防范方法
1�、捆綁MAC和IP地址
杜絕IP 地址盜用現(xiàn)象。如果是通過(guò)代理服務(wù)器上網(wǎng):到代理服務(wù)器端讓網(wǎng)絡(luò)管理員把上網(wǎng)的靜態(tài)IP 地址與所記錄計(jì)算機(jī)的網(wǎng)卡地址進(jìn)行捆綁����。如: ARP-s 192.16.10.400-EO-4C-6C-08-75。這樣���,就將上網(wǎng)的靜態(tài)IP 地址192.16.10.4 與網(wǎng)卡地址為00-EO-4C-6C-08-75 的計(jì)算機(jī)綁定在一起了��,即使別人盜用您的IP 地址�,也無(wú)法通過(guò)代理服務(wù)器上網(wǎng)�����。如果是通過(guò)交換機(jī)連接,可以將計(jì)算機(jī)的IP地址��、網(wǎng)卡的MAC 地址以及交換機(jī)端口綁定���。
2�����、修改MAC地址�����,欺騙ARP欺騙技術(shù)
就是假冒MAC 地址����,所以最穩(wěn)妥的一個(gè)辦法就是修改機(jī)器的MAC 地址����,只要把MAC 地址改為別的,就可以欺騙過(guò)ARP 欺騙�,從而達(dá)到突破封鎖的目的。
3���、使用ARP服務(wù)器
使用ARP 服務(wù)器�。通過(guò)該服務(wù)器查找自己的ARP 轉(zhuǎn)換表來(lái)響應(yīng)其他機(jī)器的ARP 廣播��。確保這臺(tái)ARP 服務(wù)器不被攻擊�。
4、交換機(jī)端口設(shè)置
(1)端口保護(hù)(類似于端口隔離):ARP 欺騙技術(shù)需要交換機(jī)的兩個(gè)端口直接通訊����,端口設(shè)為保護(hù)端口即可簡(jiǎn)單方便地隔離用戶之間信息互通,不必占用VLAN 資源�����。同一個(gè)交換機(jī)的兩個(gè)端口之間不能進(jìn)行直接通訊�����,需要通過(guò)轉(zhuǎn)發(fā)才能相互通訊���。
(2)數(shù)據(jù)過(guò)濾:如果需要對(duì)報(bào)文做更進(jìn)一步的控制用戶可以采用ACL(訪問(wèn)控制列表)�����。ACL 利用IP 地址�����、TCP/UDP 端口等對(duì)進(jìn)出交換機(jī)的報(bào)文進(jìn)行過(guò)濾�,根據(jù)預(yù)設(shè)條件,對(duì)報(bào)文做出允許轉(zhuǎn)發(fā)或阻塞的決定����。華為和Cisco 的交換機(jī)均支持IP ACL 和MAC ACL,每種ACL 分別支持標(biāo)準(zhǔn)格式和擴(kuò)展格式�����。標(biāo)準(zhǔn)格式的ACL 根據(jù)源地址和上層協(xié)議類型進(jìn)行過(guò)濾����,擴(kuò)展格式的ACL 根據(jù)源地址、目的地址以及上層協(xié)議類型進(jìn)行過(guò)濾��,異詞檢查偽裝MAC 地址的幀�����。
5�����、禁止網(wǎng)絡(luò)接口做ARP 解析
在相對(duì)系統(tǒng)中禁止某個(gè)網(wǎng)絡(luò)接口做ARP 解析(對(duì)抗ARP欺騙攻擊),可以做靜態(tài)ARP 協(xié)議設(shè)置(因?yàn)閷?duì)方不會(huì)響應(yīng)ARP 請(qǐng)求報(bào)義)如: ARP –s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系統(tǒng)中如:Unix �, NT 等,都可以結(jié)合“禁止相應(yīng)網(wǎng)絡(luò)接口做ARP 解析”和“使用靜態(tài)ARP 表”的設(shè)置來(lái)對(duì)抗ARP 欺騙攻擊�。而Linux 系統(tǒng),其靜態(tài)ARP 表項(xiàng)不會(huì)被動(dòng)態(tài)刷新��,所以不需要“禁止相應(yīng)網(wǎng)絡(luò)接口做ARP 解析”����,即可對(duì)抗ARP 欺騙攻擊���。
6��、使用硬件屏蔽主機(jī)
設(shè)置好你的路由�,確保IP 地址能到達(dá)合法的路徑����。( 靜態(tài)配置路由ARP 條目),注意�����,使用交換集線器和網(wǎng)橋無(wú)法阻止ARP 欺騙��。
7、定期檢查ARP緩存
管理員定期用響應(yīng)的IP 包中獲得一個(gè)rarp 請(qǐng)求, 然后檢查ARP 響應(yīng)的真實(shí)性����。定期輪詢, 檢查主機(jī)上的ARP 緩存。使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)����。注意有使用SNMP 的情況下,ARP 的欺騙有可能導(dǎo)致陷阱包丟失����。
技巧一則
址的方法個(gè)人認(rèn)為是不實(shí)用的,首先, 這樣做會(huì)加大網(wǎng)絡(luò)管理員的工作量���,試想�,如果校園網(wǎng)內(nèi)有3000個(gè)用戶����,網(wǎng)絡(luò)管理員就必須做3000 次端口綁定MAC 地址的操作,甚至更多�。其次, 網(wǎng)絡(luò)管理員應(yīng)該比較清楚的是, 由于網(wǎng)絡(luò)構(gòu)建成本的原因,接入層交換機(jī)的性能是相對(duì)較弱的, 功能也相對(duì)單一一些, 對(duì)于讓接入層交換機(jī)做地址綁定的工作��,對(duì)于交換機(jī)性能的影響相當(dāng)大, 從而影響網(wǎng)絡(luò)數(shù)據(jù)的傳輸���。
建議用戶采用綁定網(wǎng)關(guān)地址的方法解決并且防止ARP 欺騙�����。
1) 首先, 獲得安全網(wǎng)關(guān)的內(nèi)網(wǎng)的MAC 地址��。( 以windowsXP 為例)點(diǎn)擊"開(kāi)始"→"運(yùn)行", 在打開(kāi)中輸入cmd����。點(diǎn)擊確定后將出現(xiàn)相關(guān)網(wǎng)絡(luò)狀態(tài)及連接信息, 然后在其中輸入ipconfig/all,然后繼續(xù)輸入arp - a 可以查看網(wǎng)關(guān)的MAC 地址����。
2) 編寫一個(gè)批處理文件rarp.bat( 文件名可以任意) 內(nèi)容如下:
@echo off
arp - d
arp - s 192.168.200.1 00- aa- 00- 62- c6- 09
將文件中的網(wǎng)關(guān)IP 地址和MAC 地址更改為實(shí)際使用的網(wǎng)關(guān)IP 地址和MAC 地址即可�。
3) 編寫完以后, 點(diǎn)擊"文件" →"另存為"。注意文件名一定要是*.bat 如arp.bat 保存類型注意要選擇所有類型����。點(diǎn)擊保存就可以了。最后刪除之前創(chuàng)建的"新建文本文檔"就可以�。
4) 將這個(gè)批處理軟件拖到"windows- - 開(kāi)始- - 程序- - 啟動(dòng)"中, ( 一般在系統(tǒng)中的文件夾路徑為C:\Documents and Settings\All Users\「開(kāi)始」菜單\ 程序\ 啟動(dòng)) 。
5) 最后重新啟動(dòng)一下電腦就可以�。
靜態(tài)ARP 表能忽略執(zhí)行欺騙行為的ARP 應(yīng)答, 我們采用這樣的方式可以杜絕本機(jī)受到ARP 欺騙包的影響。對(duì)于解決ARP 欺騙的問(wèn)題還有多種方法: 比如通過(guò)專門的防ARP 的軟件, 或是通過(guò)交換機(jī)做用戶的入侵檢測(cè)�����。前者也是個(gè)針對(duì)ARP欺騙的不錯(cuò)的解決方案, 但是軟件的設(shè)置過(guò)程并不比設(shè)置靜態(tài)ARP 表簡(jiǎn)單。后者對(duì)接入層交換機(jī)要求太高, 如果交換機(jī)的性能指標(biāo)不是太高, 會(huì)造成比較嚴(yán)重的網(wǎng)絡(luò)延遲, 接入層交換機(jī)的性能達(dá)到了要求, 又會(huì)使網(wǎng)絡(luò)安裝的成本提高�。
在應(yīng)對(duì)ARP 攻擊的時(shí)候,除了利用上述的各種技術(shù)手段�����,還應(yīng)該注意不要把網(wǎng)絡(luò)安全信任關(guān)系建立在IP 基礎(chǔ)上或MAC 基礎(chǔ)上����,最好設(shè)置靜態(tài)的MAC->IP 對(duì)應(yīng)表,不要讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表���,除非很有必要��,否則停止使用ARP�,將ARP 做為永久條目保存在對(duì)應(yīng)表中�����。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)�����!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
