ARP攻击与防护--小试牛刀

大家好,作为网络人我们都知道ARP协议是存在BUG的,下面我们来模拟实验攻击一番。ARP攻击与防护--小试牛刀_第1张图片
我们提前装备好2台虚拟机,一台win7 , IP配192.168.10.10 ,win7上运行长角牛软件,一台win10 ,IP配置192.168.10.20 。然后用ESPN模拟软件,还有咱们的 长角牛 攻击软件,然后开始行动。ARP攻击与防护--小试牛刀_第2张图片
ARP攻击与防护--小试牛刀_第3张图片
ARP攻击与防护--小试牛刀_第4张图片
在参数配置完成后,我们进行路由器的IP设置,检查联通性,具体如图所示ARP攻击与防护--小试牛刀_第5张图片
在这里插入图片描述
网关的mAC地址如下图所示
在这里插入图片描述
检查完毕,我们网络配置正常,下面我们在一台虚拟机上开启长角牛攻击软件ARP攻击与防护--小试牛刀_第6张图片
ARP攻击与防护--小试牛刀_第7张图片
ARP攻击与防护--小试牛刀_第8张图片
点击开始之后,我们会发现 网关PING 不通了ARP攻击与防护--小试牛刀_第9张图片
然后我们用 ARP-a 命令查看 MAC ,发现网关的MAC发生了改变,说明设备已经被毒化了在这里插入图片描述
ARP攻击与防护--小试牛刀_第10张图片
ARP攻击与防护--小试牛刀_第11张图片
ARP攻击与防护--小试牛刀_第12张图片
此时会发现主机并未受到影响,说明在主机上绑定IP和MAC地址有一定效果能够防止攻击。
下面我们在长角牛软件上启用双向断开,会发现连接又中断了ARP攻击与防护--小试牛刀_第13张图片
ARP攻击与防护--小试牛刀_第14张图片
那么如何更加完善的防止ARP攻击呢,请看下文
1对于ARP攻击,我们可采取以下方法进行防范
1.1捆绑IP地址和MAC地址
此防法河避免IP地址盗用。若是通过代理服务器上网,可在代理服务器端把静态IP地址与上网计算机网卡的MAC地址进行捆绑。若是通过
交换机连接,可将交换机端口与计算机的IP地址、网卡的MAC地址绑定。
1.2修改物理地址
将真实的物理地址隐藏,也就是修改上网机的MAC地址,欺骗过ARP欺骗,从而躲过ARP攻击。
1.3使用ARP服务器
通过ARP服务器查找自己的ARP转换表来响应其他机器的ARP广播,粗要确保这台ARP服务器不被攻击。
1.4交换机端口设置
端口保护: ARP欺骗需要交换机的两个端口直接通讯,将端口设为保护端口即可简单方便地隔离用户之间信息互通,不必占用VLAN资
数据过滤:如需对报文做更进一步的控制用户可以采用ACL (访问控制列表)。ACL利用IP地址、TCP/UDP端口等对进出交换机的报文进
行过滤,可以预设条件,对报文做出允许转发或阻塞的决定。
1.5利用硬件屏蔽主机
设置路由,确保IP地址能到达合法的路径(静态配置路由ARP条目),使用交换集线器和网桥无法阻 止ARP欺骗。
1.6禁止网络接[ ]做ARP解析
在相对系统中禁止某个网络接口做ARP解析(对抗ARP欺骗攻击),可以做静态ARP协议设置。
1.7定期检查ARP缓存
利用响应的IP包中获得的RARP请求,检查ARP响应的真实性。定期检查主机上的ARP缓存,使用防火墙连续监控网络。但是在使用SNMP的情况下,ARP欺骗有可能导致陷阱包失。
2 ARP防火墙对于ARP攻击的防范
2.1防火墙针对ARP欺骗的对策
在系统内核层做策略,拦截可能发生的外来虚假数据或本机对外的ARP攻击数据包,在保障本机不受ARP攻击的同时,减少如感染恶意程
序后对外的攻击机会,保证网络畅通。
(1)拦截IP冲突:在系统内核层做策略,拦截IP冲突数据包。
(2) Dos攻击抑制:在系统内核层做策略,拦截对外的攻击数据包,定位恶意发动DoS攻击的程序。
(3)安全模式:除网关外,不响应其它机器发送的ARPRequest数据包,达到隐身效果。
(4) ARP数据分析:对本机接收到的所有ARP数据包进行分析,找出潜在的攻击者或中毒的机器。
(5)监测ARP缓存:自动监测本机ARP缓存表,若发现网关物理地址被恶意程序篡改,及时报警并自动修复。
(6)主动防御:主动与网关保持通讯,通告网关正确的MAC地址。
(7)追踪攻击者:发现攻击行为后,自动快速锁定攻击者IP地址。
(8) ARP病毒专杀:发现本机的对外攻击行为,自动定位查杀本机感染的恶意程序、病毒程序。
2.2在局域网针对ARP欺骗的策略
(1)检查本机的"ARP欺骗”木杩染毒进程
(2)检查网内感染"ARP欺骗”杩染毒的计算机
(3)设置ARP表避免"ARP欺骗”杩影响的方法
(4) 静态ARP绑定网关
2.3入侵检测技术
(1)入侵检测系统IDS (IntrusionDetectionSystem) 指的是一种硬件或者软件系统, 该系统对系统资源的非授权使用能够做出及时的
判断、记录和报警。
(2) -一个有效的入侵检测系统应限制误报出现的次数,但同时又能有效截击。误报是指被入侵检测系统测报警的是正常及合法使用受保
护网络和计算机的访问。误报是入侵检测系统最头疼的问题,攻击者可以而且往往是利用包的结构伪造无威胁的“正常”假警报,而诱导没有
警觉性的管理员人把入侵检测系统关掉。
(3)没有一个应用系统不会发生错误,入侵检测发生误报的四个主要原因是:缺乏共享数据的机制、缺乏集中协调的机制、缺乏揣摩数
据在一段时间内变化的能力、缺乏有效的跟踪分析。
(4)根据入侵检测的信息来源不同,可以将入侵检测系统分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。
(5)入侵检测的方法: 1) 目前入侵检测方法有三种分类依据:根据物理位置进行分类、根据建模方法进行分类、根据时间分析进行分
类。2)常用的方法有两种:静态配置分析、异常性检测方法。
(4) ARP数据分析:对本机接收到的所有ARP数据包进行分析,找出潜在的攻击者或中毒的机器。
(5)监测ARP缓存:自动监测本机ARP缓存表,若发现网关物理地址被恶意程序篡改,及时报警并自动修复。
(6)主动防御:主动与网关保持通讯,通告网关正确的MAC地址。
(7)追踪攻击者:发现攻击行为后,自动快速锁定攻击者IP地址。
(8) ARP病毒专杀:发现本机的对外攻击行为,自动定位查杀本机感染的恶意程序、病毒程序。
2.2在局域网针对ARP欺骗的策略
(1)检查本机的"ARP欺骗”木杩染毒进程
(2)检查网内感染"ARP欺骗”杩染毒的计算机
(3)设置ARP表避免"ARP欺骗”杩影响的方法
(4) 静态ARP绑定网关
2.3入侵检测技术
(1)入侵检测系统IDS (IntrusionDetectionSystem) 指的是一种硬件或者软件系统, 该系统对系统资源的非授权使用能够做出及时的
判断、记录和报警。

你可能感兴趣的:(网络基础篇)