什麼是ARP攻擊?如何防範ARP攻擊?
ARP的攻擊主要有以下幾種方式
一.簡單的欺騙攻擊
這是比較常見的攻擊,通過傳送偽造的ARP包來欺騙路由和目標主機,讓目標主機認為這是一個合法的主機.便完成了欺騙.這種欺騙多發生在同一網段內,因為路由不會把本網段的包向外轉發,當然實現不同網段的攻擊也有方法,便要通過ICMP協議來告訴路由器重新選擇路由.
二.交換環境的嗅探
在最初的小型區域網中我們使用HUB來進行互連,這是一種廣播的方式,每個包都會經過網內的每臺主機,通過使用軟體,就可以嗅談到整個區域網的資料.現在的網路多是交換環境,網路內資料的傳輸被鎖定的特定目標.既已確定的目標通訊主機.在ARP欺騙的基礎之上,可以把自己的主機偽造成一箇中間轉發站來監聽兩臺主機之間的通訊.
三.MAC Flooding
這是一個比較危險的攻擊,可以溢位交換機的ARP表,使整個網路不能正常通訊
四.基於ARP的DOS
這是新出現的一種攻擊方式,D.O.S又稱拒絕服務攻擊,當大量的連線請求被髮送到一臺主機時,由於主機的處理能力有限,不能為正常使用者提供服務,便出現拒絕服務.這個過程中如果使用ARP來隱藏自己,在被攻擊主機的日誌上就不會出現真實的IP.攻擊的同時,也不會影響到本機.
防護方法:
1.IP+MAC訪問控制.
單純依靠IP或MAC來建立信任關係是不安全,理想的安全關係建立在IP+MAC的基礎上.這也是我們校園網上網必須繫結IP和MAC的原因之一.
2.靜態ARP快取表.
每臺主機都有一個臨時存放IP-MAC的對應表ARP攻擊就通過更改這個快取來達到欺騙的目的,使用靜態的ARP來繫結正確的MAC是一個有效的方法.在命令列下使用arp -a可以檢視當前的ARP快取表.
3.ARP 快取記憶體超時設定
在ARP快取記憶體中的表項一般都要設定超時值,縮短這個這個超時值可以有效的防止ARP表的溢位.
4.主動查詢
在某個正常的時刻,做一個IP和MAC對應的資料庫,以後定期檢查當前的IP和MAC對應關係是否正常.定期檢測交換機的流量列表,檢視丟包率.
總結:ARP本省不能造成多大的危害,一旦被結合利用,其危險性就不可估量了.由於ARP本身的問題.使得防範ARP的攻擊很棘手,經常檢視當前的網路狀態,監控流量對一個網管員來說是個很好的習慣.
ARP的攻擊主要有以下幾種方式
一.簡單的欺騙攻擊
這是比較常見的攻擊,通過傳送偽造的ARP包來欺騙路由和目標主機,讓目標主機認為這是一個合法的主機.便完成了欺騙.這種欺騙多發生在同一網段內,因為路由不會把本網段的包向外轉發,當然實現不同網段的攻擊也有方法,便要通過ICMP協議來告訴路由器重新選擇路由.
二.交換環境的嗅探
在最初的小型區域網中我們使用HUB來進行互連,這是一種廣播的方式,每個包都會經過網內的每臺主機,通過使用軟體,就可以嗅談到整個區域網的資料.現在的網路多是交換環境,網路內資料的傳輸被鎖定的特定目標.既已確定的目標通訊主機.在ARP欺騙的基礎之上,可以把自己的主機偽造成一箇中間轉發站來監聽兩臺主機之間的通訊.
三.MAC Flooding
這是一個比較危險的攻擊,可以溢位交換機的ARP表,使整個網路不能正常通訊
四.基於ARP的DOS
這是新出現的一種攻擊方式,D.O.S又稱拒絕服務攻擊,當大量的連線請求被髮送到一臺主機時,由於主機的處理能力有限,不能為正常使用者提供服務,便出現拒絕服務.這個過程中如果使用ARP來隱藏自己,在被攻擊主機的日誌上就不會出現真實的IP.攻擊的同時,也不會影響到本機.
防護方法:
1.IP+MAC訪問控制.
單純依靠IP或MAC來建立信任關係是不安全,理想的安全關係建立在IP+MAC的基礎上.這也是我們校園網上網必須繫結IP和MAC的原因之一.
2.靜態ARP快取表.
每臺主機都有一個臨時存放IP-MAC的對應表ARP攻擊就通過更改這個快取來達到欺騙的目的,使用靜態的ARP來繫結正確的MAC是一個有效的方法.在命令列下使用arp -a可以檢視當前的ARP快取表.
3.ARP 快取記憶體超時設定
在ARP快取記憶體中的表項一般都要設定超時值,縮短這個這個超時值可以有效的防止ARP表的溢位.
4.主動查詢
在某個正常的時刻,做一個IP和MAC對應的資料庫,以後定期檢查當前的IP和MAC對應關係是否正常.定期檢測交換機的流量列表,檢視丟包率.
總結:ARP本省不能造成多大的危害,一旦被結合利用,其危險性就不可估量了.由於ARP本身的問題.使得防範ARP的攻擊很棘手,經常檢視當前的網路狀態,監控流量對一個網管員來說是個很好的習慣.