内网 ARP 攻击检查及防御
什么是ARP协议?
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP攻击,能够在网络中产生大量的ARP通信量使网络阻塞。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。
所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。所以说从某种意义上讲ARP协议是工作在更低于IP协议的协议层。这也是为什么ARP攻击更能够让人在神不知鬼不觉的情况下出现网络故障,他的危害更加隐蔽。
ARP攻击的表现
ARP攻击可以造成内部网络的混乱,让某些被攻击的计算机无法正常访问内外网,让网关无法和客户端正常通信。实际上他的危害还不仅仅如此,一般来说IP地址的冲突我们可以通过多种方法和手段来避免,而ARP协议工作在更低层,隐蔽性更高。系统并不会判断ARP缓存的正确与否,无法像IP地址冲突那样给出提示。
而且很多黑客工具例如网络剪刀手等,可以随时发送ARP攻击数据包和ARP恢复数据包,这样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否,甚至还可以直接对网关进行攻击,让所有连接网络的计算机都无法正常上网。
这点在以前是不可能的,因为普通计算机没有管理权限来控制网关,而现在却成为可能,所以说ARP攻击的危害是巨大的,而且非常难对付,非法用户和恶意用户可以随时发送ARP攻击和恢复数据包,这样就增加了网络管理员查找真凶的难度。
ARP攻击的判定
当发现网络非正常时,网管可任找一台机器,开启DOS窗口并输入“arp -a” 命令, 会发现很多不同IP地址有着相同的MAC地址表:
- Interface: 192.168.0.1 on Interface 0×1000004
Internet Address Physical Address Type
192.168.0.1 00-e0-1c-8c-9a-0e dynamic
192.168.0.10 00-e0-4c-8c-9a-47 dynamic
192.168.0.12 00-e0-4c-8c-9a-47 dynamic
192.168.0.14 00-e0-4c-8c-81-cc dynamic
192.168.0.15 00-e0-4c-8c-9a-47 dynamic
192.168.0.16 00-e0-4c-8c-9a-47 dynamic
我们可以断定MAC地址为00-e0-4c-8c-9a-47的机器感染了病毒。然后需要网管在每台工作站DOS窗口中输入“ipconfig /all” 命令,察看每台机器的MAC地址:
-
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : RTL8139
Physical Address. . . . . . . . . : 0-e0-4c-8c-9a-47
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.14
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.1
DNS Servers . . . . . . . . . . . : 61.139.2.69
通过以上步骤定位到染毒的机器。
ARP攻击防护方案
双向绑定
之前我们介绍过ARP欺骗主要是通过伪造IP地址和MAC地址实现的. 因此,我们不要把网络安全信任关系建立在IP基础上或MAC基础上,理想的关系应该建立在IP+MAC基础上。
PPPOE服务器模式
除了双绑以外还可以采用另外一种方式来防止ARP欺骗,就是开启路由系统里的PPPOE服务器,。
安装ARP神盾 (推荐)
在客户机上安装使用客户端软件-海盾安全防护软件,可以彻底解决ARP攻击问题,同时还可以有效防御内网 DoS/DDoS 攻击。
