返回
安全-局域网arp攻击解决方案(绑定mac)

安全-局域网arp攻击解决方案(绑定mac)

ID:13161901

大小:362.50 KB

页数:11页

时间:2018-07-21

安全-局域网arp攻击解决方案(绑定mac)_第1页
安全-局域网arp攻击解决方案(绑定mac)_第2页
安全-局域网arp攻击解决方案(绑定mac)_第3页
安全-局域网arp攻击解决方案(绑定mac)_第4页
安全-局域网arp攻击解决方案(绑定mac)_第5页
资源描述:

《安全-局域网arp攻击解决方案(绑定mac)》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、局域网ARP攻击解决方案目前有一种网络破坏行为很常见,主要发生在局域网中,这种破坏行为利用了ARP地址解析协议的工作过程,故障现象是:忽然整个内部网络的电脑全部不能上网了、或者一台一台掉线。发生故障以后,只需要将电脑重新启动或者交换机重新启动就可以恢复正常。这种破坏行为利用了ARP协议的工作过程,一般是内网某台电脑中了病毒,病毒无规律的自动进行破坏,或者是内网某台电脑的操作者故意发起攻击。本文档对于这种攻击将进行简单的分析介绍并给出解决方案。一,攻击原理分析在局域网里每个节点都有自己的IP地址和MAC地址。如上图是一个局域网示意图,图中给

2、出了三对IP地址和MAC地址的组合,如下表格:IP地址MAC地址网关路由器192.168.1.100-00-00-00-00-01电脑A192.168.1.2000-00-00-00-00-20电脑B192.168.1.3000-00-00-00-00-30如果电脑A需要上网,电脑A就需要将数据包发送给局域网网关路由器,那么电脑A必须知道网关路由器的MAC地址,所以电脑A就会发出询问的广播包,询问网络里网关路由器的MAC地址是多少(如上图绿色线条)?网关路由器收到电脑A的询问广播包后,获知并记录了电脑A的MAC地址,然后回复电脑A(蓝色线

3、条所示),告知电脑A自己的MAC地址是多少?这样电脑A就获知了网关路由器的MAC地址,在相互获知并记录了对方的MAC地址这个基础上两者才开始正常收发数据包。电脑A获知网关路由器的MAC地址后,将这样一个信息动态保存在自己的ARP地址表中,可以动态即时更新。另外单位时间内电脑A和网关路由器之间没有传输数据包的话,电脑A和网关路由器都会将保存的相应的ARP表条目删除掉。等到有需要的时候,再次通过上面询问的方式重新获取对方的MAC地址就可以了。上面这样一个询问对方MAC地址,然后相互发送数据包的过程一直正常运转着。忽然,ARP攻击发生了,示意图

4、如下:如上图所示,局域网中某台电脑(IP地址为192.168.1.30)发起ARP攻击,它向局域网中发送了一个ARP广播包(红色线条所示),告诉所有的电脑:“现在进行广播,局域网的网关路由器MAC地址已经不是以前的00-00-00-00-00-01了,而是新的MAC地址00-00-00-00-00-30,请各位更新自己的ARP表。”就这样所有的电脑都被欺骗了,将自己的ARP条目条中对应网关路由器的MAC地址更新为这个假网关的MAC地址,更新过以后,这些电脑凡是发往网关的数据包都不再发向00-00-00-00-00-01这个正确的MAC地址

5、,而是发往了错误的MAC地址00-00-00-00-00-30(绿色线条所示),因为所有电脑都被欺骗并更新了自己的ARP条目。根据上面的演示,所有本应发送到正确网关路由器MAC地址的数据包,都发往错误的假网关MAC地址了,而一般发往网关路由器的数据包都是去往互联网的,所以发生ARP攻击最常见的现象是:瞬间所有需要上网的电脑,都无法上网!这个时候无论是PING网关路由器的IP地址或是尝试登录网关路由器的管理界面,都是失败的,因为所有的数据包都发向了错误的00-00-00-00-00-30而不是真实的网关路由器的MAC地址。上面我们简明扼要的

6、分析了ARP攻击发生的过程,既然找到了病因,就可以对症下药了。从上面的分析可以得出,故障出现的原因:是因为每台电脑上记录真实网关路由器MAC地址的ARP表是动态的,是允许被动态更新的。如果在每台电脑上采用固定的ARP表条目,不允许动态更新,这样即使有恶意的ARP欺骗包在网络里面进行广播,因为每台电脑的ARP表中都采用静态绑定的方式,将真实网关的MAC地址固定了下来,这样就可以应对ARP攻击的发生。二,ARP攻击判断如何判断网络里面发生了ARP攻击呢?比如您的网络出口使用的我司宽带路由器作为网关路由器,网络连接拓扑示意图如下:登录路由器管理

7、界面“运行状态”页面可以看到类似下图的信息:在上面这幅图片中,可以看到网关路由器的IP地址和MAC地址分别是多少?图中显示网关路由器的MAC地址是00-0A-EB-B9-5C-CE,那么正常上网的时候,在内网任意一台电脑的DOS界面运行arp–a这个命令,可以看到类似下图的信息:可以看到,任意一台电脑arp–a的回显信息中,都有一条对应网关路由器的IP地址和MAC地址的条目,可以看到其中的PhysicalAddress就是前面在路由器“运行状态”页面看到的LAN口MAC地址00-0a-eb-b9-5c-ce,当发生ARP攻击的时候,这个P

8、hysicalAddress就变为另一个MAC地址了,而不是00-0a-eb-b9-5c-ce。所以说,判断是否发生ARP攻击的办法就是:1正常情况下,登录网关路由器管理界面并记录网关面向局域

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。