ARP攻击与防护--小试牛刀

大家好，作为网络人我们都知道ARP协议是存在BUG的，下面我们来模拟实验攻击一番。
我们提前装备好2台虚拟机，一台win7 , IP配192.168.10.10 ,win7上运行长角牛软件，一台win10 ，IP配置192.168.10.20 。然后用ESPN模拟软件，还有咱们的长角牛攻击软件，然后开始行动。

在参数配置完成后，我们进行路由器的IP设置，检查联通性，具体如图所示

网关的mAC地址如下图所示

检查完毕，我们网络配置正常，下面我们在一台虚拟机上开启长角牛攻击软件

点击开始之后，我们会发现网关PING 不通了
然后我们用 ARP-a 命令查看 MAC ，发现网关的MAC发生了改变，说明设备已经被毒化了

此时会发现主机并未受到影响,说明在主机上绑定IP和MAC地址有一定效果能够防止攻击。
下面我们在长角牛软件上启用双向断开，会发现连接又中断了

那么如何更加完善的防止ARP攻击呢，请看下文
1对于ARP攻击，我们可采取以下方法进行防范
1.1捆绑IP地址和MAC地址
此防法河避免IP地址盗用。若是通过代理服务器上网，可在代理服务器端把静态IP地址与上网计算机网卡的MAC地址进行捆绑。若是通过
交换机连接，可将交换机端口与计算机的IP地址、网卡的MAC地址绑定。
1.2修改物理地址
将真实的物理地址隐藏，也就是修改上网机的MAC地址,欺骗过ARP欺骗，从而躲过ARP攻击。
1.3使用ARP服务器
通过ARP服务器查找自己的ARP转换表来响应其他机器的ARP广播,粗要确保这台ARP服务器不被攻击。
1.4交换机端口设置
端口保护: ARP欺骗需要交换机的两个端口直接通讯，将端口设为保护端口即可简单方便地隔离用户之间信息互通，不必占用VLAN资
数据过滤:如需对报文做更进一步的控制用户可以采用ACL (访问控制列表)。ACL利用IP地址、TCP/UDP端口等对进出交换机的报文进
行过滤，可以预设条件,对报文做出允许转发或阻塞的决定。
1.5利用硬件屏蔽主机
设置路由，确保IP地址能到达合法的路径(静态配置路由ARP条目)，使用交换集线器和网桥无法阻止ARP欺骗。
1.6禁止网络接[ ]做ARP解析
在相对系统中禁止某个网络接口做ARP解析(对抗ARP欺骗攻击)，可以做静态ARP协议设置。
1.7定期检查ARP缓存
利用响应的IP包中获得的RARP请求，检查ARP响应的真实性。定期检查主机上的ARP缓存，使用防火墙连续监控网络。但是在使用SNMP的情况下，ARP欺骗有可能导致陷阱包失。
2 ARP防火墙对于ARP攻击的防范
2.1防火墙针对ARP欺骗的对策
在系统内核层做策略,拦截可能发生的外来虚假数据或本机对外的ARP攻击数据包，在保障本机不受ARP攻击的同时，减少如感染恶意程
序后对外的攻击机会，保证网络畅通。
(1)拦截IP冲突:在系统内核层做策略，拦截IP冲突数据包。
(2) Dos攻击抑制:在系统内核层做策略，拦截对外的攻击数据包，定位恶意发动DoS攻击的程序。
(3)安全模式:除网关外，不响应其它机器发送的ARPRequest数据包，达到隐身效果。
(4) ARP数据分析:对本机接收到的所有ARP数据包进行分析,找出潜在的攻击者或中毒的机器。
(5)监测ARP缓存:自动监测本机ARP缓存表，若发现网关物理地址被恶意程序篡改，及时报警并自动修复。
(6)主动防御:主动与网关保持通讯，通告网关正确的MAC地址。
(7)追踪攻击者:发现攻击行为后，自动快速锁定攻击者IP地址。
(8) ARP病毒专杀:发现本机的对外攻击行为，自动定位查杀本机感染的恶意程序、病毒程序。
2.2在局域网针对ARP欺骗的策略
(1)检查本机的"ARP欺骗”木杩染毒进程
(2)检查网内感染"ARP欺骗”杩染毒的计算机
(3)设置ARP表避免"ARP欺骗”杩影响的方法
(4) 静态ARP绑定网关
2.3入侵检测技术
(1)入侵检测系统IDS (IntrusionDetectionSystem) 指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的
判断、记录和报警。
(2) -一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击。误报是指被入侵检测系统测报警的是正常及合法使用受保
护网络和计算机的访问。误报是入侵检测系统最头疼的问题，攻击者可以而且往往是利用包的结构伪造无威胁的“正常”假警报，而诱导没有
警觉性的管理员人把入侵检测系统关掉。
(3)没有一个应用系统不会发生错误，入侵检测发生误报的四个主要原因是:缺乏共享数据的机制、缺乏集中协调的机制、缺乏揣摩数
据在一段时间内变化的能力、缺乏有效的跟踪分析。
(4)根据入侵检测的信息来源不同，可以将入侵检测系统分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。
(5)入侵检测的方法: 1) 目前入侵检测方法有三种分类依据:根据物理位置进行分类、根据建模方法进行分类、根据时间分析进行分
类。2)常用的方法有两种:静态配置分析、异常性检测方法。
(4) ARP数据分析:对本机接收到的所有ARP数据包进行分析,找出潜在的攻击者或中毒的机器。
(5)监测ARP缓存:自动监测本机ARP缓存表，若发现网关物理地址被恶意程序篡改，及时报警并自动修复。
(6)主动防御:主动与网关保持通讯，通告网关正确的MAC地址。
(7)追踪攻击者:发现攻击行为后，自动快速锁定攻击者IP地址。
(8) ARP病毒专杀:发现本机的对外攻击行为，自动定位查杀本机感染的恶意程序、病毒程序。
2.2在局域网针对ARP欺骗的策略
(1)检查本机的"ARP欺骗”木杩染毒进程
(2)检查网内感染"ARP欺骗”杩染毒的计算机
(3)设置ARP表避免"ARP欺骗”杩影响的方法
(4) 静态ARP绑定网关
2.3入侵检测技术
(1)入侵检测系统IDS (IntrusionDetectionSystem) 指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的
判断、记录和报警。

ARP攻击与防护--小试牛刀相关推荐

局域网ARP攻击和防护
1 ARP攻击原理介绍 1) ARP协议的缺陷 ARP协议是建立在信任局域网内所有节点的基础上的,他的效率很高.但是不安全.它是无状态的协议.他不会检查自己是否发过请求包, ...
ARP攻击的发现、攻击原理、攻击方式、防护
ARP协议概述 ARP协议(address resolution protocol)地址解析协议. 一台主机和另一台主机通信,要知道目标的IP地址,但是在局域网中传输数据的网卡却不能直接识别IP地址, ...
ARP攻击的发现，攻击原理，攻击方式，防护
目录 ARP协议概述 APR攻击发现 ARP攻击过程攻击方式: arp攻击的防护 ARP协议概述 ARP协议(address resolution protocol)地址解析协议一台主机和另一台主 ...
tell网关arp包正常吗_网工知识角|如何理解ARP协议？防护有诀窍，网络工程师必读...
点上方蓝字关注公众号,坚持每天技术打卡学网络,就在IE-LAB 国内高端网络工程师培养基地今天我们来学习ARP攻击基本防护. 为了避免上述ARP攻击行为造成的各种危害, ARP安全特性针对不同的攻 ...
模拟ARP欺骗攻击与防护
为保证网络环境的安全,模拟ARP欺骗在eNSP模拟器+VMware虚拟机上构建网络环境. 一:ARP欺骗攻击 1.准备环境:华为eNSP模拟器+VMware虚拟机上创建kali服务器 2.在虚拟机上打 ...
ARP概念及攻击与防护的原理（来自中国协议分析网）
1. ARP概念咱们谈ARP之前,还是先要知道ARP的概念和工作原理,理解了原理知识,才能更好去面对和分析处理问题. 1.1 ARP概念知识 ARP,全称Address Resolution Pro ...
Windows10 系统防护ARP攻击
引用: Windows 7 系统防护ARP攻击一:ARP概念解析攻击限制:ARP攻击需要提前进入局域网内,不能对外网进行攻击. 攻击方式:ARP攻击是破坏局域网IP地址与网关Mac连接,将本机Ma ...
ARP 攻击(kali)和防护(ubuntu)
ARP协议地址解析协议,ARP(address Resolution Protocol) 是根据IP地址获取MAC地址的协议.当本地主机向某个IP发送数据时,会先查看本机的ARP 表中是否含有与目标 ...
无线路由器发起ARP攻击，致使网络中断，这是为什么？
路由器自己是不会发动ARP攻击的,应该是有主机对路由器的ARP表进行了修改,应为你是内网环境,所以所有的ARP表是由路由器来进行管理的,所以看起来就好像路由器在发动ARP攻击,你可以使用内网分析工具来 ...

ARP攻击与防护--小试牛刀

ARP攻击与防护--小试牛刀相关推荐

最新文章

热门文章