本文属于i春秋作家原创文章,未经允许不能转载。
0x01 前言
大佬们好,本次分享,均由本人学习中整理,有错误或其他问题还望大佬们指正!0x02 什么是arp欺骗
搞明白arp欺骗之前,先看一下何为arp?
来自百度百科的解释....
简单理解:一种将IP地址转化成mac地址的地址解析协议
要想知其防,定要知其攻。
那下面让我简单的说下arp欺骗攻击.....
在局域网中网络流通是根据mac地址进行传输的,而不是ip地址,所以hack在pc1上伪造一个不存在或者其他非网关的mac地址,这要就会造成pc1访问不到外网,然后hack欺骗网关,伪造成pc的mac地址这样就欺骗了网关,从而可以截获pc1与getway之间的通信获取到pc1的请求包与发送包,这就是所谓的双向欺骗,单向欺骗顾名思义就是伪造pc或getway一方的mac地址。
通信中传输数据时,为了节省网络资源,并不会每一次都会发送广播包,首先会查询本身主机的arp缓存表,在arp缓存表中主机ip与mac是一一对应的,通过arp -a来查看
如上图,如果我作为攻击者对1.67主机进行攻击,我就可以更改本机mac地址为网关的mac地址,来欺骗1.67
kali中的ettercap,可以帮我们来完成这一系列过程,在这我就不在去演示过程
arp的风险分析:
0x03 如何防御arp欺骗
那么关键来了,该如何去防御arp欺骗攻击?
常见的防护方式就是绑定主机的mac地址与ip地址从而有效的阻止arp欺骗,在这分享一下各大设备及pc做静态绑定的命令
win7以上版本
netsh i i show in 获取网卡idx编号
netsh -c “i i”add neighbors 10 192.168.4.254 00-23-33-64-e5-99
重启后不失效
netsh -c “i i”delete neighbors 10 192.168.4.254 删除绑定
路由器(思科)
配置指令:
arp ip地址 mac地址 arpa接口
arp 192.168.123.123 000c.2995.6736 arpa f0/0
交换机
思科
启用端口安全
switchport port-security
switchport port-security mac-address 绑定的mac地址
启用交换机端口安全
interface f0/16
switchport mode access
switchport port-security
switchport port-security mac-address 000c.29c0.fa01
swichport port-security violation shutdown 违规行为
查看处于errdisable状态的端口
华为交换机
interface g0/0/1
port link-type acccess 端口类型设置为access
port defaul vlan 2 把端口加入到vlan 2
mac-address static 0002-0002-0002 g0/0/1 vlan 2
gratuitous ARP --免费ARP:以广播的形式主动发送一个ARP应答报文,以强制更新其他主机上的ARP缓存表项 动态ARP监测(DAI)
DAI是一种与DHCP监听和ip源防护相结合的安全特征
DAI(动态ARP监测)
设备厂商的技术
DAI是一种与DHCP监听和IP源防护相结合的安全特性
linux下使用arptables阻止arp欺骗
tar xvzf arptables-v0.0.1.tar.gz
make && make install
命令程序
ls /usr/local/sbin/arptables*
/usr/local/sbin/arptables #核心命令程序
/usr/local/sbin/arptables
/usr/local/sbin/arptables
启动脚本
/etc/rc.d/init.d/arptables
arptables -A INPUT -i eth0 -s 192.168.100.254 --src-mac ! cc:02:0d:00:00:00 -j DROP
0x03 总结
如今,大多路由器都采取了防护arp欺骗的功能,大大减少了arp攻击,但是arp欺骗攻击的危害永不会变。