众所周知,ARP欺骗已经是局域网中最令人头疼的一种攻击手段了,可以在一瞬间让整个网络中的所有计算机从Internet上面断开,也可以轻而易举地让Windows 98计算机出现持续的“IP地址冲突”,导致宕机,更有甚者,如果结合Sniffer软件还能够获取局域网中任何一台主机上网时的邮箱密码。
尽管ARP欺骗的危害巨大,但相应的防范措施却并不多,常见的方法一般也就是“VLAN划分”和“MAC地址绑定”两种。“VLAN划分”是将一个大网络划分成若干个小网络,由于ARP不能跨路由攻击,所以这样可以降低ARP欺骗的危害性,但它并不能阻止同一个网段内ARP欺骗的产生。“MAC地址绑定”理论上说的确可以在一定程度上降低ARP欺骗的危害,但实践中的效果却微乎其微,几乎没有几个网管员采用这种方法,因为除了巨大的工作量令网络管理员难以招架外,从网络管理的角度来看,这种方法也极为不科学,大有“高射炮打蚊子”之嫌。
本文中,笔者将和大家共同探讨另外一种管理办法——用SNMP网络管理来对付ARP欺骗,只要轻点一下手中的鼠标,我们就能够查到ARP攻击的源头,并将其踢出局域网,还大家一个清静且安全的网络环境。
为了能够更好说明整个追踪过程,笔者特意构建了一个小型局域网,其拓扑结构如图1所示。 
图1
笔者会从这个拓扑图上采集实验数据,向大家详细介绍如何追踪位于交换机2上面的攻击者的真实IP地址,大家可以对照着这个拓扑图来阅读本文。
追踪原理
本文介绍了一种通过SNMP网络管理来追踪和应对ARP欺骗的方法,包括理解ARP欺骗的工作原理,如何在Cisco交换机上查看MAC地址与端口的关系,以及识别恶意数据流的特征,以定位攻击源头并采取相应措施。
最低0.47元/天 解锁文章
扫一扫
117
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
