ARP協議概述
ARP協議(address resolution protocol)地址解析協議。
一台主機和另一台主機通信,要知道目標的IP地址,但是在局域網中傳輸數據的網卡卻不能直接識別IP地址,所以用ARP解析協議將IP地址解析成MAC地址。ARP協議的基本功能就是通過目標設備的IP地址,來查詢目標設備的mac地址。
在局域網的任意一台主機中,都有一個ARP緩存表,里面保存本機已知的此局域網中各主機和路由器的IP地址和MAC地址的對照關系。ARP緩存表的生命周期是有時限的(一般不超過20分鍾)。
舉個例子:假設局域網中有四台主機
主機A想和主機B通信,主機A會先查詢自己的ARP緩存表里有沒有B的聯系方式,有的話,就將mac-b地址封裝到數據包外面,發送出去。沒有的話,A會向全網絡發送一個ARP廣播包,大聲詢問:我的IP地址是192.168.0.2,硬件地址是mac-a,我想知道IP地址是192.168.0.3的硬件地址是多少?、
此時,局域網內所有主機都收到了,B收到后會單獨私密回應:我是192.168.0.3,我的硬件地址是 mac-b ,其他主機不會理A的此時A知道了B的信息,同時也會動態的更新自身的緩存表。
APR攻擊發現
首先診斷是否為ARP病毒攻擊
1. 當發現上網明顯變慢,或者突然掉線時,我們可以用 arp -a 命令來檢查ARP表:(點擊“開始”按鈕-選擇“運行”-輸入“cmd”點擊"確定"按鈕,在窗口中輸入“arp -a”命令)如果發現網關的MAC地址發生了改變,或者發現有很多IP指向同一個物理地址,那么肯定就是ARP欺騙所致。這時可以通過“arp -d”清除arp列表,重新訪問。
2. 利用ARP防火牆類軟件(如:360ARP防火牆、AntiARPSniffer等)。
如何判斷交換機是否受到ARP攻擊以及處理方式
1. 如果網絡受到了ARP攻擊,可能會出現如下現象:
-
用戶掉線、頻繁斷網、上網慢、業務中斷或無法上網。
-
設備CPU占用率較高、設備托管、下掛設備掉線、設備主備狀態震盪、設備端口指示燈紅色快閃。
-
Ping有時延、丟包或不通。
局域網內的機器遭到ARP病毒欺騙攻擊,如果找到源頭的機器,將其病毒或木馬殺掉,局域網內機器就會恢復正常,那么如何才能快速定位到攻擊的源頭機器呢?
1. 用arp -a命令。當發現上網明顯變慢,或者突然掉線時,我們可以用arp -a命令來檢查ARP表。如果發現網關的MAC地址發生了改變,或者發現有很多IP地址指向同一個MAC地址,那么肯定就是ARP攻擊所致。
2. 利用彩影ARP防火牆軟件查看。如果網卡是處於混雜模式或者ARP請求包發送的速度大或者ARP請求包總量非常大,判斷這台機器有可能就是“元凶”。定位好機器后,再做病毒信息收集工作。
3、通過路由器的“系統歷史記錄”查看。由於ARP攻擊的木馬程序發作的時候會發出大量的數據包導致局域網通訊阻塞以及其自身處理能力的限制,用戶會感覺上網速度越來越慢。當ARP攻擊的木馬程序停止運行時,用戶會恢復從路由器上網,切換過程中用戶會再斷一次線。
這個消息代表了用戶的MAC地址發生了變化,在ARP攻擊木馬開始運行的時候,局域網所有主機的MAC地址更新為病毒主機的MAC地址(即所有信息的MAC New地址都一致為病毒主機的MAC地址),同時在路由器的“用戶統計”中看到所有用戶的MAC地址信息都一樣。
如果是在路由器的“系統歷史記錄”中看到大量MAC Old地址都一致,則說明局域網內曾經出現過ARP攻擊(ARP攻擊的木馬程序停止運行時,主機在路由器上恢復其真實的MAC地址)。
ARP攻擊過程
攻擊方式
1. 簡單的詐騙攻擊
這是對比多見的攻擊,經過發送偽造的ARP包來詐騙路由和方針主機,讓方針主機認為這是一個合法的主機,便完成了詐騙,這種詐騙多發生在同一網段內,因為路由不會把本網段的包向外轉發,當然完成不一樣網段的攻擊也有辦法,便要經過ICMP協議來告訴路由器從頭挑選路由。
2. 根據ARP的DOS
這是新呈現的一種攻擊辦法,D.O.S又稱拒絕服務攻擊,當大量的銜接請求被發送到一台主機時,因為主機的處理才能有限,不能為正常用戶提供服務,便呈現拒絕服務。這個過程中假如運用ARP來躲藏自己,在被攻擊主機的日志上就不會呈現真實的IP攻擊,也不會影響到本機。
3. MAC Flooding
這是一個對比風險的攻擊,能夠溢出交流機的ARP表,使全部網絡不能正常通訊。
4. 交流環境的嗅探
在開始的小型局域網中咱們運用HUB來進行互連,這是一種廣播的辦法,每個包都會經過網內的每台主機,經過運用軟件,就能夠嗅談到全部局域網的數據。現在的網絡多是交流環境,網絡內數據的傳輸被鎖定的特定方針。既已斷定的方針通訊主機,在ARP詐騙的根底之上,能夠把自己的主機偽形成一個中心轉發站來監聽兩台主機之間的通訊。
arp攻擊的防護
1. ARP 高速緩存超時設置
在ARP高速緩存中的表項一般都要設置超時值,縮短這個這個超時值能夠有用的避免ARP表的溢出。
2. IP+MAC訪問操控(推薦使用)
單純依托IP或MAC來樹立信賴聯系是不安全,抱負的安全聯系樹立在IP+MAC的根底上,這也是咱們校園網上網有必要綁定IP和MAC的因素之一。
3. 靜態ARP緩存表
每台主機都有一個暫時寄存IP-MAC的對應表ARP攻擊就經過更改這個緩存來到達詐騙的意圖,運用靜態的ARP來綁定正確的MAC是一個有用的辦法,在命令行下運用arp -a能夠檢查當時的ARP緩存表。
4. 自動查詢
在某個正常的時間,做一個IP和MAC對應的數據庫,以后定時檢查當時的IP和MAC對應聯系是否正常,定時檢查交流機的流量列表,檢查丟包率。
ARP本省不能形成多大的損害,一旦被聯系使用,其風險性就不可估量,因為ARP自身的疑問,使得防備ARP的攻擊很棘手,經常檢查當時的網絡狀況,監控流量對一個站長來說是個很好的風氣
推薦閱讀
>>>【必備干貨】網工入門必會橋接教程,外網+GNS3+Vmware
網工界市場認可度極高的華為認證,你考了嗎?
拿下華為HCIE認證之后,你可以:
-
跨越90%企業的招聘硬門檻
-
增加70%就業機會
-
拿下BAT全國TOP100大廠敲門磚
-
體系化得到網絡技術硬實力
-
技術大佬年薪可達30w+
資源放送
2022新版華為思科雙廠商認證18集小白入門到進階實戰課,掃描下方二維碼,即可觀看:
