一、ARP攻击欺骗
1、ARP单项欺骗 (断网打击)
攻击方可以不停的发送一个伪装报文,不停的让被攻击方学习一个或多个条目:网关IP或通信目标IP对应一个虚假的不存在的MAC地址的条目。
这样一来报文在封装成帧时,会在帧头填写一个错误的MAC地址,导致帧无法送达。
缺点:不会对攻击方带来实质好处;需要不停发送报文。
2、ARP双向欺骗 (窃密)
攻击方将自己MAC地址与其他人的IP封装成虚假的ARP报文,使被攻击方不停学习伪装条目,当被攻击方与伪装目标通信时,数据会送达攻击方,攻击方再将数据转发给伪装目标,即可实现双方正常通信情况下窃取通信数据。
缺点:由于使用了一个真实的MAC,且在被攻击方的ARP缓存中会生成“不同IP-相同MAC”的条目,极其容易被物理制止;需要不停发送报文。
遭受ARP攻击并非完全没有感觉,会出现网速变慢、丢包率略微升高的现象。
由于ARP协议的特性,所以攻击方一定位于局域网内部,可以及时进行物理打击。
二、如何防御ARP攻击
1、ARP静态绑定
ü PC端命令
ü cisco路由器命令
缺点:贼麻烦!工作量太大!建议用在公司的的主要服务器上!
2、安装ARP防火墙
缺点:会增加网络负担!成功率并不是100%!除非已经遭受了ARP攻击,开启,否则关闭!
3、交换机上启用DAI技术
ü DAI技术
目前在企业级的交换机都有支持!可以将ARP攻击消灭在源头!
ü D
D,即DHCP。当客户机自动获取IP地址时,交换机上由于开启了D服务,ACK报文发送至客户机时,端口记录了客户机PC1的IP地址及对应MAC地址,即生成DHCP记录表。如其IP为192.168.1.4,MAC地址为00-05-vd-3d-3e-2c。
ü AI
AI,即ARP检测侦察技术,依赖于DHCP记录表。当客户机PC1欲发送虚假ARP报文时,如:192.168.1.254 ;00-05-vd-3d-3e-2c。此时,到达交换机端口处核查发现信息有误,自动丢弃。
4、ARP协议属于内网协议
ARP协议只能存在与内网(局域网),只要被ARP攻击了,嫌疑人一定在内网。