防御的艺术(二)

开篇：润墨网以专业的文秘视角，为您筛选了一篇防御的艺术(二)范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

Tag:防御arp欺骗攻击、流量监控、arp攻击监控 | 实例 | 网络

本文可以学到

1 什么是ARP攻击

2 针对ARP欺骗攻击的防御技巧

3 监控网络流量的技巧

4 分析网络数据攻击手段

本文涉及软件

ARP防火墙

本文重要知识点

1 ARP的攻击破坏性

2 ARP攻击的防护措施

3 如何进行网络监控

"A同学，有兴趣到我们公司来实习吗?我是上次交流会上遇到你的高小明，最近公司有几个网络安全方面的职务需要储备人才，希望你有时间来看看。"学生A的手机大早上传来一段留言。(提醒：大多这样的情况都是骗子，请广大读者谨慎考虑。本文内容来自实事，望读者自行审视。)

周一的早上，学生A正式开始了实习工作，由于刚刚进入公司，学生A被安排到机房的web服务器做网络检测分析并辅助公司技术人员对计算机进行修理工作，不过刚刚开始上班公司就出现了一次大规模IP地址冲突的故障事件。

ARP欺骗攻击与防御

"在本月中旬，公司的局域网内出现相当长时间的混乱，由于出现ARP欺骗攻击出现IP地址冲突导致70%的计算机无法上网，为解决此问题网络部今天晚上集体加班，争取尽早排除故障，保证公司网络正常运行。"周五下午XX集团例会上网络部主管刘经理向董事会申报了当月的工作情况。

"不会吧，我刚上班就要加班?不过刘主管，这ARP攻击是个什么东西?前段日子公司里计算机老是无故出现IP地址冲突和网络风暴是它的原因吗?"学生A问道，"还好意思问?你们做技术都没看过最近的网络资料?ARP攻击都不知道，好好学习去!!!"主管暴躁地喊着:"今天晚上搞不定网络你们就别下班了!!"

小知识：什么是ARP

ARP(AddressResolutionProtocol)地址解析协议用于将计算机的网络IP地址转化为物理MAC地址。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，ARP协议就像给计算机发放的通行证一样。

比如:主机A发出通告:IP为192.168.0.101的主机请报上你的mac来” (注:MAC地址是网络通讯卡的身份标志:在XP/2000操作系统下在"CMD命令行"中输入ipconfig /all可以获取本地网卡的MAC地址)

IP为192.168.0.101的主机响应这个广播，应答ARP广播为:

“我是192.168.0.101，我的mac为xxxxxxxxxx2”

于是，主机刷新自己的ARP缓存，确定了IP地址192.168.0.101的主机地址，然后向此IP的计算机发送了网络数据。由于每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，所以表里的IP地址与MAC地址是一一对应的:

IP地址 MAC地址

192.168.1.1 00－aa－00－62－c6－09

192.168.1.2 00－aa－00－62－c5－03

192.168.1.3 03－aa－01－75－c3－06

…… ……

ARP欺骗攻击

是如何实现的

当系统ARP缓存表被修改，不停地通知路由器一系列错误的内网IP，或者干脆伪造一个假的网关进行欺骗的话，网络就肯定会出现大面积的掉线问题。举个例子来描述一下ARP欺骗攻击的实现:

当一个入侵者想非法进入公司的数据服务器，而这台主机的防火墙只对192.0.0.3这个IP开放23口(telnet)，攻击者无法入侵192.0.0.3(假设)，所以他采用了ARP欺骗:

1.他先研究192.0.0.3这台主机，发现这台机器使用一个洪水数据包就可以让其死机。

2.于是，他送一个洪水包给192.0.0.3的139口，于是，该机器应包而死。

3.这时，主机发到192.0.0.3的IP包将无法被机器应答，系统自己的ARP对应表将192.0.0.3地址抹去。

4.这段时间里，入侵者把自己的IP改成192.0.0.3

5.他从新发一个ping给主机，要求主机更新主机的ARP转换表。

6.主机找到该IP，然后在ARP表中加如新的IP--;MAC对应关系。

7.火墙失效了，攻击者的IP变成合法的MAC地址， ARP欺骗攻击完成.

实例:如何判断ARP攻击

"还是老哥(公司网络部老员工)对我好。原理清楚了，赶紧干活，省得又熬到凌晨去!对了，正好现在192.168.0.1那个网段中午的时候还有ARP攻击现象，你老去解决一下，我学习如何操作。"学生A兴奋地跑向机房， 首先找到一台在192.168.0.X网段内受ARP攻击影响的计算机在CMD命令行内输入:arp -a

InterfacE: 192.168.0.1 on Interface 0x1000004

Internet Address Physical Address Type

192.168.0.101 00-e0-4c-8c-9a-47 dynamic

192.168.0.7000-e0-4c-8c-9a-47 dynamic

192.168.0.9900-e0-4c-8c-81-cc dynamic

可以断定MAC地址为00-e0-4c-8c-9a-47的机器感染了病毒。然后在CMD窗口中输入“ipconfig /all” (见图1)命令，查看每台机器的MAC地址:

(1)

Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Intel(R) PRO

Physical Address. . . . . . . . . : 0-e0-4c-8c-9a-47

DHCP Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 192.168.0.101

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . : 192.168.1.1

DNS Servers . . . . . . . . . . . : 202.99.168.8

可以确定IP:192.168.0.101是ARP攻击的发起源，检查主机，并安装ARP防火墙进行隔离。(见图2)

(2)

ARP攻击的防御措施

彻底解决ARP的问题可是个体力活:

IP+MAC访问控制(即:将IP地址与MAC地址进行一一对应的绑定)

arp -d

arp -d

arp -d

arp -s 192.168.1.1 00-e0-eb-81-81-85(网关IP、MAC地址，可以通过ARP -A查找)

arp -s 192.168.1.101 00-0a-45-1c-c7-8e(本地IP、MAC地址，可以通过ipconfig查找)

在域内所有计算机执行arp.BAT文件将MAC地址与IP地址绑定就OK了，另外，如果使用的是在2007年以后出厂的路由器，大多都有域网IP+MAC地址绑定的功能，工作量就小多了。

静态ARP缓存表

每台装有TCP/IP协议的计算机上都有一个临时存放IP-MAC的对应表，ARP攻击就是通过更改这个缓存来达到欺骗的目的，我采用静态的ARP来绑定正确的MAC是一个有效的方法，在命令行下使用arp -a可以查看当前的ARP缓存表。

InterfacE: 192.168.1.101 on Interface 0x2

Internet Address Physical Address Type

192.168.1.1 00-14-78-d3-f5-9a dynamic

其中"dynamic" 代表动态缓存，即收到一个相关ARP包就会修改这项，如果是个非法的含有不正确的网关的ARP包，这个表就会自动更改。出现这种攻击后我们就不能找到正确的网关MAC，也就无法正常和其他主机通信。

执行"arp -s 192.168.1.100 00-03-6b-7f-ed-02"后，我们再次查看ARP缓存表：

C:\Documents and Settings\cnqing>arp -a

InterfacE: 192.168.1.101 on Interface 0x2

Internet Address Physical Address Type

92.168.1.1 00-14-78-d3-f5-9a static

此时"TYPE"项变成了"static"，静态类型。这个状态下，是不会在接收到ARP包时改变本地缓存的，从而有效地防止ARP攻击。(注:静态的ARP条目在每次重启后都要消失需要重新设置。)

网络数据分析监控ARP攻击

要监控ARP攻击，就必须对防火墙进行新的安全部署，由于ARP攻击出现的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，网络速度会越来越慢。当ARP攻击停止运行时，路由器重新刷新缓存上网，切换过程中用户会断一次线并混乱的发现本地网内出现IP地址冲突现象，所以根据这种现象可以通过对防火墙的接受/发送ARP数量进行监视从而分析出是否有攻击产生并进行防御（见图3、图4）。

(3)

(4)