day14、4 - ARP攻击防御

本文介绍了如何防止ARP攻击,包括静态ARP绑定的原理与应用、ARP防火墙的优缺点及使用场景,以及硬件级ARP防御的详细解释。重点讲解了动态ARP绑定技术在交换机中的实现,为企业网络提供了全面的防护措施。
摘要由CSDN通过智能技术生成

一、ARP攻击的防御

1.易于被ARP攻击的原因

  • 我们的主机在默认情况下是没有防御ARP攻击的能力的,原因在于PC在收到ARP报文后(无论单播或广播)都会学习在自己的ARP缓存中,且没有验证机制,无法分辨真假
  • 在公司中一定要解决好ARP攻击的防御,下面介绍几种方法

2.常见的几种防御方法

1)静态ARP绑定
  • 缺点:工作量大,且无法长期有效–关机再开机就会消失

  • 原理:前面的ARP原理为,当PC发送ARP广播请求,接着收到对方发来的ARP单播应答后会动态的形成ARP缓存。如果此时在PC上人工输入命令,静态绑定ARP缓存中对方的MAC地址,那么再有黑客发来伪造的ARP单播应答也无效了(也不是觉得,几乎可以避免);但是光在自己的PC上静态绑定还远远不够,还需要在通信的对象主机上也做静态ARP绑定,不然黑客骗不了你,但是可以伪造你的MAC地址发送给你通信的对象,对方就无法与你通信了。

    总结:手工绑定/双向绑定

  • 命令:在windows客户机上输入arp -s 10.1.1.254 00-01-2c-a0-e1-09

  • 使用场景:如果公司中有固定IP和不会轻易关机的服务器之间需要通信,则可以在这些服务器上对所有的需要通信的服务器做静态ARP绑定

2)ARP防火墙
  • 缺点:增加网络的负担
  • 原理:只要在用户机上开启了ARP防火墙(比如360安全卫士上就有这项功能,但默认关闭),那么会根据你的设置自动的绑定静态ARP,只要开启每次开机就不用你手动去绑定,ARP防火墙自动就帮你做了。但是刚说了绑定的原则是双向绑定,比如现在要跟网关通信实现上网,网关无法开启ARP防火墙,所以黑客可以不断的向网关发送虚假的ARP单播应答,而ARP防火墙也会不断的向网关发送真正的ARP单播应答,且高级的防火墙会根据黑客的发送频率自动提升自己发送频率。所以这会增加网关的负担,很不推荐使用
  • 使用场景:在公司中一般都禁止使用,在家庭的小型网络中可以使用
3)硬件级ARP防御
  • 特点:花钱,但是可以直接将ARP攻击按死在摇篮中,推荐公司使用

  • 原理1:需要花钱购买支持端口可以动态ARP绑定的企业级交换机,且可以配合DHCP服务器。举例说明:现在公司内的几个员工连接到同一个交换机上,交换机又连接这DHCP服务器,DHCP服务器为同一个局域网下的员工提供IP地址子网掩码等相关信息。此时假如有一个坏蛋的主机,MAC地址为AA,连接到交换机的某个端口,那么插上的时候由于坏蛋的主机自动获取IP,所以会发送DHCP-Discovery广播包给DHCP服务器,而此包通过交换机时,连接的那个端口就会记录下来坏蛋的MAC地址AA。然后再将包发给DHCP服务器,DHCP收到后回复一个DHCP-Offer广播包,经过交换机时,交换机虽然是二层设备,但是由于添加了可以识别DHCP提供的IP的功能,所以将Offer包中的IP先获取到,然后再转发给坏蛋的PC,PC收到后又会发送DHCP-request包给DHCP服务器,DHCP收到后会回复ACK广播包(即确定下来坏蛋就使用这个IP,并同时发送给坏蛋配套的子网掩码,租期等相关的信息),那么交换机一旦收到DHCP服务器发来的ACK包,则会将坏蛋分配到的IP和MAC地址AA记录下来绑定到坏蛋接入的端口。此过程叫动态ARP绑定。那么以后如果坏蛋发送正常的帧出去,交换机虽然是二层设备,但是通过技术不光可以识别MAC也可以识别到帧的源IP地址,如果与记录的不一致,则不允许此帧发送出去,直接丢弃;有些设置过的交换机一旦收到不一致的帧,那么会将此端口关闭,需要管理员才能打开。那么坏蛋此时如果发送伪造ARP报文,交换机识别到ARP报文中的IP和MAC地址不是你的,就会扼杀此帧。

    image-20211102211920281
  • 原理2:如果现在坏蛋拔了网线,换了另外一个接口接上去,那么最开始坏蛋连接的端口上的动态ARP绑定会消息。而现在坏蛋接入的端口会做与原理1同样的事情,有会绑定坏蛋分配的IP和MAC地址在此端口上

  • 原理3:假如现在坏蛋换了一个接口接入,并且发送的第一个帧不是与HDCP相关的,而是自己伪造的一个ARP报文封装的帧,当中包含伪造的MAC和IP,那么交换机的端口也会将伪造的MAC和IP动态绑定到此端口,那么如果现在坏蛋想正常上网或与其他人通信,交换机会认为原来伪造的MAC和IP才是你真正的信息,那么此时坏蛋就无法上网和通信了,会自食其果。

  • 总结:既可以购买支持动态ARP绑定的交换机;还可以在交换机上做静态ARP绑定,将每一个用户的IP地址和MAC地址和连接的端口号绑定

3.ARP相关命令

以下为思科网络设备的ARP绑定的命令,不同厂家不同,需要查看手册

1)网络设备做静态绑定
Router(config)#arp 10.0.0.95 0013.240a.b219 arpa f0/0          #先进入全局配置模式
Switch(config)#arp 10.0.0.12 90fb.a695.4445 arpa f0/2
Switch(config)#arp 10.0.0.178 001a.e2df.0741 arpa f0/1
2)交换机开启动态ARP绑定
conf t
ip dhcp snooping       #如果交换机支持此功能,输入命令才可以开启
3)批量操作
conf t
int range f0/1 - 48   #表示进入从0模块的1端口到48端口的组
输入相关命令即可
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值