局域網內出現ARP攻擊,用戶鬧翻天,網管疲於奔命的事,可能很多人了都遇見過。下面我就提供給大家一個完整的解決方案,從此遠離ARP攻擊。
ARP攻擊遠離拓撲
一、先介紹下ARP攻擊的幾種模式,我們才能有的放矢。
第一種 仿冒網關攻擊
破壞主機假冒網關,很多局域網網關軟件也是採用這種方式。
第二種 欺騙網關攻擊
破壞主機發送假冒真實主機信息,使真實主機接收不到回包。
第三種 欺騙終端用戶
第四種 MAC洪泛攻擊
在典型的MAC flooding中,攻擊者能讓目標網絡中的交換機不斷泛洪大量不同源MAC地址的數據包,導致交換機內存不足以存放正確的MAC地址和物理端口號相對應的關係表。如果攻擊成功,交換機會進入failopen模式,所有新進入交換機的數據包會不經過交換機處理直接廣播到所有的端口(類似HUB集線器的功能)。攻擊者能進一步利用嗅探工具對網絡內所有用戶的信息進行捕獲,從而能得到機密信息或者各種業務敏感信息。
根據上面的分析,大家可以看出所有攻擊都涉及到二層MAC地址和三層的IP地址,因此檢測和防護的依據都要從這些方面入手。
先說下檢測的常見方法:
二、當局域網內出現ARP攻擊了,基本4要素:
(一)所有客戶機做IP與MAC地址靜態綁定操作
不過這個操作只要電腦重啟或者TCP/IP協議停用後就被刪除。
解決重啟後被刪除辦法可以寫個bat腳本隨機啟動:
1、Win鍵+R,輸入notepad回車,複製粘貼以下內容
Windows XP系統方案:
arp -d
arp -s 192.168.2.1 2c-b2-1a-5f-87-2d :靜態綁定網關的IP與MAC的對應關係
arp -s 192.168.2.100 d8-96-95-4e-ca-a5 :靜態綁定本機IP與MAC的對應關係
Windows 7/ Windows 10系統方案:
netsh interface ipv4 delete neighbors 11 :此處11以netsh interface ipv4 show interface命令查詢所在網卡的IDX值,一般為11
2、另存為ARP.bat文件放入系統啟動目錄"C:Documents and SettingsAdministrator「開始」菜單程序啟動",保存時注意文本格式如圖
(二)防火牆要開啟ARP防護,如圖
(三)如不是特別要求,建議按部門劃分VLAN,減少廣播風暴降低ARP攻擊範圍
(四)做端口鏡像,用第三方軟件(比如Wireshark)分析很快找出問題機
ARP主要用於網絡診斷與配置,下圖為ARP命令使用詳解
閱讀更多 不一樣的旋旋 的文章