科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道教你使用ARP防火墙查杀ARP病毒防御措施

教你使用ARP防火墙查杀ARP病毒防御措施

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

现在很多学校的校园网经常出现掉线、IP冲突、大面积断网等状况,这些问题的根源都是ARP欺骗攻击的结果。

作者:赛迪网 来源:赛迪网 2008年7月29日

关键字: ARP攻击 ARP病毒 arp防火墙 ARP

  • 评论
  • 分享微博
  • 分享邮件
 

现在很多学校的校园网经常出现掉线、IP冲突、大面积断网等状况,这些问题的根源都是ARP欺骗攻击的结果。在没有ARP欺骗之前,数据流向是:网关<—>本机;ARP欺骗之后,数据流向是:网关<—>攻击者(“网管”)<—>本机,本机与网关之间的所有通讯数据都将流经攻击者(“网管”),“任人宰割”就难免了。

ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址,可以保障数据流向正确,不经过第三者,从而保证通讯数据安全、网络畅通、通讯数据不受第三者控制,从而完美地解决问题。

使用ARP防火墙查杀ARP病毒的使用方法为:ARP拦截到本机外对的ARP攻击时,点击进入显示详细数据的页面, PID即发送攻击数据的进程ID号,双击此数据即可查看进程的详细信息。或者选中数据后右击,选择“查看进程详细信息”选项。

防御措施

ARP协议的安全漏洞来源于协议自身设计上的不足, ARP协议被设计成一种可信任协议,缺乏合法性验证手段。从网络管理的角度上分析,主要的防御方法有:

1.不要把你的网络安全信任关系建立在IP基础上或MAC基础上,理想的关系应该建立在IP+MAC基础上。主机的IP→MAC地址对应表手工维护,输入之后不再动态更新,显然可以避免ARP攻击,大多数三层交换机都支持这种方法。

2.设置静态ARP缓存。采用静态缓存,主机在与其他计算机通信时,只要在自己的静态缓存中根据对方IP地址找到相应的MAC地址,然后直接发送给对方。攻击者若向主机发送ARP应答,目标主机也不会刷新ARP缓存,从而避免了ARP欺骗的发生。

3.关闭ARP动态更新功能。除非很有必要,否则停止使用ARP,将ARP作为永久条目保存在对应表中。

4.使用ARP服务器。即指定局域网内部的一台机器作为ARP服务器,专门保存并且维护可信范围内的所有主机的IP地址与MAC地址映射记录。该服务器通过查阅自己缓存的静态记录并以被查询主机的名义响应ARP局域网内部的请求。确保这台ARP服务器不被黑。

5.使用“proxy”代理IP的传输。

6.使用硬件屏蔽主机。设置好路由,确保IP地址能到达合法的路径(静态配置路由ARP条目)。注意,使用交换集线器和网桥无法阻止ARP欺骗。

7.管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。

8.管理员定期轮询,检查主机上的ARP缓存。

9.使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章