关于arp欺骗原理及防范

最近很多朋友及客户的服务器碰到arp欺骗攻击,造成站点被挂木马.由因而采取ARP技术欺骗,所以主机并没进侵,在服务器里查看网页源码也是没任何挂马代码,但是网站在访问时候却全部被挂马!

      开始我也不懂这就是网络传说中的ARP欺骗,后来查了下资料才知道这就是ARP欺骗.ARP欺骗我们要先从ARP工作原理讲起.

     我们先熟习下ARP,大学计算机网络基础课学过,ARP就是地址解析协议.OSI参考模型里将全部网络通讯的功能划分为7个层次.由低到高分别是:物理层、链路层、网络层、传输层、会议层、表示层、利用层.第4层到第7层主要负责互操纵性，第1层到3层则用于创造两个网络设备间的物理连接.

     而ARP欺骗就是1种用于会话劫持攻击中的常见手法.地址解析协议(ARP)利用第2层物理MAC地址来映照第3层逻辑IP地址，假设设备知道了IP地址，但不知道被要求主机的MAC地址,它就会发送ARP要求.ARP要求通常以广播情势发送，以便所有主机都能收到.

     在电信1般接终真个交换机都是2层交换机,交换原理是通过ip寻觅对应的mac网卡地址,由于TCP/IP协议决定了只会通过mac寻址到对应的交换机的物理端口,所以才会遭到arp欺骗攻击.

   现在我们做下比方,更能形象点解释ARP欺骗进程及原理：

      假定有肉鸡A，被ARP欺骗的主机B。肉鸡A不断告知主机B它是网关,结果主机B也以为它是网关,因而把连接数据发送给它.肉鸡A再做1个连接的角色，把主机B的信息包加上木马发到真实的网关,结果用户得到的信息都是带了木马的网页,而主机B本身没木马.
  
   目前IDC机房可以将类似思科2950及华为3026之类以上的交换机并启动ARP广播屏蔽功能的话,应当可以禁止ARP欺骗.

   另外,我们根据解析协议(ARP)的工作原理,将网关IP和MAC地址绑定成静态不可修改,这样就不会出现arp欺骗了,由于地址解析协议(ARP)是利用第2层物理MAC地址来映照第3层逻辑IP地址,也就是mac寻址来实现的.固然在我们每1个主机上也要绑定网关的mac和ip，命令很简单,例如: arp -s 58.66.176.29 00-aa-00⑹2-c6-09


现在总结下关预防ARP欺骗:

新建1个批处理文件，内容以下： @echo OFF arp -s 默许网关IP地址 网关的MAC地址 将这个批处理放到启动里。可以零时解决题目。

另外也有软件可以解决:

1、开启Anti ARP Sniffer 3,输进网关IP地址,点击〔枚取MAC〕
如你网关填写正确将会显示出网关的MAC地址.

2、点击 [自动保护] 即可保护当前网卡与网关的通讯不会被第3方监听.

追踪ARP攻击者：

     当局域网内有人试图与本机进行ARP欺骗,其数据会被Anti ARP Sniffer记录.请在欺骗数据具体记录表当选择需要追踪的行,然后点击〔追捕欺骗机〕,追捕进程中需要几分钟时间，假设该ARP地址是真实的,也快便可以追捕到攻击者. (追捕ARP攻击者时需要停止自动保护) 

   关于arp欺骗原理及防范就先写到这吧,我本人是从事网络服务器安全的,对计算机网络物理工作原理了解并未几,最是大学课本学过点,所以写这篇文章时查了很多资料,期待高手们的指正及讲授!

本位作者晨曦旋风 授权中国站长站转发 请务必保存(Www.Xuanfeng.net)和作者相干信息

评论加载中... 内容： 评论者： 验证码：