一、ARP防御概述
通过之前的文章,我们已经了解了ARP攻击的危害,黑客采用ARP软件进行扫描并发送欺骗应答,同处一个局域 的普通用户就可能遭受断 攻击、流量被限、账 被窃的危险。由于攻击门槛非常低,普通人只要拿到攻击软件就可以扰乱 络秩序,导致现在的公共 络、家庭 络、校园 、企业内 等变得脆弱无比。
所以,如何进行有效的ARP防御为普通用户怎么防御为 络/安全管理员又怎么防御/strong>有哪些ARP防御软件果被ARP攻击了,如何揪出”内鬼”,并”优雅的还手”/strong>
接下来,我们通过图解的方式来深入了解ARP防御原理与解决方案。
二、ARP防御原理与解决方案
在讲解ARP防御之前,我们先回顾下ARP攻击最经典的一幕=>
①当黑客发起ARP欺骗包时,会途径局域 里面的交换机或无线路由器等 络设备;
②如果 络设备能够识别这种欺骗包,并且提前丢弃掉,则电脑/手机端就不会被欺骗;
③如果 络设备没有拦截这种欺骗包,则电脑/手机端需要做安全防御,然后再丢弃。
简单来说,ARP防御可以在 络设备上实现,也可以在用户端实现,更可以在 络设备和用户端同时实现。接下来,我们先来了解下 络设备(例如这里的交换机)的防御技术。
我们知道,PC3是在交换机的Port3、MAC地址是MAC3,IP地址是IP3,所以本地DAI表项内容是
经判断,这个包就是虚假的欺骗包,交换机马上丢弃这个包,并且可以对接口做惩罚(不同设备的惩罚方式有所不同,可以直接将接口”软关闭“,直接将攻击者断 ;也可以”静默处理“,仅丢弃欺骗包,其他通信正常)
上面这个动态ARP监测技术,可以说是目前防御ARP攻击最有效的方法之一。但是,作为初学者,大家可能还会有疑问:
①一般的交换机或 络设备能部署动态ARP监测技术吗/strong>
②连接用户的交换机,怎么能识别IP地址信息呢/strong>
③上面这张DAI表是如何生成的不是像CAM表一样能自动识别/strong>
这里要给大家说个稍微悲伤一点的事实,大部分能支持这种动态ARP监测技术的交换机或者无线路由器,都基本是企业级的产品。即便是企业级交换机,具备局域 安全防御功能的设备,价格都要高出不少,所以很多中小型企业 或校园 ,基本都愿意买”阉割版” 络接入产品,因为”能通就行”,至于安全性怎样,这是另外要考虑的问题。
所以,简单的交换机不具备动态ARP监测技术,即便市面上有带安全防御的 络产品,企业、学校、医院等大量 络,仍然在早期采购的时候,用的是比较基础版本的交换机。当然,随着 络与安全市场的激烈竞争和 络安全意识的增强,以后会越来越好。
另外,交换机能识别IP地址信息吗/strong>
从现在的 络技术来看,分层界限越来越模糊,融合式的 络设备才是主流,现在的接入交换机基本能被Telnet/SSH/Web管理,更专业的交换机同时支持动态ARP监测(dai)、IP源防护(ipsg)、DHCP侦听(dhcp snooping)、端口安全、AAA、802.1x等局域 安全技术,已经超越了原有二层交换机的定义。
所以,交换机能读三层甚至七层的数据包已经不是什么新鲜事了,不要被”交换机就是二层设备”给束缚了,这只是纸面上的定义。
最后一个问题,DAI检测表是如何生成的/strong>
在上面图解中,我们看到交换机查看的表已经不是原来的CAM表了,内容也不太一样,CAM表的内容主要是MAC和Port的映射,而DAI检测表则是Port、MAC、IP三个信息映射。
目前这张表支持两种方式来生成=>
第一种方式就是手工静态绑定:即用户接入 络之后,管理员根据此用户电脑的MAC和IP地址,然后在接口上绑死,缺点就是用户数太多的话,手工绑定管不过来。
第二种方式就是目前最主流的做法,即在交换机上开启DHCP侦听技术,当用户第一次通过DHCP获取到地址的时候,交换机就把用户电脑的IP、MAC、Port信息记录在DHCP侦听表,后面ARP检测直接调用这张DHCP侦听表即可。
小结:以上便是在 络设备上部署的ARP防御技术,通过动态ARP监测技术(DAI),可以很好的解决ARP欺骗问题。技术虽好,但局域 内的交换机、无线路由器是否支持DAI,这个则取决于实际 络情况,尤其是十面埋伏的公共WiFi 络、脆弱无比的家庭 络、能通就行的校园 络…… 我们都应该持怀疑态度,至少不能完全信任这些 络。
既然这样的话,普通用户有没有”自救”的方法,能够抵挡ARP攻击呢/strong>答案是肯定的=>
从上图可以看到,PC1和PC2通信双方都静态绑定对方的IP和MAC映射,即便收到ARP欺骗包,由于静态绑定的ARP映射条目优先级高于动态学习到的,所以可以保证不被欺骗。
这种做法非常”绿色无污染“,因为不需要额外的软件安装,但是缺点也非常明显,例如普通用户不知道如何在电脑上做ARP静态绑定,另外工作量也比较大,每个主机和 关设备都需要绑定整个局域 的ARP静态映射。以下面的家庭WiFi 络为例:
普通小白遇到这种情况,装个ARP防火墙,咬咬牙也就过去了。但是咋们学 络和安全的,遇到这种情况,感觉就好像被人骑在头上一样。那咋办呢为一个理科男,做事情还是得按步骤走,不能被脾气牵着走,虽然当时已经非常生气了,但是基本定下来这个解决流程:
第一:马上给电脑安装防火墙,先脱离H的控制(当时电脑居然是裸奔的…);
第二:想尽办法找到H的IP和MAC地址(很多小伙伴看到这里可能会想:直接上去楼上揍他一顿不就得了,还费什么劲找地址啊。这个有必要说明下:①我个头没人家大只 ②人家要是问:你有证据吗,你取证了吗nbsp; 所以,武力不能解决问题,但是技术能力可以。)
第三:想方设法拿到 络控制权,把他踢下去。
第一步:具体就不说了,也忘了当时装的什么安全软件了;
第二步:怎么找到攻击者的IP和MAC地址呢/strong>2010年的安全软件,不像现在的ARP防火墙,能够主动告警,并且说明攻击次数和攻击源,所以还是需要自己折腾下:熟练的打开电脑之前安装好了的wireshark,监听自己电脑 卡的流量,设置流量过滤器(仅过滤arp协议),不出意外,接下来就是一堆”带有节奏的ARP扫描包“(还记不记得之前章节说过的,ARP攻击一般会涉及到持续的内 扫描和欺骗攻击)。当时收到的数据包大概这样的:
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!