day14、4 - ARP攻击防御

最新推荐文章于 2024-07-11 13:49:50 发布
最新推荐文章于 2024-07-11 13:49:50 发布
阅读量1.5k 收藏 11
点赞数 3
分类专栏: web安全基础 文章标签: 网络 网络协议 tcp/ip web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Edimade/article/details/124695053
版权
本文介绍了如何防止ARP攻击,包括静态ARP绑定的原理与应用、ARP防火墙的优缺点及使用场景,以及硬件级ARP防御的详细解释。重点讲解了动态ARP绑定技术在交换机中的实现,为企业网络提供了全面的防护措施。
摘要由CSDN通过智能技术生成

一、ARP攻击的防御

1.易于被ARP攻击的原因

  • 我们的主机在默认情况下是没有防御ARP攻击的能力的,原因在于PC在收到ARP报文后(无论单播或广播)都会学习在自己的ARP缓存中,且没有验证机制,无法分辨真假
  • 在公司中一定要解决好ARP攻击的防御,下面介绍几种方法

2.常见的几种防御方法

1)静态ARP绑定

  • 缺点:工作量大,且无法长期有效–关机再开机就会消失

  • 原理:前面的ARP原理为,当PC发送ARP广播请求,接着收到对方发来的ARP单播应答后会动态的形成ARP缓存。如果此时在PC上人工输入命令,静态绑定ARP缓存中对方的MAC地址,那么再有黑客发来伪造的ARP单播应答也无效了(也不是觉得,几乎可以避免);但是光在自己的PC上静态绑定还远远不够,还需要在通信的对象主机上也做静态ARP绑定,不然黑客骗不了你,但是可以伪造你的MAC地址发送给你通信的对象,对方就无法与你通信了。

    总结:手工绑定/双向绑定

  • 命令:在windows客户机上输入arp -s 10.1.1.254 00-01-2c-a0-e1-09

  • 使用场景:如果公司中有固定IP和不会轻易关机的服务器之间需要通信,则可以在这些服务器上对所有的需要通信的服务器做静态ARP绑定

2)ARP防火墙
  • 缺点:增加网络的负担
  • 原理:只要在用户机上开启了ARP防火墙(比如360安全卫士上就有这项功能,但默认关闭),那么会根据你的设置自动的绑定静态ARP,只要开启每次开机就不用你手动去绑定,ARP防火墙自动就帮你做了。但是刚说了绑定的原则是双向绑定,比如现在要跟网关通信实现上网,网关无法开启ARP防火墙,所以黑客可以不断的向网关发送虚假的ARP单播应答,而ARP防火墙也会不断的向网关发送真正的ARP单播应答,且高级的防火墙会根据黑客的发送频率自动提升自己发送频率。所以这会增加网关的负担,很不推荐使用
  • 使用场景:在公司中一般都禁止使用,在家庭的小型网络中可以使用
3)硬件级ARP防御

  • 特点:花钱,但是可以直接将ARP攻击按死在摇篮中,推荐公司使用

  • 原理1:需要花钱购买支持端口可以动态ARP绑定的企业级交换机,且可以配合DHCP服务器。举例说明:现在公司内的几个员工连接到同一个交换机上,交换机又连接这DHCP服务器,DHCP服务器为同一个局域网下的员工提供IP地址子网掩码等相关信息。此时假如有一个坏蛋的主机,MAC地址为AA,连接到交换机的某个端口,那么插上的时候由于坏蛋的主机自动获取IP,所以会发送DHCP-Discovery广播包给DHCP服务器,而此包通过交换机时,连接的那个端口就会记录下来坏蛋的MAC地址AA。然后再将包发给DHCP服务器,DHCP收到后回复一个DHCP-Offer广播包,经过交换机时,交换机虽然是二层设备,但是由于添加了可以识别DHCP提供的IP的功能,所以将Offer包中的IP先获取到,然后再转发给坏蛋的PC,PC收到后又会发送DHCP-request包给DHCP服务器,DHCP收到后会回复ACK广播包(即确定下来坏蛋就使用这个IP,并同时发送给坏蛋配套的子网掩码,租期等相关的信息),那么交换机一旦收到DHCP服务器发来的ACK包,则会将坏蛋分配到的IP和MAC地址AA记录下来绑定到坏蛋接入的端口。此过程叫动态ARP绑定。那么以后如果坏蛋发送正常的帧出去,交换机虽然是二层设备,但是通过技术不光可以识别MAC也可以识别到帧的源IP地址,如果与记录的不一致,则不允许此帧发送出去,直接丢弃;有些设置过的交换机一旦收到不一致的帧,那么会将此端口关闭,需要管理员才能打开。那么坏蛋此时如果发送伪造ARP报文,交换机识别到ARP报文中的IP和MAC地址不是你的,就会扼杀此帧。

    image-20211102211920281

  • 原理2:如果现在坏蛋拔了网线,换了另外一个接口接上去,那么最开始坏蛋连接的端口上的动态ARP绑定会消息。而现在坏蛋接入的端口会做与原理1同样的事情,有会绑定坏蛋分配的IP和MAC地址在此端口上

  • 原理3:假如现在坏蛋换了一个接口接入,并且发送的第一个帧不是与HDCP相关的,而是自己伪造的一个ARP报文封装的帧,当中包含伪造的MAC和IP,那么交换机的端口也会将伪造的MAC和IP动态绑定到此端口,那么如果现在坏蛋想正常上网或与其他人通信,交换机会认为原来伪造的MAC和IP才是你真正的信息,那么此时坏蛋就无法上网和通信了,会自食其果。

  • 总结:既可以购买支持动态ARP绑定的交换机;还可以在交换机上做静态ARP绑定,将每一个用户的IP地址和MAC地址和连接的端口号绑定

3.ARP相关命令

以下为思科网络设备的ARP绑定的命令,不同厂家不同,需要查看手册

1)网络设备做静态绑定
Router(config)#arp 10.0.0.95 0013.240a.b219 arpa f0/0          #先进入全局配置模式

Switch(config)#arp 10.0.0.12 90fb.a695.4445 arpa f0/2
Switch(config)#arp 10.0.0.178 001a.e2df.0741 arpa f0/1
2)交换机开启动态ARP绑定
conf t
ip dhcp snooping       #如果交换机支持此功能,输入命令才可以开启
3)批量操作
conf t
int range f0/1 - 48   #表示进入从0模块的1端口到48端口的组
输入相关命令即可
EdimadeZhou
关注
专栏目录
ARP协议网络攻击防御
weixin_46884715的博客
11-03 1229
ARP协议: arp请求包发广播包,目的mac为ff:ff:ff:ff:ff:ff 网段中的所有主机收到该arp请求后,如果arp请求中的ip地址与本机ip地址一致,则回复arp应答包,目的mac为请求包中的源mac,以单播形式传输。 免费arp:发往自己ip地址的arp请求 作用:1)检测ip冲突 2)更新arp表项,如设备更改了mac地址,通知其他设备更新arparp攻防 漏洞根源:1)arp协议是无连接的 2)没有arp请求也可arp回复更新表项 一.arp泛洪攻击防御 泛洪攻击也叫拒绝服务攻击
2020-08-04 【计算机网络安全day14 1-4ARP协议分析与防护
m0_47214392的博客
08-04 209
【计算机网络安全day14 1-4ARP协议分析与防护 目录 ARP协议 广播与广播域 MAC地址广播 IP地址广播 APR地址概述 ARP相关命令 ARP欺骗原理 ARP原理演示 ARP攻击原理 ARP作用 原理 路由器工作原理 ARP攻击防御 广播与广播域概述 广播与广播域 —广播:将广播地址作为目的地址的数据帧 —广播域:网络中能接收到同一个广播节点的集合 MAC地址广播 —广播地址:FF-FF-FF-FF-FF-FF IP广播地址 ①255.
针对ARP攻击的基本防御
流云追风
10-21 891
        ARP攻击近年来非常流行,不断能造成局域网的上网掉线,而且厉害的还携带盗号木马,盗取用户的资料。。。针对这些可恶的ARP攻击比较常用的方法是:建立静态ARP表(即ARP绑定)     这是一很有效的方法,而且对系统影响不大。缺点是破坏了动态ARP协议。可以建立如下的文件。       IP1   08:00:20:ba:a1:f2       IP2   08:00:20
ARP欺骗攻击的7解决方案,我最推荐你用这
最新发布
07-11 1920
当设备收到ARP报文时,将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较,如果信息匹配,说明发送该 ARP 报文的用户是合法用户,允许此用户的 ARP 报文通过,否则就认为是攻击,丢弃该 ARP 报文。设备就认为该ARP报文是与网关地址冲突的ARP报文,设备将生成ARP攻击表项,并在后续一段时间内丢弃该接口收到的同 VLAN 以及同源 MAC 地址的 ARP报文,这样可以防止与网关地址冲突的ARP报文在VLAN内广播。对于 ARP 请求报文,只检查源 IP 地址。
ARP渗透与攻防(八)之ARP攻击防御
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
01-27 3223
ARP攻击的原理是向网关和靶机不停的发送ARP欺骗报文,我们的计算机或者网关就会实时更新ARP缓存表,从而出现安全漏洞。假如对这欺骗报文的处理是不相信或者不接受的话,就不会出现问题了。处理这的欺骗的行为我们没办法提前在攻击端进行操作,因为敌人躲在暗处,而我们处明处。针对这情况我们可以从以下两方面入手:1.让我们的电脑不接收欺骗包2.即使接收到欺骗的包也不要相信目前网络安全行业现有的ARP防御方案,基本都是基于上面两个方法实现的。
经典的ARP***和防护原理(转)
weixin_33935505的博客
02-22 107
1. ARP概念 咱们谈ARP之前,还是先要知道ARP的概念和工作原理,理解了原理知识,才能更好去面对和分析处理问题。 1.1 ARP概念知识 ARP,全称Address Resolution Protocol,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。 IP数据包常通过以太网发送,以太网设备并不识别32位IP地址,它们是以48位以太...
ARP攻击原理简析及防御措施
weixin_30736301的博客
04-28 473
0x1简介 网络欺骗攻击作为一非常专业化的攻击手段,给网络安全管理者,带来严峻的考验。网络安全的战场已经从互联网蔓延到用户内部的网络, 特别是局域网。目前利用ARP欺骗的木马病毒在局域网中广泛传播,导致网络随机掉线甚至整体瘫痪,通讯被窃听,信息被篡改等严重后果。 0x2ARP协议概述 ARP协议(addressresolutionprotocol)地址解析协议 一台主机和...
猿创征文|HCIE-Security Day51:单包攻击防范与应用(附场景和配置)
小梁的博客
09-03 1214
通过向目标系统发送有缺陷的ip报文,使得目标系统在处理这样的IP报文时发生错误,或者造成系统崩溃,影响目标系统的正常运行,主要的畸形报文攻击有ping of death,teardrop等。
田靖宇-day191
08-04
【田靖宇-day191】笔记主要涵盖了信息安全实训中的一些关键知识点,特别是与Web服务器安全和权限提升相关的技巧。以下是对这些知识点的详细说明: 1. **一句话木马**:在描述中提到的`("caidao")%>`是一个典型的一...
信安学习---day21-25
ekko_jay的博客
11-23 1389
网络安全
猿创征文|HCIE-Security Day53:Anti-DDoS设备简单谈
小梁的博客
09-07 2675
华为Anti-DDoS方案包括三大组件:检测中心、清洗中心和管理中心(ATIC)。我们可以将他们形象地比喻成侦察机、战斗机和指挥部。检测中心是方案中的“侦察机”,主要负责对流量进行检测,发现流量异常后上报管理中心,由管理中心下发引流策略至清洗中心,指挥清洗中心进行引流清洗。清洗中心是方案中的“战斗机”,主要负责根据管理中心下发的策略进行引流、并对流量进行清洗(过滤),并把清洗后的正常流量回注,同时将这些动作记录在日志中上报管理中心。管理中心(ATIC)是方案中的“指挥部”,负责检测中心和清洗中心的统一管理和
ARP欺骗防御工具arpon
12-22 289
ARP欺骗防御工具arpon ARP欺骗是局域网最为常见的中人间攻击实施方式。Kali Linux提供一款专用防御工具arpon。该工具提供三防御方式,如静态ARP防御SARPI、动态ARP防御...
ARP 防御措施
kuaizai__的博客
10-20 2488
ARP 防御措施 arp没有认证机制,围绕信任名单来做防御机制 主机: 通过人工添加静态表项 : PC> arp -s 192.168.206.14 54-89-98-C2-65-B0 通过软件来检测arp表项构建信任arp表,把非信任arp信息或者异常arp包丢弃 交换机的arp防御技术: [Huawei]arp speed-limit source-ip 192.168.206.11 maximum 10 //限制源ip发送arp包的量 ​ [Hua
ARP攻击与防护
流云追风
10-21 1093
        最近在论坛上经常看到关于ARP病毒的问题,于是在Google上搜索ARP关键字!结果出来N多关于这类问题的讨论。想再学习ARP下相关知识,所以对目前网络中常见的ARP问题进行了一个总结。现在将其贴出来,希望和大家一起讨论!一、ARP概念咱们谈ARP之前,还是先要知道ARP的概念和工作原理,理解了原理知识,才能更好去面对和分析处理问题。1.1ARP概念知识ARP,全称Addres
防御ARP攻击ARP欺骗并查找攻击主机
2301_79294878的博客
08-07 4295
网络管理员在网络维护阶段需要处理各各样的故障,出现最多的就是网络通信故障。除物理原因外,这现象一般是ARP攻击ARP欺骗导致的。
如何防止Arp攻击
weixin_34358092的博客
12-20 360
首先需要查找网关的IP和MAC地址。   查看的方法很多,最直接的在cmd里面执行arp -a。但这是被arp攻击之前,被攻击成功后,192.168.0.1对应的mac地址会变成攻击电脑的Mac地址。   还有另一个方法,登录路由器查看。在浏览器输入"192.168.0.1"(这里是个人的网关),然后输入帐号密码,登录进去。一般在这里都可以找到一个lan mac地址,这个就是。 其次将本机的...
arp攻击和防护
qq_36448110的博客
05-06 655
arp攻击 1.先清空arp缓存 2.ping 虚拟机(18.58),记录mac地址在宿主机(18.46)arp表 2.这里网关是192.168.18.1 使用虚拟机开启欺骗,同时打开抓包软件查看: 显示已经不能刷新网页: 查看宿主机arp表,显示网关已经被欺骗,欺骗成和虚拟机一样,(此时正常上网实际上是经过虚拟机去,如果做了转发,就相当于中间人欺骗) 3.打开虚拟机的抓包软件: 打开之前抓的包: 发现一直在向宿主机18.46发送arp响应包: 伪装成网关18.1,向宿主机18.46发送响
ARP攻击防御
qq_43910068的博客
03-08 280
ARP攻击防御: 1.静态ARP绑定 手工绑定/双向绑定 windows客户机上: arp -s 10.1.1.254 00-01-3b-a0-r1-09 arp -a 查看ARP缓存表 路由器上静态绑定: Router(config)#arp 10.0.0.95 0013.240a.b219 arpa f0/0 优点:配置简单 缺点:工作量大,维护量大 2.ARP防火墙 自动绑定静态ARP ...
day--和--day区别
04-18
"day--"和"day"是两不同的操作符,它们在编程中有着不同的含义和用法。 1. "day--"是一个后缀自减操作符,用于将变量的值减1,并返回减1之前的值。例如,如果有一个变量day的值为5,执行day--操作后,day的值将变为4,并且表达式的结果为5。这个操作符通常用于循环或迭代中,用于递减计数器或索引。 2. "day"是一个变量名或标识符,用于表示一个存储数据的位置。它可以是任何合法的变量名,用于存储某个特定类型的数据。例如,可以定义一个变量day来表示一周中的某一天。 总结起来,"day--"是一个操作符,用于递减变量的值;而"day"是一个变量名,用于表示存储数据的位置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值