局域网内出现ARP攻击,用户闹翻天,网管疲于奔命的事,可能很多人了都遇见过。下面我就提供给大家一个完整的解决方案,从此远离ARP攻击。
ARP攻击远离拓扑
一、先介绍下ARP攻击的几种模式,我们才能有的放矢。
第一种 仿冒网关攻击
破坏主机假冒网关,很多局域网网关软件也是采用这种方式。
第二种 欺骗网关攻击
破坏主机发送假冒真实主机信息,使真实主机接收不到回包。
第三种 欺骗终端用户
第四种 mac洪泛攻击
在典型的MAC flooding中,攻击者能让目标网络中的交换机不断泛洪大量不同源MAC地址的数据包,导致交换机内存不足以存放正确的MAC地址和物理端口号相对应的关系表。如果攻击成功,交换机会进入failopen模式,所有新进入交换机的数据包会不经过交换机处理直接广播到所有的端口(类似HUB集线器的功能)。攻击者能进一步利用嗅探工具对网络内所有用户的信息进行捕获,从而能得到机密信息或者各种业务敏感信息。
根据上面的分析,大家可以看出所有攻击都涉及到二层MAC地址和三层的IP地址,因此检测和防护的依据都要从这些方面入手。
先说下检测的常见方法:
二、当局域网内出现ARP攻击了,基本4要素:
(一)所有客户机做IP与MAC地址静态绑定操作
不过这个操作只要电脑重启或者TCP/IP协议停用后就被删除。
解决重启后被删除办法可以写个bat脚本随机启动:
1、Win键+R,输入notepad回车,复制粘贴以下内容
windows XP系统方案:
arp -d
arp -s 192.168.2.1 2c-b2-1a-5f-87-2d :静态绑定网关的IP与MAC的对应关系
arp -s 192.168.2.100 d8-96-95-4e-ca-a5 :静态绑定本机IP与MAC的对应关系
Windows 7/ Windows 10系统方案:
netsh interface ipv4 delete neighbors 11 :此处11以netsh interface ipv4 show interface命令查询所在网卡的IDX值,一般为11
2、另存为ARP.bat文件放入系统启动目录"C:Documents and SettingsAdministrator「开始」菜单程序启动",保存时注意文本格式如图
(二)防火墙要开启ARP防护,如图
(三)如不是特别要求,建议按部门划分VLAN,减少广播风暴降低ARP攻击范围
(四)做端口镜像,用第三方软件(比如Wireshark)分析很快找出问题机
ARP主要用于网络诊断与配置,下图为ARP命令使用详解
扫一扫
1932
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
