防止arp攻击(怎样防止ARP攻击)
一、ARP攻击怎样防御
Arp
攻击最近一段时间不知道什么原因特别流行。
被攻击者会出现IP冲突或者掉线(ARP只能在内网有效)
常见的防御方法有以下几种
1.Arp防火墙,一般这种软件是通过从网络上获得ARP包进行分析来防御的,不过这种防御效果一般不是很好。
2.Arp
驱动级防火墙,比如360安全卫士的
Anti-Arp
防火墙就是这个原理,通过一个过滤驱动来过滤掉
Arp
包,不过同样也需要安装第三方软件但是防御效果比较好。
3.手动固化ARP缓存表。这个指对ARP攻击造成的掉线有效。方法如下
C:\>arp
-a
Interface:
192.168.1.5
---
0x20003
Internet
Address
Physical
Address
Type
192.168.1.1
08-10-17-cc-36-84
dynamic
C:\>arp
-s
192.168.1.1
08-10-17-cc-36-84
C:\>arp
-a...Arp
攻击最近一段时间不知道什么原因特别流行。
被攻击者会出现IP冲突或者掉线(ARP只能在内网有效)
常见的防御方法有以下几种
1.Arp防火墙,一般这种软件是通过从网络上获得ARP包进行分析来防御的,不过这种防御效果一般不是很好。
2.Arp
驱动级防火墙,比如360安全卫士的
Anti-Arp
防火墙就是这个原理,通过一个过滤驱动来过滤掉
Arp
包,不过同样也需要安装第三方软件但是防御效果比较好。
3.手动固化ARP缓存表。这个指对ARP攻击造成的掉线有效。方法如下
C:\>arp
-a
Interface:
192.168.1.5
---
0x20003
Internet
Address
Physical
Address
Type
192.168.1.1
08-10-17-cc-36-84
dynamic
C:\>arp
-s
192.168.1.1
08-10-17-cc-36-84
C:\>arp
-a
Interface:
192.168.1.5
---
0x20003
Internet
Address
Physical
Address
Type
192.168.1.1
08-10-17-cc-36-84
static
192.168.1.41
00-e0-e4-02-e3-e0
dynamic
C:\>
可以看到先显示的网关
192.168.1.1
的项目是
dynamic(动态)
这种动态的每隔一段时间会自动更新一次,所以攻击者就是通过伪造ARP包来更新对方的网关MAC到一个不存在的MAC上来实现ARP掉线攻击效果,而参数
“-s”
可以手动固化项目,所以第二次查就是
static(静态)
这样他的对应MAC就不会变了,也就不会掉线了不过对于IP冲突这个方法没法防御。
二、如何有效的防止ARP攻击
关于这个问题的讨论已经很深入了,对ARP攻击的机理了解的很透彻,各种防范措施也层出不穷。但问题是,现在真正摆脱ARP问题困扰了吗?从用户那里了解到,虽然尝试过各种方法,但这个问题并没有根本解决。原因就在于,目前很多种ARP防范措施,一是解决措施的防范能力有限,并不是最根本的办法。二是对网络管理约束很大,不方便不实用,不具备可操作性。三是某些措施对网络传输的效能有损失,网速变慢,带宽浪费,也不可取。本文通过具体分析一下普遍流行的四种防范ARP措施,去了解为什么ARP问题始终不能根治。上篇:四种常见防范ARP措施的分析一、双绑措施双绑是在路由器和终端上都进行IP-MAC绑定的措施,它可以对ARP欺骗的两边,伪造网关和截获数据,都具有约束的作用。这是从ARP欺骗原理上进行的防范措施,也是最普遍应用的办法。它对付最普通的ARP欺骗是有效的。但双绑的缺陷在于3点:1、在终端上进行的静态绑定,很容易被升级的ARP攻击所捣毁,病毒的一个ARP–d命令,就可以使静态绑定完全失效。2、在路由器上做IP-MAC表的绑定工作,费时费力,是一项繁琐的维护工作。换个网卡或更换IP,都需要重新配置路由。对于流动性电脑,这个需要随时进行的绑定工作,是网络维护的巨大负担,网管员几乎无法完成。3、双绑只是让网络的两端电脑和路由不接收相关ARP信息,但是大量的ARP攻击数据还是能发出,还要在内网传输,大幅降低内网传输效率,依然会出现问题。因此,虽然双绑曾经是ARP防范的基础措施,但因为防范能力有限,管理太麻烦,现在它的效果越来越有限了。二、ARP个人防火墙在一些杀毒软件中加入了ARP个人防火墙的功能,它是通过在终端电脑上对网关进行绑定,保证不受网络中假网关的影响,从而保护自身数据不被窃取的措施。ARP防火墙使用范围很广,有很多人以为有了防火墙,ARP攻击就不构成威胁了,其实完全不是那么回事。ARP个人防火墙也有很大缺陷:1、它不能保证绑定的网关一定是正确的。如果一个网络中已经发生了ARP欺骗,有人在伪造网关,那么,ARP个人防火墙上来就会绑定这个错误的网关,这是具有极大风险的。即使配置中不默认而发出提示,缺乏网络知识的用户恐怕也无所适从。2、ARP是网络中的问题,ARP既能伪造网关,也能截获数据,是个“双头怪”。在个人终端上做ARP防范,而不管网关那端如何,这本身就不是一个完整的办法。ARP个人防火墙起到的作用,就是防止自己的数据不会被盗取,而整个网络的问题,如掉线、卡滞等,ARP个人防火墙是无能为力的。因此,ARP个人防火墙并没有提供可靠的保证。最重要的是,它是跟网络稳定无关的措施,它是个人的,不是网络的。三、VLAN和交换机端口绑定通过划分VLAN和交换机端口绑定,以图防范ARP,也是常用的防范方法。做法是细致地划分VLAN,减小广播域的范围,使ARP在小范围内起作用,而不至于发生大面积影响。同时,一些网管交换机具有MAC地址学习的功能,学习完成后,再关闭这个功能,就可以把对应的MAC和端口进行绑定,避免了病毒利用ARP攻击篡改自身地址。也就是说,把ARP攻击中被截获数据的风险解除了。这种方法确实能起到一定的作用。不过,VLAN和交换机端口绑定的问题在于:1、没有对网关的任何保护,不管如何细分VLAN,网关一旦被攻击,照样会造成全网上网的掉线和瘫痪。2、把每一台电脑都牢牢地固定在一个交换机端口上,这种管理太死板了。这根本不适合移动终端的使用,从办公室到会议室,这台电脑恐怕就无法上网了。在无线应用下,又怎么办呢?还是需要其他的办法。3、实施交换机端口绑定,必定要全部采用高级的网管交换机、三层交换机,整个交换网络的造价大大提高。因为交换网络本身就是无条件支持ARP操作的,就是它本身的漏洞造成了ARP攻击的可能,它上面的管理手段不是针对ARP的。因此,在现有的交换网络上实施ARP防范措施,属于以子之矛攻子之盾。而且操作维护复杂,基本上是个费力不讨好的事情。四、PPPoE网络下面给每一个用户分配一个帐号、密码,上网时必须通过PPPoE认证,这种方法也是防范ARP措施的一种。PPPoE拨号方式对封包进行了二次封装,使其具备了不受ARP欺骗影响的使用效果,很多人认为找到了解决ARP问题的终极方案。问题主要集中在效率和实用性上面:1、PPPoE需要对封包进行二次封装,在接入设备上再解封装,必然降低了网络传输效率,造成了带宽资源的浪费,要知道在路由等设备上添加PPPoE Server的处理效能和电信接入商的PPPoE Server可不是一个数量级的。2、PPPoE方式下局域网间无法互访,在很多网络都有局域网内部的域控服务器、DNS服务器、邮件服务器、OA系统、资料共享、打印共享等等,需要局域网间相互通信的需求,而PPPoE方式使这一切都无法使用,是无法被接受的。3、不使用PPPoE,在进行内网访问时,ARP的问题依然存在,什么都没有解决,网络的稳定性还是不行。因此,PPPoE在技术上属于避开底层协议连接,眼不见心不烦,通过牺牲网络效率换取网络稳定。最不能接受的,就是网络只能上网用,内部其他的共享就不能在PPPoE下进行了。通过对以上四种普遍的ARP防范方法的分析,我们可以看出,现有ARP防范措施都存在问题。这也就是ARP即使研究很久很透,但依然在实践中无法彻底解决的原因所在了。下篇:免疫网络是解决ARP最根本的办法道高一尺魔高一丈,网络问题必定需要网络的方法去解决。目前,欣全向推广的免疫网络就是彻底解决ARP问题的最实际的方法。从技术原理上,彻底解决ARP欺骗和攻击,要有三个技术要点。1、终端对网关的绑定要坚实可靠,这个绑定能够抵制被病毒捣毁。2、接入路由器或网关要对下面终端IP-MAC的识别始终保证唯一准确。3、网络内要有一个最可依赖的机构,提供对网关IP-MAC最强大的保护。它既能够分发正确的网关信息,又能够对出现的假网关信息立即封杀。免疫网络在这三个问题上,都有专门的技术解决手段,而且这些技术都是厂家欣全向的技术专利。下面我们会详细说明。现在,我们要先做一个免疫网络结构和实施的简单介绍。免疫网络就是在现有的路由器、交换机、网卡、网线构成的普通交换网络基础上,加入一套安全和管理的解决方案。这样一来,在普通的网络通信中,就融合进了安全和管理的机制,保证了在网络通信过程中具有了安全管控的能力,堵上了普通网络对安全从不设防的先天漏洞。免疫网络的结构实施一个免疫网络不是一个很复杂的事,代价并不大。它要做的仅仅是用免疫墙路由器或免疫网关,替换掉现有的宽带接入设备。在免疫墙路由器下,需要自备一台服务器24小时运行免疫运营中心。免疫网关不需要,已自带服务器。这就是方案的所需要的硬件调整措施。软性的网络调整是IP规划、分组策略、终端自动安装上网驱动等配置和安装工作,以保证整个的安全管理功能有效地运行。其实这部分工作和网管员对网络日常的管理没有太大区别。免疫网络的监控中心免疫网络具有强大的网络基础安全和管理功能,对ARP的防范仅是其十分之一不到的能力。但本文谈的是ARP问题,所以我们需要回过头来,具体地解释免疫网络对ARP欺骗和攻击防范的机理。至于免疫网络更多的强大,可以后续研究。前述治理ARP问题的三个技术要点,终端绑定、网关、机构三个环节,免疫网络分别采用了专门的技术手段。1、终端绑定采用了看守式绑定技术。免疫网络需要每一台终端自动安装驱动,不安装或卸载就不能上网。在驱动中的看守式绑定,就是把正确的网关信息存贮在非公开的位置加以保护,任何对网关信息的更改,由于看守程序的严密监控,都是不能成功的,这就完成了对终端绑定牢固可靠的要求。2、免疫墙路由器或免疫网关的ARP先天免疫技术。在NAT转发过程中,由于加入了特殊的机制,免疫墙路由器根本不理会任何对终端IP-MAC的ARP申告,也就是说,谁都无法欺骗网关。与其他路由器不同,免疫墙路由器没有使用IP-MAC的列表进行工作,当然也不需要繁琐的路由器IP-MAC表绑定和维护操作。先天免疫,就是不用管也具有这个能力。
三、如何防止网络ARP攻击
ARP欺骗木马程序(病毒)的攻击(ARP是“Address Resolution Protocol”“地址解析协议”的缩写),病毒发作时其症状表现为计算机网络连接正常,却打开网页时断时通;或由于ARP欺骗的木马程序(病毒)发作时发出大量的数据包,导致用户上网不稳定,极大地影响了用户的正常使用,给网络的安全带来严重的隐患。
病毒原理
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和交换机,让所有上网的流量必须经过病毒主机。其他用户原来直接通过交换机上网现在转由通过病毒主机上网,切换的时候用户会断一次线。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从交换机上网(此时交换机MAC地址表正常),切换过程中用户会再断一次线。该病毒发作时,仅影响同网段内机器的正常上网。
采取的措施
一、用户要增强网络安全意识,不要轻易下载、使用盗版和存在安全隐患的软件;或浏览一些缺乏可信度的网站(网页);不要随便打开不明来历的电子邮件,尤其是邮件附件;不要随便共享文件和文件夹,即使要共享,也得设置好权限,一般指定特定帐号或特定机器才能访问,另外不建议设置可写或可控制,以免个人计算机受到木马病毒的侵入给网络的安全带来隐患。
二、计算机用户要及时下载和更新操作系统的补丁程序,安装正版的杀毒软件,增强个人计算机防御计算机病毒的能力。
三、用户检查和处理“ ARP欺骗”木马的方法。
1、检查本机是否中的“ ARP欺骗”木马染毒
同时按住键盘上的“ CTRL+ ALT+DEL”键,选择“任务管理器”,点选“进程”标签。查看其中是否有一个名为“ MIR0.dat”之类的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。
2、在受到ARP欺骗木马程序(病毒)攻击时,用户可选择下列方法的一种处理。
方法一:
下载Anti ARP Sniffer软件保护本地计算机正常运行。同时把此软件设为自动启动,步骤:先把Antiarp.exe生成桌面快捷方式->选"开始"->"程序"->双击"启动"->再把桌面上Antiarp.exe快捷键拷到"启动"中,以保证下次开机自动运行,起到保护的作用。
方法二:
在“开始”-“程序”-“附件”菜单下调出“命令提示符”。输入并执行以下命令:ipconfig
记录网关 IP地址,即“ Default Gateway”对应的值,例如“ 10.1.4.1”。再输入并执行以下命令:
arp?Ca
在“ Internet Address”下找到上步记录的网关 IP地址,记录其对应的物理地址,即“ Physical Address”值,例如“ 00-e0-fc-0f-8f-4d”。在网络正常时这就是网关的正确物理地址,在网络受“ ARP欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。也可以扫描本子网内的全部 IP地址,然后再查 ARP表。如果有一个 IP对应的物理地址与网关的相同,那么这个 IP地址和物理地址就是中毒计算机的 IP地址和网卡物理地址。本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP地址和网关物理地址,然后在“命令提示符”窗口中输入并执行以下命令:
arp?Cs网关 IP网关物理地址。
方法三:(只适用时出现故障时的临时解决办法)
在“开始”-“程序”-“附件”菜单下调出“命令提示符”。输入并执行以下命令:
arp-d
方法四:
局域网ARP攻击免疫器,网上有得下。(1)将这里面3个dll文件复制到windows\system32里面,将npf这个文件复制到 windows\system32\drivers里面。(2)将这4个文件在安全属性里改成只读。也就是不允许任何人修改。
四、以下程序带有此类ARP病毒(传奇杀手等),请不要使用:
传奇2冰橙子1.44版
传奇2及时雨PK版
"网吧传奇杀手"的木马软件进行传奇帐号和密码的扫描
网络执法官等类似程序
五、趋势科技提供的ARP病毒清除工具