(yīng)答也無(wú)效了（也不是覺(jué)得，幾乎可以避免）；但是光在自己的PC上靜態(tài)綁定還遠(yuǎn)遠(yuǎn)不夠，還需要在通信的對(duì)象主機(jī)上也做靜態(tài)ARP綁定，不然黑客騙不了你，但是可以偽造你的MAC地址發(fā)送給你通信的對(duì)象，對(duì)方就無(wú)法與你通信了。

  總結(jié)：手工綁定/雙向綁定

• 命令：在windows客戶機(jī)上輸入arp -s 10.1.1.254 00-01-2c-a0-e1-09

• 使用場(chǎng)景：如果公司中有固定IP和不會(huì)輕易關(guān)機(jī)的服務(wù)器之間需要通信，則可以在這些服務(wù)器上對(duì)所有的需要通信的服務(wù)器做靜態(tài)ARP綁定

2）ARP防火墻

• 缺點(diǎn)：增加網(wǎng)絡(luò)的負(fù)擔(dān)
• 原理：只要在用戶機(jī)上開(kāi)啟了ARP防火墻（比如360安全衛(wèi)士上就有這項(xiàng)功能，但默認(rèn)關(guān)閉），那么會(huì)根據(jù)你的設(shè)置自動(dòng)的綁定靜態(tài)ARP，只要開(kāi)啟每次開(kāi)機(jī)就不用你手動(dòng)去綁定，ARP防火墻自動(dòng)就幫你做了。但是剛說(shuō)了綁定的原則是雙向綁定，比如現(xiàn)在要跟網(wǎng)關(guān)通信實(shí)現(xiàn)上網(wǎng)，網(wǎng)關(guān)無(wú)法開(kāi)啟ARP防火墻，所以黑客可以不斷的向網(wǎng)關(guān)發(fā)送虛假的ARP單播應(yīng)答，而ARP防火墻也會(huì)不斷的向網(wǎng)關(guān)發(fā)送真正的ARP單播應(yīng)答，且高級(jí)的防火墻會(huì)根據(jù)黑客的發(fā)送頻率自動(dòng)提升自己發(fā)送頻率。所以這會(huì)增加網(wǎng)關(guān)的負(fù)擔(dān)，很不推薦使用
• 使用場(chǎng)景：在公司中一般都禁止使用，在家庭的小型網(wǎng)絡(luò)中可以使用

3）硬件級(jí)ARP防御

• 特點(diǎn)：花錢，但是可以直接將ARP攻擊按死在搖籃中，推薦公司使用

• 原理1：需要花錢購(gòu)買支持端口可以動(dòng)態(tài)ARP綁定的企業(yè)級(jí)交換機(jī)，且可以配合DHCP服務(wù)器。舉例說(shuō)明：現(xiàn)在公司內(nèi)的幾個(gè)員工連接到同一個(gè)交換機(jī)上，交換機(jī)又連接這DHCP服務(wù)器，DHCP服務(wù)器為同一個(gè)局域網(wǎng)下的員工提供IP地址子網(wǎng)掩碼等相關(guān)信息。此時(shí)假如有一個(gè)壞蛋的主機(jī)，MAC地址為AA，連接到交換機(jī)的某個(gè)端口，那么插上的時(shí)候由于壞蛋的主機(jī)自動(dòng)獲取IP，所以會(huì)發(fā)送DHCP-Discovery廣播包給DHCP服務(wù)器，而此包通過(guò)交換機(jī)時(shí)，連接的那個(gè)端口就會(huì)記錄下來(lái)壞蛋的MAC地址AA。然后再將包發(fā)給DHCP服務(wù)器，DHCP收到后回復(fù)一個(gè)DHCP-Offer廣播包，經(jīng)過(guò)交換機(jī)時(shí)，交換機(jī)雖然是二層設(shè)備，但是由于添加了可以識(shí)別DHCP提供的IP的功能，所以將Offer包中的IP先獲取到，然后再轉(zhuǎn)發(fā)給壞蛋的PC，PC收到后又會(huì)發(fā)送DHCP-request包給DHCP服務(wù)器，DHCP收到后會(huì)回復(fù)ACK廣播包（即確定下來(lái)壞蛋就使用這個(gè)IP，并同時(shí)發(fā)送給壞蛋配套的子網(wǎng)掩碼，租期等相關(guān)的信息），那么交換機(jī)一旦收到DHCP服務(wù)器發(fā)來(lái)的ACK包，則會(huì)將壞蛋分配到的IP和MAC地址AA記錄下來(lái)綁定到壞蛋接入的端口。此過(guò)程叫動(dòng)態(tài)ARP綁定。那么以后如果壞蛋發(fā)送正常的幀出去，交換機(jī)雖然是二層設(shè)備，但是通過(guò)技術(shù)不光可以識(shí)別MAC也可以識(shí)別到幀的源IP地址，如果與記錄的不一致，則不允許此幀發(fā)送出去，直接丟棄；有些設(shè)置過(guò)的交換機(jī)一旦收到不一致的幀，那么會(huì)將此端口關(guān)閉，需要管理員才能打開(kāi)。那么壞蛋此時(shí)如果發(fā)送偽造ARP報(bào)文，交換機(jī)識(shí)別到ARP報(bào)文中的IP和MAC地址不是你的，就會(huì)扼殺此幀。

• 原理2：如果現(xiàn)在壞蛋拔了網(wǎng)線，換了另外一個(gè)接口接上去，那么最開(kāi)始?jí)牡斑B接的端口上的動(dòng)態(tài)ARP綁定會(huì)消息。而現(xiàn)在壞蛋接入的端口會(huì)做與原理1同樣的事情，有會(huì)綁定壞蛋分配的IP和MAC地址在此端口上

• 原理3：假如現(xiàn)在壞蛋換了一個(gè)接口接入，并且發(fā)送的第一個(gè)幀不是與HDCP相關(guān)的，而是自己偽造的一個(gè)ARP報(bào)文封裝的幀，當(dāng)中包含偽造的MAC和IP，那么交換機(jī)的端口也會(huì)將偽造的MAC和IP動(dòng)態(tài)綁定到此端口，那么如果現(xiàn)在壞蛋想正常上網(wǎng)或與其他人通信，交換機(jī)會(huì)認(rèn)為原來(lái)偽造的MAC和IP才是你真正的信息，那么此時(shí)壞蛋就無(wú)法上網(wǎng)和通信了，會(huì)自食其果。

• 總結(jié)：既可以購(gòu)買支持動(dòng)態(tài)ARP綁定的交換機(jī)；還可以在交換機(jī)上做靜態(tài)ARP綁定，將每一個(gè)用戶的IP地址和MAC地址和連接的端口號(hào)綁定

3.ARP相關(guān)命令

以下為思科網(wǎng)絡(luò)設(shè)備的ARP綁定的命令，不同廠家不同，需要查看手冊(cè)

1）網(wǎng)絡(luò)設(shè)備做靜態(tài)綁定

Router(config)#arp 10.0.0.95 0013.240a.b219 arpa f0/0 #先進(jìn)入全局配置模式 Switch(config)#arp 10.0.0.12 90fb.a695.4445 arpa f0/2 Switch(config)#arp 10.0.0.178 001a.e2df.0741 arpa f0/1

2）交換機(jī)開(kāi)啟動(dòng)態(tài)ARP綁定

conf t ip dhcp snooping #如果交換機(jī)支持此功能，輸入命令才可以開(kāi)啟

3）批量操作

conf t int range f0/1 - 48 #表示進(jìn)入從0模塊的1端口到48端口的組 輸入相關(guān)命令即可

總結(jié)

以上是生活随笔為你收集整理的day14、4 - ARP攻击防御的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。