简介:网络管理员维护阶段需要处理各种各样的故障,出现最多的故障就是网络通信出现的问题。除物理原因外,出现这种现象一般是由ARP攻击或ARP欺骗导致的。
无论是ARP攻击还是ARP欺骗都是通过伪造ARP应答来实现的。
arp攻击原理与arp欺骗的原理
-
arp攻击的原理
一般情况,arp攻击得到主要目的是使网络无法正常通信,主要包括一下两种行为。
1.攻击主机制造假的arp应答,并发送给局域网中除被攻击之外的所有主机。arp应答中包含被 攻击主机的IP地址和虚假的MAC地址。
2.攻击主机制造假的arp应答,并发送给被攻击的主机,arp应答中包含除被攻击攻击主机之外的所有主机的IP地址和虚假的MAC地址。
3.只要执行上诉arp攻击行为中的一种就可以实现被攻击主机和其他主机无法通信.
例如:如果希望被攻击主机无法访问互联网,就需要对网关发送或被攻击主机发送虚假的arp应答。当网关接受到虚假的ARP应答跟新ARP条目后,如果网关再发送数据给pcl时,就会发送到虚假的MAC地址导致通信故障。
4.某些arp病毒会向局域网中的所有主机发送ARP应答,其中包含网关IP地址和虚假的MAC地址。局域网中的主机收到ARP应答跟新ARP表后,就无法和网关正常通信,导致无法访问互联网。
-
ARP欺骗的原理
1.一般情况下,ARP欺骗并不是使网络无法正常通信,而是通过冒充网关或其他主机使得到达网关或主机的流量通过攻击进行转发。通过转发流量可以对流量进行控制和查看,从而控制流量或得到机密信息。
2.ARP欺骗发送arp应答给局域网中其他的主机,其中包含网关的IP地址和进行ARP欺骗的主机MAC地址;并且也发送了ARP应答给网关,其中包含局域网中所有主机的IP地址和进行arp欺骗的主机MAC地址。当局域网中主机和网关收到ARP应答跟新ARP表后,主机和网关之间的流量就需要通过攻击主机进行转发。冒充主机的过程和冒充网关相同。
处理ARP故障/解决ARP故障的方法有两种
-
第一种解决方法
处理ARP欺骗攻击最一般的方法就是IP-MAC绑定,可以在客户端主机和网关路由器上双向绑定IP-MAC来避免ARP欺骗导致无法上网。
1、在主机上绑定网关路由器的IP和MAC地址,可以通过“arp -S”命令实现。
2、在网关路由器上绑定主机的IP地址和MAN地址,可以通过如下命令实现。
如果要查看配置结果,可以通过命令“show ip arp”来实现。
3、这时候网络中如果有ARP病毒发作,或者是用户使用类似网络管理等软件便无法欺骗局域网中的主机了。另外,大部分ARP病毒或类似的欺骗软件都是使用假的IP和MAC发送欺骗报文,所以,可在交换急上配置IP-MAC-Prot的绑定,是交换机丢弃这些欺骗报文,从而防止其全网泛洪,如下图所以:
此时,假设主机B继续使用假的IP、MAC发送欺骗报文,交换机将检测到在f0/3收到与之不匹配的数据报文,并将其立刻丢掉。
这种方法的缺点在于:如果网络中的节点数很多,在路由器和交换机上的配置量便会随之增多;而且网络中如果采用DHCP动态分配IP地址,一旦主机(尤其是一些笔记本用户)的IP地址发生变化,将直接导致该主机无法访问网络。
-
第二种解决方法
1、使用ARP防火墙,自动抵御ARP欺骗和ARP攻击。
2、在主机上开启ARP防火墙,防火墙的主界面显示统计数据,包括:ARP协议收发数据包的统计、拦截ARP攻击的统计、自动绑定IP/MAC地址,网关等。
-
ps:本文转载自http://jingyan.baidu.com/article/fea4511a7a2020f7bb91252a.html
2876
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
