arp攻击介绍及其防患[网络技术]

1、要想防患arp攻击,那么我们要知道什么是arp?
   ARP:地址解析协议,用于将32位的IP地址解析成48位的物理mac地址.
   在以太网协议中,规定同一局域网中的主机彼此通信,必须知道对方的物理地址（即mac地址）,而在tcp/ip协议中,网络层和传输层只关心目标主机的ip地址.这就招致在以太网中利用IP协议时,数据链路层的以太网协议接到上层的IP协议供应的数据中,只包含目的主机的IP地址.所以就需求一种协议,按照目的的IP地址,得到其mac地址.所以arp协议就应运而生.
   别的,当发送主机和目的主机不在同一个局域网中时,即便知道目的主机的MAC地址,二者也不能直接通信,必须经过路由转发才可以.所以此时,发送主机通过ARP协议得到的将不是目的主机的真实MAC地址,而是一台可以通往局域网外的路由器的某个端口的MAC地址.于是此后发送主机发往目的主机的全部帧,都将发往该路由器,通过它向外发送.这种情形称为ARP代理（ARP Proxy）.
2、arp攻击的原理
   ARP攻击就是通过假造IP地址和MAC地址实现ARP拐骗,可以在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出假造的ARP呼应包就可以更改目标主机ARP缓存中的IP-MAC条目,造成网络中止或中间人攻击.
   ARP攻击主如果存在于局域网网络中,局域网中若有一台计算机传染ARP木马,则传染该ARP木马的系统将会试图通过“ARP拐骗”手段截获所在网络内别的计算机的通信信息,并因此造成网内别的计算机的通信弊端.
3、什么是arp拐骗
   在局域网中,黑客经过收到ARP Request广播包,可以偷听到别的节点的 (IP, MAC) 地址, 黑客就假装为A,奉告B (受害者) 一个假地址,使得B在发送给A 的数据包都被黑客截取,而A, B 浑然不知.
4、arp的攻击方法:
 1、ip地址冲突
   Arp病毒制造者制造出局域网上有另一台主机与受害主机同享一个IP的假象.大量的攻击数据包能令受害主机耗费大量的系统资源.
①单播型的IP地址冲突
数据链路层记录的目的物理地址为被攻击主机的物理地址,这样使得该arp数据包只能被受攻击主机所接纳,而不被局域网内其他主机所接纳,实现躲藏式攻击.
②广播型的IP地址冲突
数据链路层记录的目的物理地址为广播地址,这样使得局域网内的全部主机城市接纳到该arp数据包,固然该arp数据包所记录的目的IP地址不是受攻击主机的IP地址,但是由于该arp数据包为广播数据包,这样受攻击主机也会收到.
 2、arp泛洪攻击
   攻击主机持续把假造的mac-ip映射对发给受害的主机,关于局域网内的全部主机和网管举行广播,抢占网络带宽和干扰正常通信.
 3、arp扫描攻击
   Arp攻击者向局域网发送arp恳求,从而得到正在运行主机的IP和MAC地址的映射对.攻击源通过对arp扫描得到所要攻击的IP和mac地址,从而为网络监听、盗取用户数据,实现躲藏式攻击做预备.
 4、虚拟主机攻击
   黑客通过在网络内虚拟构建网卡,将自己虚拟成网络内的一台主机,拥有虚拟的物理地址和IP地址.使得占用局域网内的IP地址资源,使得正常运行的主机会发生IP地址冲突,并且大量的虚拟主机攻击会使得局域网内的主机无法正常得到IP地址.
 5、arp拐骗攻击
   目的是向目标主机发送假造的arp应答,并使目标主机接纳应答中的IP与MAC间的映射,并以此更新目标主机缓存.从而影响链接通畅.其方法有:假充主机拐骗网关,原理是截获网关数据和假充网关拐骗主机,原理是假造网关.
5、arp攻击防患办法
 1、在客户端静态绑定IP地址和MAC地址
   进入号令行arp –a号令查看,获得本机的网关IP地址和网关mac地址
      编写一个批处理内容为:
       @echo off
       arp -d
       arp –s 网关的IP地址 自己的mac地址
     保存放置到开机启动项里
 2、设置arp服务器
   指定局域网内部的一台机械作为arp服务器,专门保存且保护可托范围内的全部主机的IP地址与mac地址的映射记录.该服务器通过查阅自己的arp缓存的静态记录,并以被查询主机的名义呼应局域网内部的arp恳求,同时设置局域网内部其他主机只是用来自arp服务器的arp呼应.
 3、交换机端口设置
   通过划分VLAN和交换机端口绑定,以图防备ARP,也是常用的防备办法.做法是具体地划分VLAN,减小广播域的范围,使ARP在小范围内起作用,而不至于发生大面积影响.同时,一些网管交换机具有MAC地址学习的功效,学习完成后,再关闭这个功效,便可以把对应的MAC和端口举行绑定,避免了病毒操纵ARP攻击篡改自身地址.也就是说,把ARP攻击中被截获数据的风险解除了.这种办法确切能起到一定的作用.
　　不过,VLAN和交换机端口绑定的问题在于:
　　①没有对网关的任何保护,不管若何细分VLAN,网关一旦被攻击,照样会造成全网上网的掉线和瘫痪.
　　②把每一台电脑都紧紧地固定在一个交换机端口上,这种管理太古板了.这根本不合适移动终端的利用,从办公室到会议室,这台电脑恐怕就无法上网了.在无线利用下,又怎么办呢?还是需求其他的办法.
　　③实施交换机端口绑定,一定要全部采取高级的网管交换机、三层交换机,整个交换网络的造价大大提高.
因为交换网络本身就是无条件支持ARP操作的,就是它本身的漏洞造成了ARP攻击的大概,它上面的管理手段不是针对ARP的.因此,在现有的交换网络上实施ARP防备办法,属于以子之矛攻子之盾.并且操作保护复杂,基本上是个吃力不奉迎的事情.
4、ARP个人防火墙
　在一些杀毒软件中加入了ARP个人防火墙的功效,它是通过在终端电脑上对网关举行绑定,保证不受网络中假网关的影响,从而保护自身数据不被盗取的办法.ARP防火墙利用范围很广,有很多人认为有了防火墙,ARP攻击就不构成威胁了,其实完好不是那么回事.
　　ARP个人防火墙也有很大缺陷:
　　①它不能保证绑定的网关一定是精确的.假如一个网络中已经发生了ARP拐骗,有人在假造网关,那么,ARP个人防火墙上来就会绑定这个错误的网关,这是具有极大风险的.即便配置中不默许而发出提醒,贫乏网络知识的用户恐怕也无所适从.
　　②ARP是网络中的问题,ARP既能假造网关,也能截获数据,是个“双头怪”.在个人终端上做ARP防备,而不管网关那端若何,这本身就不是一个完好的办法.ARP个人防火墙起到的作用,就是避免自己的数据不会被盗取,而整个网络的问题,如掉线、卡滞等,ARP个人防火墙是无能为力的.
　　因此,ARP个人防火墙并没有供应坚固的保证.最重要的是,它是跟网络安定无关的办法,它是个人的,不是网络的.
5、安装监听软件
  可以安装Sniffer软件,监听网络中的arp包,由于arp拐骗常常利用广播情势传达,即便在交换机环境下也明显能监听到某PC法则在狂发arp包,可以定位到arp病毒源主机.
 6、反拐骗
   通过号令设置一个错误的网关地址,反拐骗arp病毒,然后再增添一条静态路由,设置精确的网关用于正常的网络拜候.