ARP攻击与防护--小试牛刀

大家好，作为网络人我们都知道ARP协议是存在BUG的，下面我们来模拟实验攻击一番。
我们提前装备好2台虚拟机，一台win7 , IP配192.168.10.10 ,win7上运行长角牛软件，一台win10 ，IP配置192.168.10.20 。然后用ESPN模拟软件，还有咱们的 长角牛 攻击软件，然后开始行动。


在参数配置完成后，我们进行路由器的IP设置，检查联通性，具体如图所示

网关的mAC地址如下图所示

检查完毕，我们网络配置正常，下面我们在一台虚拟机上开启长角牛攻击软件


点击开始之后，我们会发现 网关PING 不通了
然后我们用 ARP-a 命令查看 MAC ，发现网关的MAC发生了改变，说明设备已经被毒化了



此时会发现主机并未受到影响,说明在主机上绑定IP和MAC地址有一定效果能够防止攻击。
下面我们在长角牛软件上启用双向断开，会发现连接又中断了

那么如何更加完善的防止ARP攻击呢，请看下文
1对于ARP攻击，我们可采取以下方法进行防范
1.1捆绑IP地址和MAC地址
此防法河避免IP地址盗用。若是通过代理服务器上网，可在代理服务器端把静态IP地址与上网计算机网卡的MAC地址进行捆绑。若是通过
交换机连接，可将交换机端口与计算机的IP地址、网卡的MAC地址绑定。
1.2修改物理地址
将真实的物理地址隐藏，也就是修改上网机的MAC地址,欺骗过ARP欺骗，从而躲过ARP攻击。
1.3使用ARP服务器
通过ARP服务器查找自己的ARP转换表来响应其他机器的ARP广播,粗要确保这台ARP服务器不被攻击。
1.4交换机端口设置
端口保护: ARP欺骗需要交换机的两个端口直接通讯，将端口设为保护端口即可简单方便地隔离用户之间信息互通，不必占用VLAN资
数据过滤:如需对报文做更进一步的控制用户可以采用ACL (访问控制列表)。ACL利用IP地址、TCP/UDP端口等对进出交换机的报文进
行过滤，可以预设条件,对报文做出允许转发或阻塞的决定。
1.5利用硬件屏蔽主机
设置路由，确保IP地址能到达合法的路径(静态配置路由ARP条目)，使用交换集线器和网桥无法阻 止ARP欺骗。
1.6禁止网络接[ ]做ARP解析
在相对系统中禁止某个网络接口做ARP解析(对抗ARP欺骗攻击)，可以做静态ARP协议设置。
1.7定期检查ARP缓存
利用响应的IP包中获得的RARP请求，检查ARP响应的真实性。定期检查主机上的ARP缓存，使用防火墙连续监控网络。但是在使用SNMP的情况下，ARP欺骗有可能导致陷阱包失。
2 ARP防火墙对于ARP攻击的防范
2.1防火墙针对ARP欺骗的对策
在系统内核层做策略,拦截可能发生的外来虚假数据或本机对外的ARP攻击数据包，在保障本机不受ARP攻击的同时，减少如感染恶意程
序后对外的攻击机会，保证网络畅通。
(1)拦截IP冲突:在系统内核层做策略，拦截IP冲突数据包。
(2) Dos攻击抑制:在系统内核层做策略，拦截对外的攻击数据包，定位恶意发动DoS攻击的程序。
(3)安全模式:除网关外，不响应其它机器发送的ARPRequest数据包，达到隐身效果。
(4) ARP数据分析:对本机接收到的所有ARP数据包进行分析,找出潜在的攻击者或中毒的机器。
(5)监测ARP缓存:自动监测本机ARP缓存表，若发现网关物理地址被恶意程序篡改，及时报警并自动修复。
(6)主动防御:主动与网关保持通讯，通告网关正确的MAC地址。
(7)追踪攻击者:发现攻击行为后，自动快速锁定攻击者IP地址。
(8) ARP病毒专杀:发现本机的对外攻击行为，自动定位查杀本机感染的恶意程序、病毒程序。
2.2在局域网针对ARP欺骗的策略
(1)检查本机的"ARP欺骗”木杩染毒进程
(2)检查网内感染"ARP欺骗”杩染毒的计算机
(3)设置ARP表避免"ARP欺骗”杩影响的方法
(4) 静态ARP绑定网关
2.3入侵检测技术
(1)入侵检测系统IDS (IntrusionDetectionSystem) 指的是一种硬件或者软件系统， 该系统对系统资源的非授权使用能够做出及时的
判断、记录和报警。
(2) -一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击。误报是指被入侵检测系统测报警的是正常及合法使用受保
护网络和计算机的访问。误报是入侵检测系统最头疼的问题，攻击者可以而且往往是利用包的结构伪造无威胁的“正常”假警报，而诱导没有
警觉性的管理员人把入侵检测系统关掉。
(3)没有一个应用系统不会发生错误，入侵检测发生误报的四个主要原因是:缺乏共享数据的机制、缺乏集中协调的机制、缺乏揣摩数
据在一段时间内变化的能力、缺乏有效的跟踪分析。
(4)根据入侵检测的信息来源不同，可以将入侵检测系统分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。
(5)入侵检测的方法: 1) 目前入侵检测方法有三种分类依据:根据物理位置进行分类、根据建模方法进行分类、根据时间分析进行分
类。2)常用的方法有两种:静态配置分析、异常性检测方法。
(4) ARP数据分析:对本机接收到的所有ARP数据包进行分析,找出潜在的攻击者或中毒的机器。
(5)监测ARP缓存:自动监测本机ARP缓存表，若发现网关物理地址被恶意程序篡改，及时报警并自动修复。
(6)主动防御:主动与网关保持通讯，通告网关正确的MAC地址。
(7)追踪攻击者:发现攻击行为后，自动快速锁定攻击者IP地址。
(8) ARP病毒专杀:发现本机的对外攻击行为，自动定位查杀本机感染的恶意程序、病毒程序。
2.2在局域网针对ARP欺骗的策略
(1)检查本机的"ARP欺骗”木杩染毒进程
(2)检查网内感染"ARP欺骗”杩染毒的计算机
(3)设置ARP表避免"ARP欺骗”杩影响的方法
(4) 静态ARP绑定网关
2.3入侵检测技术
(1)入侵检测系统IDS (IntrusionDetectionSystem) 指的是一种硬件或者软件系统， 该系统对系统资源的非授权使用能够做出及时的
判断、记录和报警。