局域网ARP攻击与防范

“在局域网里面最常见的就是ARP欺骗了。”当初刚毕业时一位面试我的考官如是说。就我个人经验来看,其实在办公局域网里面除非有人恶意搞破坏,一般很少出现ARP欺骗。我现在还清楚的记得,由于当时在路由器上做了ip-mac绑定,某安全卫士弹窗显示拦截到ARP欺骗上万次!不过后来好像又没问题了不知是我运气不好还是它升级了。这些都是题外话了~~

什么是ARP欺骗?

百度百科:ARP欺骗

arp就是一种地址解析协议!这种协议让A主机可以通过一个IP解析为目标主机B的MAC地址最终找到目的B主机!ARP欺骗就是利用这个原理伪造一个不存在(或者是安装有后妈、监听设备的主机)的MAC地址,然后向网络中其他主机发送这个解析关系。

利用ARP欺骗技术可以限制目标主机的网速甚至断网。一般像什么聚生网管之类的也有利用这种方式!还有一个更大的危害就是可以用作中间人攻击,就是截获A、B主机间的通信流量,分析流量后再重新转发给B主机一般来说可以做到神不知鬼不觉,现在使用手机连WIFI的人多了,随便设个开放无密码的wifi热点就有很多人连接,如果这些连接中的某个人使用了cain、zxarps之类的ARP攻击软件,在这种情况下你还登陆了QQ、邮箱、网银,那么你的密码可能就保不住啦!当然那人也可以在你浏览的网页中篡改数据、添加网页木马等。。。做一个钓鱼网站也不是问题(利用DNS劫持),你会发现网址很正常一模一样但是实际上访问的是挂马网站,如果你要访问的是使用https的话,浏览器就会提示证书错误!不要忽略这个错误提示,很有可能这个网站已经被恶意篡改了!

如果这个免费热点的搭建人本身就是一个居心叵测的人,那么他完全不必这么麻烦,因为这是他的热点,网络的总开关就在他手里,任何连接该热点的主机流量都有经过他!用网络抓包、嗅探工具也很容易获得一些敏感信息!所以出门在外别老没事连着免费热点玩,就算连接了也不要进行一些登陆或输口令的操作!除非你相当确认可信。

如何防范ARP攻击?

严格来讲ARP攻击并不能完全防范,就算可以付出的代价也很大。

最常见的就是对客户机做ip-mac绑定,把与客户机有通信需求的主机(或路由)双双做mac地址静态绑定。也可以使用一些ARP防火墙啊,但感觉实际意义不大,还不如手动绑定呢,如果你电脑没中毒的话静态绑定的ARP是不会被删除的,大多数软件的arp绑定是利用软件每隔几秒自动再次静态绑定一次,所以你用arp -d 是没有效果的,除非你也一直重复不断地用arp -d 。在局域网中如果主机与路由间双双做了mac绑定,就极有可能导致这么一种情况——局域网里面一起玩网络对战游戏的时候特别卡,比如两个人在DNF里PK虽然你俩就面对面坐着但就是卡出翔了!

如果使用adsl拨号上网的话,也可以很有效地解决ARP欺骗,不过好像不是很现实哈!一般都是上级路由拨号上网,下面的主机连着路由共享上网,当然有些路由也提供pppoe拨号功能,软路由也有这个功能。

现在的电脑ip、mac地址都是可以随便改动的,所有绑定了又如何呢?如果使用带网管功能的交换机,就可以对交换机的每个端口多mac绑定,每个端口只能允许绑定的mac通过,你一修改就拒绝你与其他主机通信,不过成本就很高了。现在用win7的人应该很多了,其实可以新开个账户开启家长控制,这样就不能随意修改计算机配置啦!前提是要保管好管理员密码。

出现ARP欺骗怎么办?

电脑不多的话,可以一台一台拔网线测试。如果某台主机拔掉网线后(其他主机最好使用arp -d 命令清楚arp缓存)网络正常了,那么就看下是不是这台电脑中毒了,也有可能是网卡坏了。或者任意挑机台主机使用arp -a命令查看arp缓存表,如果某个ip(非路由、网管IP)多次出现在arp缓存表里,那么这台主机极有可能就是攻击源。

针对哪种只求破坏网络环境,不求获取数据流量的ARP病毒来说,一切的IP与MAC都是伪造的,如果局域网里的主机数量又特别多的时候,你根本就找不到到底是在那个主机上,这时候可以给每台主机装上抓包工具看看在短时间内谁发出了大量的arp广播包!

基于互联网精神,在注明出处的前提下本站文章可自由转载!

本文链接:https://ranjuan.cn/局域网arp攻击与防范/

赞赏

微信赞赏支付宝赞赏

目前为止有一条评论

路由器与交换机的区别 | 染卷 发布于下午8:03 - 2014年12月9日

[…] 大部分情况下交换机与交换机之间可以级联,而路由器虽然也可以做到lan口之间级联,但是需要注意的是最多只能有一个路由器开启DHCP功能,不然可能会造成冲突或ARP欺骗! […]

发表评论