一、ARP防御
两种解决方法:
①保证电脑不接收欺骗包。
②保证电脑收到欺骗包之后不相信。
防御图:
①当黑客发起ARP欺骗包时,会途径局域网里面的交换机或无线路由器等网络设备。
②如果网络设备能够识别这种欺骗包,并且提前丢弃掉,则电脑/手机端就不会被欺骗。
③如果网络设备没有拦截这种欺骗包,则电脑/手机端需要做安全防御,然后再丢弃。
二、DAI(Dynamic ARP Inspection)动态ARP检测
①交换机记录每个接口对应的IP地址和MAC,即port←→mac←→ip,生成DAI检测表。
②交换机检测每个接口发送过来的ARP回应包,根据DAI表判断是否违规,若违规则丢弃此数据包并对接口进行惩罚。(不同设备的惩罚方式有所不同,可以直接将接口“软关闭”,直接将攻击者断网;也可以“静默处理”,仅丢弃欺骗包,其他通信正常)
DAI检测表如何生成?
在上面图解中,我们看到交换机查看的表已经不是原来的CAM表了,内容也不太一样CAM表的内容主要是MAC和Port的映射,而DAI检测表则是Port、MAC、IP三个信息映射。目前这张表支持两种方式来生成:
第一种方式就是手工静态绑定:即用户接入网络之后,管理员根据此用户电脑的MAC和IP地址,然后在接口上绑死,缺点就是用户数太多的话,手工绑定管不过来;
第二种方式就是目前最主流的做法,即在交换机上开启DHCP侦听技术,当用户第一次通过DHCP获取到地址的时候,交换机就把用户电脑的IP、MAC、Port信息记录在DHCP侦听表,后面ARP检测直接调用这张DHCP侦听表即可。
ARP防火墙一般有以下功能:
①绑定正确的IP和MAC映射,收到攻击包时不被欺骗。
②能够根据网络数据包特征,自动识别局域网存在的ARP扫描和欺骗行为,并做出攻击判断(哪个主机做了攻击,IP和MAC是多少)
三、ARP双向绑定
PC1和PC2通信双方都静态绑定对方的IP和MAC映射,即便收到ARP欺骗包,由于静态绑定的ARP映射条目优先级高于动态学习到的,所以可以保证不被欺骗。这种做法非常“绿色无污染”,因为不需要额外的软件安装,但是缺点也非常明显,例如普通用户不知道如何在电脑上做ARP静态绑定,另外工作量也比较大,每个主机和网关设备都需要绑定整个局域网的ARP静态映射。
Windows arp静态绑定方法:
①进入命令行cmd界面
②[arp -s ip地址 mac地址],例如:arp -s 192.168.1.1 00-11-22-a1-c6-09
注:家用无线路由器若要进行ARP绑定,则需要通过Web登录并进行图形操作
小结:用户端的ARP防御方法,要么安装ARP防火墙,要么做ARP双向绑定。
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
