企業可以通過發布網路管理制度來禁止arp欺騙問題的發生,發現有欺騙者和獎金等效益掛鉤。但是網咖不同於企業,來使用計算機和網路的都是顧客,也就是「上帝」,我們不可能對他們的行為做過多的約束,所以唯一能做的就是從技術上盡最大可能約束和檢查arp欺騙的**。
一 sniffer檢測法:
sniffer是網路管理的好工具,網路中傳輸的所有資料報都可以通過sniffer來檢測。同樣arp欺騙資料報也逃不出sniffer的監測範圍。
如果不正確,肯定是假冒的包,當然如果匹配的話,我們也不能過於放鬆,一樣不能代表是正確的,另外通過檢測到的資料報再結合閘道器這裡擁有的本網段所有mac位址網絡卡資料庫,看看哪個和mac資料庫中資料不匹配,這樣就可以找到假冒的arp資料報,並進一步找到**了。
關於mac位址網絡卡資料庫可以在第一次裝系統的時候進行記錄,將網咖座位號與mac位址等資訊做乙個對應**。檢視mac位址的方法是通過「開始->執行」,進入命令提示視窗,然後輸入ipconfig /all。在physical address的右邊就是相應網絡卡的mac位址。
二,dhcp結合靜態**法:
要想徹底避免arp欺騙的發生,我們需要讓各個計算機的mac位址與ip位址唯一且相對應。雖然我們可以通過為每台計算機設定ip位址的方法來管理網路,但是遇到那些通過arp欺騙非法攻擊的使用者來說,他可以事先自己手動更改ip位址,這樣檢查起來就更加複雜了,所以說保證每台計算機的mac位址與ip位址唯一是避免arp欺騙現象發生的前提。
首先我們可以在windows 2000 server或其他伺服器版作業系統上啟用dhcp服務,為網咖建立乙個dhcp伺服器,一般來說建議在閘道器上搭建。因為dhcp不占用多少cpu,而且arp欺騙攻擊一般總是先攻擊閘道器,攻擊閘道器的同時由於閘道器這裡有監控程式,所以可以在第一時間發現攻擊行為。當然為了減少攻擊的發生機率我們也可以把閘道器位址設定為網段的第二個位址,例如192.168.1.2,把
192.168.1.1
另外所有客戶機的ip位址及其相關主機資訊,只能由閘道器這裡取得,閘道器這裡開通dhcp服務,但是要給每個網絡卡,繫結固定唯一ip位址。一定要保持網內的機器ip/mac一一對應的關係。這樣客戶機雖然是dhcp取位址,但每次開機的ip位址都是一樣的。
以上這些繫結關係可以通過dhcp的位址池來解決,或者將客戶端獲得ip等網路引數資訊的租約設定為乙個非常長的時間,例如一年或者無限時間,這樣在此時間段裡只要mac位址不變,客戶端獲得的ip位址也是不變的。
把網咖內所有網絡卡的mac位址記錄下來,每個mac和ip、地理位置統統裝入資料庫,以便及時查詢備案。可以以excel**的形式,也可是儲存成資料庫檔案。
(3)禁止arp動態更新:
為了防止閘道器被隨意攻擊,我們還需要在閘道器機器上關閉arp動態重新整理功能,這樣的話,即使非法使用者使用arp欺騙攻擊閘道器的話,對閘道器是無效的,從而確保主機安全。在閘道器上建立靜態ip/mac**的方法如下。
第一步:建立/etc/ethers檔案,其中包含正確的ip/mac對應關係,格式為192.168.2.32 08:00:4e:b0:24:47。
第二步:然後在/etc/rc.d/rc.local最後新增arp -f生效即可。
上面這個禁止arp動態更新的方法是針對linux系統而言的。
(4)閘道器監測:
在閘道器上面使用tcpdump程式擷取每個arp程式包,弄乙個指令碼分析軟體分析這些arp協議。arp欺騙攻擊的包一般有以下兩個特點,滿足之一就可以視為攻擊包報警,第一是乙太網資料報頭的源位址、目標位址和arp資料報的協議位址不匹配。第二是arp資料報的傳送和目標位址不在自己網路網絡卡mac資料庫內,或者與自己網路mac資料庫mac/ip不匹配。我們也可以通過指令碼分析軟體實現自動報警功能,最後查這些資料報(乙太網資料報)的源位址就大致知道那台機器在發起攻擊了。
三,總結:
arp欺騙是目前網路管理,特別是區域網管理中最讓人頭疼的攻擊,他的攻擊技術含量低,隨便乙個人都可以通過攻擊軟體來完成arp欺騙攻擊。同時防範arp欺騙也沒有什麼特別有效的方法。
目前只能通過被動的亡羊補牢形式的措施了。本文介紹的兩個方法都是針對arp欺騙防範的,希望對讀者有所幫助。當然很多網路管理軟體開發公司都推出了自己的防範arp欺騙的產品,這些產品良莠不齊,大家選擇時更要仔細。
出處:www.net130.com
轉 從網咖的ARP欺騙看區域網的安全管理
在 網咖arp欺騙的原理及危害 一文中為大家介紹了arp欺騙攻擊的原理以及危害程度,相信各位網路管理員讀者都對arp欺騙深表痛恨,希望能夠徹底的禁止該現象的發生。雖然筆者不是網咖管理員,但是也在單位負責五個機房共200臺計算機。所以下面就根據筆者的經驗為大家介紹如何來防止arp欺騙,文章所說的這些方...
區域網安全 利用ARP欺騙劫持Cookie
0x 00 arp欺騙說明 實施arp欺騙在windows下,linux下都相關工具 由於在linux下可以開啟ip forward功能,個人認為linux下的工具作用效果比較好 0x 01 攻擊測試 1 攻擊拓撲 攻擊機 kali linux ip 192.168.1.109 受害機 win 7 ...
ettercap區域網arp欺騙,輕鬆竊密
ettercap是款可用於arp欺騙的軟體,支援linux,mac等,安裝就不多說了。先看看被攻擊的機器 arp a 此時是正常狀態。呆會將在192.168.1.112機器安裝ettercap進行攻擊。112機器安裝完成後,sudo ettercap g 以圖形介面方式開啟,必須sudo,不然會有許...