關於arp欺騙原理及防範

來源:互聯網
上載者:User

最近不少朋友及客戶的伺服器遇到arp欺騙攻擊,造成網站被掛木馬.由於是採用ARP技術欺騙,所以主機並沒入侵,在伺服器裡查看網頁源碼也是沒任何掛馬代碼,但是網站在訪問時候卻全部被掛馬!

      開始我也不懂這就是網路傳說中的ARP欺騙,後來查了下資料才知道這就是ARP欺騙.ARP欺騙我們要先從ARP工作原理講起.

     我們先熟悉下ARP,大學電腦網路基礎課學過,ARP就是位址解析通訊協定.OSI參考模型裡將整個網路通訊的功能劃分為七個層次.由低到高分別是:物理層、鏈路層、網路層、傳輸層、會議層、展示層、應用程式層.第四層到第七層主要負責互通性,第一層到三層則用於創造兩個網路裝置間的物理串連.

     而ARP欺騙就是一種用於工作階段劫持攻擊中的常見手法.位址解析通訊協定(ARP)利用第2層物理MAC地址來映射第3層邏輯IP地址,如果裝置知道了IP地址,但不知道被請求主機的MAC地址,它就會發送ARP請求.ARP請求通常以廣播形式發送,以便所有主機都能收到.

     在電信一般接終端的交換器都是2層交換器,交換原理是通過ip尋找對應的mac網卡地址,由於TCP/IP協議決定了只會通過mac定址到對應的交換器的物理連接埠,所以才會遭到arp欺騙攻擊.

   現在我們做下比方,更能形象點解釋ARP欺騙過程及原理:

      假設有肉雞A,被ARP欺騙的主機B。肉雞A不斷告訴主機B它是網關,結果主機B也認為它是網關,於是把串連資料發送給它.肉雞A再做一個串連的角色,把主機B的資訊包加上木馬發到真正的網關,結果使用者得到的資訊都是帶了木馬的網頁,而主機B本身沒木馬.
  
   目前IDC機房可以將類似思科2950及華為3026之類以上的交換器並啟動ARP廣播屏蔽功能的話,應該可以阻止ARP欺騙.

   另外,我們根據解析協議(ARP)的工作原理,將網關IP和MAC地址綁定成靜態不可修改,這樣就不會出現arp欺騙了,因為位址解析通訊協定(ARP)是利用第2層物理MAC地址來映射第3層邏輯IP地址,也就是mac定址來實現的.當然在我們每一個主機上也要綁定網關的mac和ip,命令很簡單,例如: arp -s 58.66.176.29 00-aa-00-62-c6-09


現在總結下關預防ARP欺騙:

建立一個批次檔,內容如下: @echo OFF arp -s 預設閘道IP地址 網關的MAC地址 將這個批處理放到啟動裡。可以零時解決問題。

另外也有軟體可以解決:

1、開啟Anti ARP Sniffer 3,輸入網關IP地址,點擊〔枚取MAC〕
如你網關填寫正確將會顯示出網關的MAC地址.

2、點擊 [自動保護] 即可保護當前網卡與網關的通訊不會被第三方監聽.

追蹤ARP攻擊者:

     當區域網路內有人試圖與本機進行ARP欺騙,其資料會被Anti ARP Sniffer記錄.請在欺騙資料詳細記錄表中選擇需要追蹤的行,然後點擊〔追捕欺騙機〕,追捕過程中需要幾分鐘時間,如果該ARP地址是真實的,也快就能追捕到攻擊者. (追捕ARP攻擊者時需要停止自動保護) 

   關於arp欺騙原理及防範就先寫到這吧,我本人是從事網路伺服器安全的,對電腦網路物理工作原理瞭解並不多,最是大學課本學過點,所以寫這篇文章時查了不少資料,期待高手們的指正及講解!

本位作者晨曦旋風 授權中國站長站轉寄 請務必保留(Www.Xuanfeng.net)以及作者相關資訊



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。