ARP欺骗攻击的7种解决方案,我最推荐你用这种

已于 2024-07-11 13:55:24 修改
阅读量4.2k 收藏 17
点赞数 14
文章标签: 网络 华为 网络工程师 华为认证 php web安全 安全
于 2024-07-11 13:49:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/spoto2021/article/details/140349997
版权

号主:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部

下午好,我的网工朋友。

ARP欺骗是一种常见攻击方式,常常发生在局域网之内,产生的危害比较大,可以导致被攻击者流量丢失、中间人攻击、连接不上互联网甚至会被网络监听。

在局域网中,网络以“帧”的形式传输数据。

一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址,目标主机的MAC地址应当包含在数据帧中。

显然在双方通信之初,发送方是无法知道目标MAC地址的,它的获得就是通过地址解析这个过程。
所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
b3061f989c6e34175c23a0fbc21110bf.jpeg在Wireshark中ARP协议细节
总得来说,这种攻击不仅威胁着企业和组织的网络安全,也对个人用户的隐私构成了极大的风险。
所以了解并实施有效的解决方案至关重要。
今天就和你探讨一番,聊聊ARP欺骗攻击的7种解决方案,帮助你保护网络。

今日文章阅读福利:《 网络安全实验——arp欺骗 》

c3abdddf2be25f23e4f7c9908c5d08a9.jpeg

如果你还想补充arp欺骗的相关知识,那么这份实验手册就很适合你,从具体案例切入,帮助你进一步学习。

私信我,发送暗号“arp”,即可获取此份优质资源。

01 ARP表项固化

如图 1 所示, Attacker 仿冒 UserA 向 Gateway 发送伪造的 ARP报文,导致Gateway的ARP表中记录了错误的UserA地址映射关系,造成 UserA 接收不到正常的数据报文。
7ab97f2b1bac6ee413e0c5d72a49562a.png
为了防御这种欺骗网关攻击,可以在网关设备上部署 ARP 表项固化功能。网关设备在第一次学习到 ARP 以后,不再允许用户更新此 ARP 表项或只能更新此 ARP 表项的部分信息,或者通过发送单播 ARP 请求报文的方式对更新 ARP 条目的报文进行合法性确认。


设备提供的三种 ARP 表项固化模式:

01 fixed-all 模式:
如果设备收到的 ARP 报文中的 MAC 地址、接口或 VLAN 信息和 ARP 表中的信息不匹配,则直接丢弃该 ARP 报文。此模式适用于用户 MAC 地址固定,并且用户接入位置相对固定的场景。


02 fixed-mac 模式:
如果设备收到的 ARP 报文中的 MAC地址与ARP表中对应条目的MAC地址不匹配,则直接丢弃该ARP报文;如果匹配,但是收到报文的接口或 VLAN信息与ARP表中对应条目不匹配,则可以更新对应ARP条目中的接口和VLAN信息。此模式适用于用户MAC地址固定,但用户接入位置频繁变动的场景。


03 send-ack 模式:
如果设备收到的 ARP 报文 A 涉及 ARP 表项 MAC 地址、接口或 VLAN 信息的修改,设备不会立即更新 ARP 表项,而是先向待更新的 ARP 表项现有 MAC 地址对应的用户发送一个单播的ARP 请求报文进行确认。
如果在随后的 3 秒内设备收到 ARP 应答报文 B,且当前ARP条目中的IP地址、MAC地址、接口和VLAN信息与ARP应答报文B的一致,则认为 ARP 报文 A 为攻击报文,不更新该 ARP 条目。
如果在随后的 3 秒内设备未收到 ARP 应答报文,或者收到 ARP 应答报文 B 与当前 ARP条目中的 IP 地址、 MAC 地址、接口和 VLAN 信息不一致,设备会再向刚才收到的 ARP报文 A 对应的源 MAC 发送一个单播 ARP 请求报文。


· 如果在随后的 3 秒内收到 ARP 应答报文 C,且 ARP 报文 A 与 ARP 应答报文 C 的源IP 地址、源 MAC地址、接口和VLAN信息一致, 则认为现有 ARP 条目已经无效且ARP 报文 A 是可以更新该 ARP 条目的合法报文,并根据 ARP 报文 A 来更新该 ARP条目。


· 如果在随后的 3 秒内未收到 ARP 应答报文,或者 ARP 报文 A 与收到的 ARP 应答报文 C 的源 IP 地址、源 MAC地址、接口和VLAN 信息不一致,则认为ARP报文A为攻击报文,设备会忽略收到的ARP报文A,ARP条目不会更新。
此模式适用于用户的MAC地址和接入位置均频繁变动的场景。
 

02 动态 ARP 检测

网络中针对 ARP 的攻击层出不穷,中间人攻击是常见的 ARP 欺骗攻击方式之一。
 

0f41f37c625425c7175173c8c5cbc552.jpeg
图2:中间人攻击


 

如图2所示,是中间人攻击的一个场景。攻击者主动向 UserA 发送伪造 UserB 的 ARP 报文,导致 UserA的ARP表中记录了错误的UserB 地址映射关系,攻击者可以轻易获取到 UserA原本要发往 UserB 的数据;同样,攻击者也可以轻易获取到 UserB 原本要发往 UserA 的数据。这样, UserA 与 UserB 间的信息安全无法得到保障。
为了防御中间人攻击,可以在 Switch 上部署动态 ARP 检测 DAI(Dynamic ARP Inspection)功能。

动态ARP检测是利用绑定表来防御中间人攻击的。当设备收到ARP报文时,将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较,如果信息匹配,说明发送该 ARP 报文的用户是合法用户,允许此用户的 ARP 报文通过,否则就认为是攻击,丢弃该 ARP 报文。


注:动态 ARP 检测功能仅适用于DHCP Snooping场景。设备使能 DHCP Snooping 功能后,当DHCP 用户上线时,设备会自动生成 DHCP Snooping绑定表;对于静态配置IP地址的用户,设备不会生成DHCPSnooping绑定表,所以需要手动添加静态绑定表。


当Switch上部署动态 ARP检测功能后,如果攻击者连接到Switch并试图发送伪造的ARP报文,Switch会根据绑定表检测到这种攻击行为,对该ARP报文进行丢弃处理。
如果Switch上同时使能了动态ARP检测丢弃报文告警功能,则当ARP报文因不匹配绑定表而被丢弃的数量超过了告警阈值时,Switch会发出告警通知管理员。

03 ARP 防网关冲突

如图3所示,用户主机直接接入网关,Attacker将伪造网关的ARP报文发送给UserA和UserB,使UserA和UserB误以为攻击者即为网关。UserA和UserB的ARP表中会记录错误的网关地址映射关系,这样就会把发往网关的流量均发送给了攻击者,攻击者可轻易窃听到UserA和UserB发送的数据内容。
 

c0324f1ef064c3059d4569e3d48f7c8c.jpeg
图3:ARP网关冲突


为了防范攻击者仿冒网关,可以在网关设备上使能 ARP 防网关冲突功能。当设备收到的 ARP报文存在下列情况之一:


· ARP 报文的源 IP 地址与报文入接口对应的 VLANIF 接口的 IP 地址相同


· ARP 报文的源 IP 地址是入接口的虚拟 IP 地址,但 ARP 报文源 MAC 地址不是VRRP虚MAC。


设备就认为该ARP报文是与网关地址冲突的ARP报文,设备将生成ARP防攻击表项,并在后续一段时间内丢弃该接口收到的同 VLAN 以及同源 MAC 地址的 ARP报文,这样可以防止与网关地址冲突的ARP报文在VLAN内广播。

此时,还可以在设备上使能发送免费 ARP 报文功能,通过广播发送正确的免费 ARP 报文到所有用户,迅速将已经被攻击的用户记录的错误网关地址映射关系修改正确。
注:一个 VRRP 备份组,被当作一个共享局域网内主机的缺省网关,即虚拟交换机。一个虚拟交换机拥有一个 VRRP 虚 MAC, VRRP 虚 MAC根据虚拟交换机ID生成,格式为:00-00-5E-00-01-{VRID}(VRRP)。当虚拟交换机回应ARP请求时,使用的是VRRP虚MAC地址,而不是接口的真实MAC地址。

04 发送免费 ARP 报文

如图4所示,Attacker仿冒网关向UserA发送了伪造的ARP报文,导致UserA的ARP表中记录了错误的网关地址映射关系,从而正常的数据不能被网关接收。
为了避免上述危害,可以在网关设备上部署发送免费ARP报文功能,定期更新用户的ARP表项,使得用户ARP表项中记录的是正确的网关 MAC 地址。

c6f1ab14ca636b71741f7d80a012e380.jpeg
图4:仿冒网关攻击

05 ARP 报文内 MAC 地址一致性检查

ARP 报文内 MAC 地址一致性检查功能主要应用于网关设备上,可以防御以太网数据帧首部中的源/目的 MAC 地址和 ARP报文中的源/目的 MAC 地址不同的 ARP 攻击。
部署本功能后,网关设备在进行 ARP 学习前将对 ARP报文进行检查。如果以太网数据帧首部中的源/目的MAC 地址和 ARP 报文中的源/目的 MAC 地址不同,则认为是攻击报文,将其丢弃;否则,继续进行 ARP 学习。

06 ARP 报文合法性检查

ARP 报文合法性检查功能可以部署在接入设备或网关设备上,用来对MAC地址和IP地址不合法的报文进行过滤。设备支持以下三种可以任意组合的检查。

01 源 MAC 地址检查:
设备会检查 ARP 报文中的源 MAC 地址和以太网数据帧首部中的源 MAC 地址是否一致,一致则认为合法,否则丢弃报文;


02 目的 MAC 地址检查:
设备会检查 ARP 应答报文中的目的 MAC 地址是否和以太网数据帧首部中的目的 MAC 地址一致,一致则认为合法,否则丢弃报文;


03 IP 地址检查:
设备会检查 ARP 报文中的源 IP 和目的 IP 地址,全 0、全 1、或者组播IP地址都是不合法的需要丢弃。对于ARP应答报文,源IP和目的 IP 地址都进行检查;对于 ARP 请求报文,只检查源 IP 地址。

07 DHCP 触发 ARP 学习

在DHCP用户场景下,当DHCP用户数目很多时,设备进行大规模ARP表项的学习和老化会对设备性能和网络环境形成冲击。为了避免此问题,可以在网关设备上部署 DHCP 触发 ARP 学习功能。
当 DHCP 服务器给用户分配了 IP 地址,网关设备会根据 VLANIF 接口上收到的 DHCP ACK 报文直接生成该用户的ARP表项。该功能生效的前提是使能DHCPSnooping功能。网关设备上还可同时部署动态ARP检测功能,防止DHCP 用户的 ARP 表项被伪造的 ARP 报文恶意修改。

整理:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部

渗透测试实战之ARP欺骗攻击ARP断网攻击和流量转发)
z_s_s_f的博客
12-17 4893
抓取图片以及http、https协议的用户名和密码,使用arpspoof、sslstrip、driftnet和ettercap这四个工具他们的关系与执行顺序是什么样的。
ARP欺骗攻击
qq_40711741的博客
05-05 7104
什么是ARP欺骗攻击ARP协议:在以太网中,是用MAC地址来进行通讯的。所以要用 ARP 协议将 IP 地址解析成 MAC 地址。ARP 协议就是通过目的 IP 询问设备的 MAC 地址。局域网中的每一台设备都有一个 ARP 缓存表,表中存放 IP 和 MAC 地址的对应情况。过程如下:在一个以太网交换网络内,主机A希望能与主机B进行交流,所以主机A对整个网络进行广播,然后使用地址解析协议找到目标...
常见ARP攻击及其防护
m0_74273057的博客
09-18 2512
地址解析协议——ARP;是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。
ARP欺骗
最新发布
eidbsidbp的博客
03-24 503
ARP 协议的工作过程首先,每个主机都会有自己的 ARP 缓存区中建立一个 ARP 列表,以表示 IP 地址和 MAC 地址之间的对应关系。第二步:当源主机要发送数据时,首先检测 ARP 列表中是否对应 IP 地址的目的主机的 MAC 地址,如果有,则直接发送数据。
ARP欺骗病毒攻击
autofei的专栏
11-10 2441
  近一段时间以来,部分校园网用户受到一种名为ARP欺骗木马程序(病毒)的攻击ARP是“Address Resolution Protocol”“地址解析协议”的缩写),病毒发作时其症状表现为计算机网络连接正常,却无法打开网页;或由于ARP欺骗的木马程序(病毒)发作时发出大量的数据包,导致用户上网不稳定,网络时断时续,上网速度缓慢,极大地影响了用户的正常使用,给整个校园网安全带来了严重隐患。  
ARP攻击怎么解决安全
llllaaaaiiii0421的博客
03-08 1848
需要注意的是,ARP攻击的解决方法虽然可以缓解ARP攻击的影响,但并不能完全阻止ARP攻击的发生。因此,在网络中,还需要定期检查网络设备的安全性,更新软件补丁,加强安全措施等方式来保障网络安全。同时,网络管理员应该定期监控网络流量,以便及时发现和解决网络安全问题。ARP攻击是指攻击者通过伪造网络中的ARP协议数据包,欺骗其他计算机的网络通信,从而实现中间人攻击等目的。
ARP攻击解决方法笔记
以渔的博客
05-15 630
一.介绍ARP攻击的局限性 ARP攻击仅能在以太网(局域网如:机房、内网、公司网络等)进行。无法对外网(互联网、非本区域内的局域网)进行攻击ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击
ARP欺骗的解决办法
cldr88353的博客
07-01 450
关于近期影响网吧线路病毒的通告近段时间很多网吧反映频繁掉线,我公司多次检查,均排除网络故障引起。2月7日经过查处,确认目前引起网吧掉线的原因是病毒引起,该问题在全省均有发生,该病毒对主机代理和路由器代理的网吧均会造成影响。该病毒...
ARP欺骗攻击:现象、解决方案与防范策略
ARP攻击与故障排除知识主要关注局域网安全网络性能问题,特别是当网络遭受ARP欺骗攻击时的常见现象和解决策略。ARP欺骗是一种常见的网络攻击手段,攻击者通过伪造ARP响应,误导网络中的计算机将数据包发送到错误的...
普联路由器的ARP欺骗的解决方法
10-02
针对ARP欺骗,普联路由器提供了一种解决方案——MAC地址绑定。这是一种预防措施,通过将每台设备的IP地址与对应的MAC地址绑定,可以防止ARP欺骗的发生。以下是使用普联路由器进行MAC地址绑定的步骤: 1. 连接到...
局域网ARP欺骗防护与解决方案
"本文主要探讨如何解决和防范局域网内的ARP欺骗问题,提供了一些基本的概念解释和解决方案ARP欺骗是一种网络攻击手段,通过伪造ARP响应来操纵局域网内的IP到MAC地址映射,导致数据包被错误地转发,从而可能引发一...
趋势科技Anti-ARP解决方案从源头解决ARP攻击
03-04
趋势科技推出的Anti-ARP解决方案针对ARP攻击的源头进行了阻截,通过在攻击发生前过滤虚假的ARP响应包,避免了攻击的发生。该方案采用底层技术,通过中间层驱动对发出的ARP响应包进行监控和过滤,确保只有合法的ARP...
防范ARP欺骗攻击:策略与解决方案
1. 网关冒充攻击:这是常见的ARP欺骗形式,攻击者向网络中的其他设备发送伪造的ARP响应,声称自己是网关,从而使受害者的流量误导向攻击者。这样,攻击者就可以拦截或篡改受害者与网关之间的通信,导致网络连接...
关于ARP欺骗(百度百科)
jzqin的专栏
02-14 1196
 ARP欺骗  什么是ARP   ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(也就是相当于OSI的第三层)地址解析为数据链路层(也就是相当于OSI的第二层)的物理地址(注:此处物理地址并不一定指MAC地址)。   ARP原理:
arp断网攻击解决办法
beijing20120926的专栏
02-20 3136
局域网中有这个提示arp断网攻击是正常的,说明防火墙已经拦截了,是有人用P2P工具控制你的网速,或者是局域网有机器中病毒了也会有这样的提示,不过不用担心,今天给大家带来几个防止arp断网攻击的办法,希望能帮助到有需要的朋友。     ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接
linux apr防火墙,教你一招:解决linux下arp攻击的方法
weixin_34431283的博客
05-12 374
一般Windows用户可以使用antiArp防火墙,但是有些计算专业的朋友们由于工作或其他原因使用的是linux系统,那么linux下arp攻击怎么办呢?下面就是一位高手解决linux下arp攻击的方法,大家可以学习一下。高手用的是fedora core 6,先把几个镜像文件挂上,用关键字 arp 一搜,就搜到了arptables,和arpwatcher 首先是arpwatcher了,它好像只能监...
局域网arp攻击解决办法
飘的梦客厅
01-15 3402
 在局域网中,我们会设置网关,arp攻击就和网关有关,和网关的ip地址以及它的mac(物理地址)有关 ,中了arp病毒的机器会伪装成网关的ip地址,这时我们就不能获取正确的网关地址,也就不能正常上网了。我的解决方法是:1、在能上网的时候,打开命令行提示符,在其中输入:arp -a 回车,这时就能看到现在网关的ip和mac地址的对应,记下这条信息。2、在你受到arp攻击时,不能上网的
ARP欺骗的多种手法
2401_82985722的博客
10-15 1524
ARP (Address Resolution Protocol) 是一种网络层协议,用于将 IP 地址转换为物理地址(MAC地址)。在局域网中,每台设备都有唯一的 MAC 地址,而 IP 地址是可以重复分配的。因此,当一个设备需要发送数据到另一个设备时,它需要知道另一个设备的MAC 地址。ARP欺骗ARP spoofing),又称ARP毒化(ARP poisoning 网上多译为ARP病毒)或ARP攻击
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值