ARP欺骗防御方案—arpon工具的部署与使用

0.文档介绍

Arp欺骗是一种网络安全攻击,攻击者通过篡改本地网络中的ARP(地址解析协议)表,将目标主机的IP地址映射到攻击者的MAC地址上,从而实现网络中间人攻击。文档介绍防御ARP欺骗的技术原理,以及开源工具arpon的部署与使用。

0.1 文档目的

本文档编写的目的在于保护本地网络免受ARP欺骗攻击,确保合法网络通信的连通性。

0.2 文档范围

防御arp欺骗的技术原理及arpon的部署与使用

0.3 读者对象

服务器配置人员,网络管理员

0.4项目地址

       ArpON :: ARP handler inspectionArpON 'ARP handler inspection' :: Documentationhttps://arpon.sourceforge.io

1.测试设备部署

被攻击方PC机两台,攻击方PC机一台

1.1测试环境搭建

硬件环境:PC机一台

软件环境:虚拟机软件:VMware Workstation 16 Pro 16.1.1

                  被攻击方PC机:Ubuntu 20.04.3

                  攻击方PC机:Kail 5.10.28

1.2测试物理组网拓扑

1.3操作系统和软件版本

操作系统:被攻击者:

         攻击者:Kail 5.10.28

        Arpon:3.0-ng

2.arpon防御技术及部署方法

2.1下载

sudo apt-get install arpon

2.2赋予程序自启动

sudo systemctl enable arpon

2.3启动程序

sudo systemctl start arpon

2.3查看程序状态

systemctl status arpon

2.4arpon语句参数解释

arpon -d,arpon --daemon 后台运行arpon

arpon -i ,arpon --interface 指定监听网络接口

arpon -S,arpon --sarpi 运行sarpi防欺骗技术

arpon -D,arpon --darpi 运行darpi防欺骗技术

arpon -H,arpon --harpi 运行harpi防欺骗技术

arpon -v,arpon --version 查看当前版本并退出

arpon -h,arpon --help 查看帮助并退出

2.5arpon防arp欺骗技术

sarpi

sarpi 反ARP欺骗技术仅针对于指定网络接口匹配的所有静态条目管理和设置ARP缓存中的策略,以避免通过ARP欺 骗、ARP缓存污染或ARP毒路由进行中间人(MITM)攻击

适用于在没有DHCP的静态配置网络中

sarpi提供以下策略:

clean:sarpi仅从ARP缓存中清除与指定网络接口匹配的所有条目,无论这些条目在配置文件中存在还是不存在

update:sarpi仅在ARP缓存中更新与指定网络接口匹配且在配置文件中存在的所有静态条目

refresh:sarpi仅在ARP缓存中刷新与指定网络接口匹配且在配置文件中存在的所有静态条目

allow:sarpi仅在ARP缓存中设置与指令网络接口匹配且在配置文件中不存在的动态条目

darpi

darpi 反ARP欺骗技术仅对于指定网络接口匹配的所有动态条目在ARP缓存中进行管理和设置策略,以避免通过ARP欺 骗,ARP缓存污染或ARP毒路由进行中间人(MITM)攻击

适用于配置了DHCP的网络中

darpi提供以下策略:

clean:仅从ARP缓存中清除与指定网络接口匹配的所有条目

allow:仅在ARP缓存中设置与指定网络接口匹配的动态条目

deny:仅从ARP缓存中清除与指定网络接口匹配的动态条目

harpi

harpi 反欺骗技术在ARP缓存中管理并设置策略,既适用于与指定网络接口匹配的所有静态条目,也适用于与指定网络 接口匹配的所有动态条目,以避免通过ARP欺骗、ARP缓存污染或ARP毒路由进行中间人(MITM)攻击

适用于同时使用DHCP和静态配置的网络中

harpi 提供以下策略:

clean:仅从ARP缓存中清除与指定网络接口匹配的所有条目,无论这些条目在配置文件中存在与否

update:仅在ARP缓存中更新与指定网络接口匹配且在配置文件中存在的所有静态条目

refresh:仅在ARP缓存中刷新与指定网络接口匹配且在配置文件中存在的静态条目

allow:仅在ARP缓存中设置与指定网络接口匹配且在配置文件中不存在的动态条目

deny:仅从ARP缓存中清除与指定网络接口匹配且在配置文件中不存在的动态条目

2.6配置文件

默认的配置文件在 /etc/arpon.conf

配置文件包含了ArpON的配置数据,并在运行SARPI或HARPI反ARP欺骗技术时使用,用于在ARP缓存中对与指定网络接口匹配的所 有静态条目进行规定(或者对于同时运行多个ArpON守护程序针对不同网络接口进行匹配的情况)

2.7日志文件

默认的日志文件在 /etc/arpon.conf 日志文件包含arpon的日志数据。如果有多个arpon守护进程同时为不同的网络接口运行,则包含arpon所有守护进程的日志数据

2.8配置演示

①当局域网中只有静态IP时,使用sarpi策略

我们的服务器有三条ARP缓存的静态条目

打开配置文件:vim /etc/arpon.conf

开启命令:

sudo arpon -d -i ens33 -S

读取日志文件:

vim /var/log/arpon.log

读取pid文件:

vim /var/run/arpon.pid

②当局域网中只有动态IP时,使用darpi策略

开启命令:

sudo arpon -d -i ens33 -D

读取日志文件:

sudo vim /var/log/arpon.log

读取pid文件:

vim /var/run/arpon.pid

③当局域网中混合使用DHCP和静态IP时,使用harpi策略

我们的服务器有两条ARP缓存的静态条目

  

把这两条静态ARP缓存条目添加到配置文件中:vim /etc/arpon.conf

开启命令:

sudo arpon -d -i eth1 -H

读取日志文件:

sudo vim /var/log/arpon.log

读取pid文件:

vim /var/run/arpon.pid

3.单元测试

本测试中,IP地址配置采用DHCP+静态IP策略

3.1被攻击方配置展示

 此时还能正常上网:

 3.2arp欺骗攻击过程

攻击方发起攻击:

 被攻击方此时不能正常上网:

 3.3arp欺骗防御过程

被攻击方开启arpon服务:

 被攻击方使用harpi策略:

 攻击方发起攻击:

被攻击方此时可以正常上网:

通过查看arpon状态,可以看到检测到了arp欺骗攻击

  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值