ARP協(xié)議欺騙一直是我們網(wǎng)絡(luò)中的大敵����。很多網(wǎng)絡(luò)管理員的必修課都是跟這個(gè)家伙打交道。但是�����,如何有效防范它的欺騙和攻擊呢���?今天我們就簡單為大家介紹一下這方面的內(nèi)容����。
ARP協(xié)議欺騙的防范
1、運(yùn)營商可采用Super VLAN或PVLAN技術(shù)
所謂Super VLAN也叫VLAN聚合����,這種技術(shù)在同一個(gè)子網(wǎng)中化出多個(gè)Sub VLAN,而將整個(gè)IP子網(wǎng)指定為一個(gè)VLAN聚合(Super VLAN)�����,所有的Sub VLAN都使用Super VLAN的默認(rèn)網(wǎng)關(guān)IP地址�,不同的Sub VLAN仍保留各自獨(dú)立的廣播域。子網(wǎng)中的所有主機(jī)只能與自己的默認(rèn)網(wǎng)關(guān)通信���。如果將交換機(jī)或IP DSLAM設(shè)備的每個(gè)端口化為一個(gè)Sub VLAN�,則實(shí)現(xiàn)了所有端口的隔離��,也就避免了ARP欺騙���。
PVLAN即私有VLAN(Private VLAN) ��,PVLAN采用兩層VLAN隔離技術(shù)���,只有上層VLAN全局可見,下層VLAN相互隔離。如果將交換機(jī)或IP DSLAM設(shè)備的每個(gè)端口化為一個(gè)(下層)VLAN�����,則實(shí)現(xiàn)了所有端口的隔離�����。
PVLAN和SuperVLAN技術(shù)都可以實(shí)現(xiàn)端口隔離����,但實(shí)現(xiàn)方式����、出發(fā)點(diǎn)不同。PVLAN是為了節(jié)省VLAN�,而SuperVlan的初衷是節(jié)省IP地址。
2�����、單位局域網(wǎng)可采用IP與MAC綁定
在PC上IP+MAC綁����,網(wǎng)絡(luò)設(shè)備上IP+MAC+端口綁。但不幸的是Win 98/me、未打ARP補(bǔ)丁的win 2000/xp sp1(現(xiàn)在大多都已經(jīng)打過了)等系統(tǒng) 使用ARP -s所設(shè)置的靜態(tài)ARP項(xiàng)還是會被ARP欺騙所改變�����。
如果網(wǎng)絡(luò)設(shè)備上只做IP+MAC綁定�����,其實(shí)也是不安全的���,假如同一二層下的某臺機(jī)器發(fā)偽造的ARP reply(源ip和源mac都填欲攻擊的那臺機(jī)子的)給網(wǎng)關(guān)�,還是會造成網(wǎng)關(guān)把流量送到欺騙者所連的那個(gè)(物理)端口從而造成網(wǎng)絡(luò)不通���。
對于采用了大量傻瓜交換機(jī)的局域網(wǎng)����,用戶自己可以采取支持ARP過濾的防火墻等方法��。推薦Look ‘n’Stop防火墻����,支持ARP協(xié)議規(guī)則自定義。
最后就是使用ARPGuard啦(才拉到正題上)��,但它只是保護(hù)主機(jī)和網(wǎng)關(guān)間的通訊。
ARPGuard的原理
ARPGuard可以保護(hù)主機(jī)和網(wǎng)關(guān)的通訊不受ARP協(xié)議欺騙的影響�����。
1����、第一次運(yùn)行(或檢測到網(wǎng)關(guān)IP改變)時(shí)獲取網(wǎng)關(guān)對應(yīng)的MAC地址,將網(wǎng)卡信息���、網(wǎng)關(guān)IP�、網(wǎng)關(guān)MAC等信息保存到配置文件中����,其他時(shí)候直接使用配置文件���。
2�����、移去原默認(rèn)路由(當(dāng)前網(wǎng)卡的)
3�、產(chǎn)生一個(gè)隨機(jī)IP����,將它添加成默認(rèn)網(wǎng)關(guān)�����。
4�、默認(rèn)網(wǎng)關(guān)IP 和網(wǎng)關(guān)的MAC綁定(使用DeleteIpNetEntry和CreateIpNetEntry修改ARP Cache表項(xiàng))
5��、周期性檢測ARP Cache中原默認(rèn)網(wǎng)關(guān)(不是隨機(jī)IP那個(gè)) 網(wǎng)關(guān)的MAC在ARP Cache的值是否被改寫����,若被改寫就報(bào)警。
6����、針對有些攻擊程序只給網(wǎng)關(guān)設(shè)備(如路由器或三層交換機(jī))發(fā)欺騙包的情況。由于此時(shí)本機(jī)ARP Cache中網(wǎng)關(guān)MAC并未被改變��,因此只有主動防護(hù)�����,即默認(rèn)每秒發(fā)10個(gè)ARP reply包來維持網(wǎng)關(guān)設(shè)備的ARP Cache(可選)
7�、程序結(jié)束時(shí)恢復(fù)默認(rèn)網(wǎng)關(guān)和路由。
值得說明的是ARP協(xié)議程序中限定了發(fā)包間隔不低于100ms�,主要是怕過量的包對網(wǎng)絡(luò)設(shè)備造成負(fù)擔(dān)�����。如果你遭受的攻擊太猛烈�����,你也可以去掉這個(gè)限制�����,設(shè)定一個(gè)更小的數(shù)值����,保證你的通訊正常����。
關(guān)鍵詞標(biāo)簽:ARP協(xié)議欺騙
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程