局域网ARP攻击和防护

1?????? ARP攻击原理介绍

1)???????? ARP协议的缺陷

ARP协议是建立在信任局域网内所有节点的基础上的,他的效率很高。但是不安全。它是无状态的协议。他不会检查自己是否发过请求包,也不知道自己是否发过请求包。他也不管是否合法的应答,只要收到目标mac地址是自己的ARP reply或者ARP广播包(包括ARP reply和ARP request),都会接受并缓存。

2)???????? ARP攻击原理

ARP欺骗攻击建立在局域网主机间相互信任的基础上的当A发广播询问:我想知道IP是192.168.0.3的硬件地址是多少?

此时B当然会回话:我是IP192.168.0.3我的硬件地址是mac-b,可是此时IP地址是192.168.0.4的C也非法回了:我是IP192.168.0.3,我的硬件地址是mac-c。而且是大量的。

所以A就会误信192.168.0.3的硬件地址是mac-c,而且动态更新缓存表这样主机C就劫持了主机A发送给主机B的数据,这就是ARP欺骗的过程。

假如C直接冒充网关,此时主机C会不停的发送ARP欺骗广播,大声说:我的IP是192.168.0.1,我的硬件地址是mac-c,此时局域网内所有主机都被欺骗,更改自己的缓存表,此时C将会监听到整个局域网发送给互联网的数据报。

3)???????? ARP攻击的危害

通过ARP攻击可以实现中间人攻击,导致受害者的上网数据都会经过攻击者,从而受害者的上网数据完全暴露给了攻击者,哪怕受害者使用https访问外部网站,数据同样可以被攻击者劫持和查看。

2?????? ARP防护方法

2.1??? 主机层防护

2.1.1? 手工绑定网关IP和MAC(方法一)

在Windows主机系统下使用“arp –s“命令静态绑定网关IP和MAC地址

arp –s 192.168.1.1 AA-AA-AA-AA-AA-AA

此种方法适用于主机使用静态分配ip的场景。

2.1.2? 在终端电脑安装ARP防火墙(防火二)

在终端电脑上面安装ARP防火墙,例如360的ARP防火墙等等。

此种方法适用于终端主机以动态获取IP或静态分配IP的场景

2.2??? 网络层(交换机)防护

2.2.1? 交换机MAC地址绑定(方法一)

交换机的每个接入层端口绑定连接的主机的MAC地址,下面是以思科交换机绑定MAC地址为示例的:


Switch#c onfig terminal

#进入配置模式

Switch(config)# Interface fastethernet ? 0/1

#进入具体端口配置模式

Switch(config-if)#Switchport ? port-secruity

#配置端口安全模式

Switch(config-if )switchport ? port-security mac-address MAC(主机的MAC地址)

#配置该端口要绑定的主机的MAC地址

Switch(config-if )no switchport ? port-security mac-address MAC(主机的MAC地址)

#删除绑定主机的MAC地址

?

此种方法适用于终端主机以动态获取IP或静态分配IP的场景

2.2.2? 交换机IP-MAC地址绑定(方法二)

在交换机的接入层端口绑定连接的主机的IP+MAC。

2.2.3? 交换机启用DHCP snooping(方法三)

一、采用DHCP服务的常见问题

架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题,常见的有:

●DHCP Server的冒充

?? DHCP Server的DOS攻击,如DHCP耗竭攻击

?? 某些用户随便指定IP地址,造成IP地址冲突

?

1、DHCP Server的冒充

由于DHCP服务器和客户端之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数。只要让该DHCP服务器分配错误的IP地址和其他网络参数,那就会对网络造成非常大的危害。

?

2、DHCP Server的拒绝服务攻击?

通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR(也就是Client MAC address)字段来判断客户端的MAC地址。正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。攻击者可以利用伪造MAC的方式发送DHCP请求,但这种攻击可以使用Cisco 交换机的端口安全特性来防止。端口安全特性(Port Security)可以限制每个端口只使用唯一的MAC地址。但是如果攻击者不修改DHCP请求报文的源MAC地址,而是修改DHCP报文中的CHADDR字段来实施攻击,那端口安全就不起作用了。由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端,所以攻击者可以通过大量发送伪造CHADDR的DHCP请求,导致DHCP服务器上的地址池被耗尽,从而无法为其他正常用户提供网络地址,这是一种DHCP耗竭攻击。DHCP耗竭攻击可以是纯粹的DOS攻击,也可以与伪造的DHCP服务器配合使用。当正常的DHCP服务器瘫痪时,攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址,使它们将信息转发给准备截取的恶意计算机。甚至即使DHCP请求报文的源MAC地址和CHADDR字段都是正确的,但由于DHCP请求报文是广播报文,如果大量发送的话也会耗尽网络带宽,形成另一种拒绝服务攻击。

?

3、客户端随意指定IP地址

客户端并非一定要使用DHCP服务,它可以通过静态指定的方式来设置IP地址。如果随便指定的话,将会大大提高网络IP地址冲突的可能性。

?

二、DHCP Snooping技术介绍

DHCP监听(DHCP Snooping)是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性,交换机能够拦截第二层VLAN域内的所有DHCP报文。

DHCP监听将交换机端口划分为两类:

? ●非信任端口:通常为连接终端设备的端口,如PC,网络打印机等

? ●信任端口:连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口

?

通过开启DHCP监听特性,交换机限制用户端口(非信任端口)只能够发送DHCP请求,丢弃来自用户端口的所有其它DHCP报文,例如DHCP Offer报文等。而且,并非所有来自用户端口的DHCP请求都被允许通过,交换机还会比较DHCP 请求报文的(报文头里的)源MAC地址和(报文内容里的)DHCP客户机的硬件地址(即CHADDR字段),只有这两者相同的请求报文才会被转发,否则将被丢弃。这样就防止了DHCP耗竭攻击。

信任端口可以接收所有的DHCP报文。通过只将交换机连接到合法DHCP服务器的端口设置为信任端口,其他端口设置为非信任端口,就可以防止用户伪造DHCP服务器来攻击网络。DHCP监听特性还可以对端口的DHCP报文进行限速。通过在每个非信任端口下进行限速,将可以阻止合法DHCP请求报文的广播攻击。

DHCP监听还有一个非常重要的作用就是建立一张DHCP监听绑定表(DHCP Snooping Binding)。一旦一个连接在非信任端口的客户端获得一个合法的DHCP Offer,交换机就会自动在DHCP监听绑定表里添加一个绑定条目,内容包括了该非信任端口的客户端IP地址、MAC地址、端口号、VLAN编号、租期等信息。


Switch#show ip dhcp snooping binding
? MacAddress
?
? IpAddress
?
? Lease(sec) Type
?
? VLAN
?
? Interface
? ------------------ --------------- ---------- ------------- -----------
? 00:0F:1F:C5:10:08 192.168.10.131 682463 dhcp-snooping 10 FastEthernet0/1

这张DHCP监听绑定表为进一步部署IP源防护(IPSG)和动态ARP检测(DAI)提供了依据。说明:

?

2? 非信任端口只允许客户端的DHCP请求报文通过,这里只是相对于DHCP报文来说的。其他非DHCP报文还是可以正常转发的。这就表示客户端可以以静态指定IP地址的方式通过非信任端口接入网络。由于静态客户端不会发送DHCP报文,所以DHCP监听绑定表里也不会有该静态客户端的记录。

?

2? 信任端口的客户端信息不会被记录到DHCP监听绑定表里。如果有一客户端连接到了一个信任端口,即使它是通过正常的DHCP方式获得IP地址,DHCP监听绑定表里也不有该客户端的记录。如果要求客户端只能以动态获得IP的方式接入网络,则必须借助于IPSG和DAI技术。

?

2? 交换机为了获得高速转发,通常只检查报文的二层帧头,获得目标MAC地址后直接转发,不会去检查报文的内容。而DHCP监听本质上就是开启交换机对DHCP报文的内容部分的检查,DHCP报文不再只是被检查帧头了。

?

2? DHCP监听绑定表不仅用于防御DHCP攻击,还为后续的IPSG和DAI技术提供动态数据库支持。

?

三、DHCP Snooping和ARP探测的关系

?

ARP 探测就是对经过设备的所有ARP 报文进行检查,DHCP Snooping需要提供数据库信息供 ARP 探测使用,在开启DAI 功能的设备上,当收到ARP报文时,DAI 模块就根据报文查询DHCP snooping的绑定数据库,只有当收到得ARP 报文得mac、ip 和端口信息都匹配时才认为收到的ARP 报文是合法的,才进行相关的学习和转发操作,否则丢弃该报文。

?

?

参考资料:

http://bbs.51cto.com/thread-1116776-1-1.html

时间: 2024-10-10 15:20:21

局域网ARP攻击和防护的相关文章

浅谈局域网ARP攻击的危害及防范方法(图)

浅谈局域网ARP攻击的危害及防范方法(图)   作者:冰盾防火墙 网站:www.bingdun.com 日期:2015-03-03   自 去年5月份开始出现的校内局域网频繁掉线等问题,对正常的教育教学带来了极大的不便,可以说是谈“掉”色变,造成这种现象的情况有很多,但目前最常见的是 ARP攻击了.本文介绍了 ARP攻击的原理以及由此引发的网络安全问题,并且结合实际情况,提出在校园网中实施多层次的防范方法,以解决因ARP攻击而引发的网络安全问题,最后介 绍了一些实用性较强且操作简单的检测和抵御攻

ARP协议(5)ARP攻击和防护

一.ARP攻击 我们先来看ARP的功能:ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行. ARP的具体实现方式,我在<ARP协议(1)什么是ARP协议>已有说明: Q:这张映射表是如何生成的? A: (1)这张表中,每条记录(非静态)的生存时间一般为20分钟,起始时间从被创建开始算起,一旦过期,将在这张表中删除.(手动删除全部,可以用 arp -d *命令). (2)当A主机要发送信息给B时,A先在ARP高速缓存里查询B的IP是否有对应的MAC地址,

记一次 Ubuntu 使用 arptables 抵御局域网 ARP 攻击

. . . . . 前段时间大概有一个月左右,租房的网络每天都断一次,每次断大概一两分钟左右就恢复了,所以没太在意.直到有一天晚上,LZ 正在写博客,但是网络频繁中断又重新连上再中断.待 LZ 好不容易找了个连上网的空隙把没写完的博文暂存了一下,然后就开始着手排查问题. 通过 arp(1) 命令发现网关的 mac 地址不是房东路由器的地址,于是第一反应便是内网发生了 ARP 攻击. 于是 LZ 打开 Wireshark 开始抓包,发现内网 192.168.1.129 这台主机向内网频繁的发送 A

网络转载:局域网安全:解决ARP攻击的方法和原理

局域网安全:解决ARP攻击的方法和原理 IT世界网2006-01-26 10:17 [故障原因] 局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序). [故障原理] 要了解故障原理,我们先来了解一下ARP协议. 在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的.ARP协议对网络安全具有重要的意义.通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞. ARP协议是“Address Re

arp攻击 (可查看同一局域网他人手机照片)

国家法律一定要遵守,知识要用在对的地方. 本贴只为了和大家交流学习,请勿用在其他地方,损害任何人的利益. 今天我,来说一下arp攻击的原理和教程 原理什么的还是自行百度好,因为专业的说明是严谨而又经得起推敲的.这里就放一张图片 下面说一下具体教程 首先要准备 1.装有kali的虚拟机 2.一个具有监听功能的网卡(这里我用的是外置网卡) 首先通过外置网卡让kali连上无线网. 直接让usb网卡和电脑相连 然后选择接入kali虚拟机就好了 然后通过ifconfig可知目前kali的ip为192.16

基于Layer2交换网络的ARP攻击防御

故障现象  客户企业反映"常有部分人不能上网",且毫无规律.经了解整栋大楼物理拓扑结构为"接入-汇聚-网关",整个交换网络工作在二层(Layer2)模式 ,客户端基本采用固定IP,接入层交换机华为二层1700/1720系列,核心汇聚为华为5700 千兆三层(Layer3)交换. 排查步骤 STEP1:搜集 登陆网关(H3C-F1000-c防火墙)查看安全日志,幸运的是很快就发现类似"duplicate ip 192.168.1.1.../ARP"

解决linux ARP攻击

一.知识背景1.什么是arpARP,即地址解析协议,实现通过IP地址得知其物理地址.在TCP/IP网络环境下,每个主机都分配了一个32位的IP地址,这种互联网地址是在网际范 围标识主机的一种逻辑地址.为了让报文在物理网路上传送,必须知道对方目的主机的物理地址.这样就存在把IP地址变换成物理地址的地址转换问题.以以太网 环境为例,为了正确地向目的主机传送报文,必须把目的主机的32位IP地址转换成为48位以太网的地址.这就需要在互连层有一组服务将IP地址转换为相应 物理地址,这组协议就是ARP协议.

信息安全技术实验二 网络扫描实验+ARP攻击

一.实验目的及要求 1. 了解扫描技术的工作原理: 2. 加深对网络底层的理解: 3. 掌握常用扫描工具的基本用法: 4. 学习扫描器程序设计的基本方法.(以后再补充) 二.实验环境及相关情况(包含使用软件.实验设备.主要仪器及材料等) 1.实验设备:微型计算机: 2.软件系统:Windows 7操作系统,Nmap. 三.实验内容 1. Windows平台下Nmap的安装. 2. Windows平台下Nmap的使用. 3. Windows平台下查看本地端口. 4. 端口扫描的防范. 四.实验步骤

【笔记】安全攻击与防护

公开信息收集-搜索引擎 快速定位Google 搜索“5sf67.jsp”可以找到存在此脚本的Web网站Google 搜索“teweb/default.htm”就可找到开放着远程Web连接的服务器信息挖掘定点采集Google 搜索 “.doc+website”挖掘信息隐藏信息.mdb..ini..txt..old..bak..001……后台入口 网络信息收集-域名信息 whois用来查询域名是否被注册以及注册的详细资料. https://www.whois.net/ 信息收集技术-域名与IP查询域