要了解ARP欺骗攻击, 我们首先要了解ARP协议以及它的工作原理,以更好的来防范和排除ARP攻击的带来的危害 。本文为大家带来进阶的ARP攻击防制方法 。
基本ARP介绍
ARP “Address Resolution Protocol”(地址解析协议),局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的 。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程 。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行 。
ARP协议的工作原理:在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如表所示 。
【针对ARP病毒攻击防治的进阶经验谈】我们以主机A(192.168.1.5)向主机B(192.168.1.1)发送数据为例 。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址 。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.1.1的MAC地址是什么?”网络上其它主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.1.1的MAC地址是00-aa-00-62-c6-09 。”这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了 。同时它还更新了自己的ARP缓存表 。
基本ARP病毒防制法
通过对 ARP工作原理得知,如果系统ARP缓存表被修改不停的通知路由器一系列错误的内网IP或者干脆伪造一个假的网关进行欺骗的话,网络就肯定会出现大面积的掉线问题,这样的情况就是典型的 ARP攻击,对遭受ARP攻击的判断,其方法很容易,你找到出现问题的电脑点开始运行进入系统的DOS操作 。ping路由器的LAN IP丢包情况 。输入ping 192.168.1.1(网关IP地址),如下图:
内网ping路由器的LAN IP丢几个包,然后又连上,这很有可能是中了ARP攻击 。为了进一步确认,我们可以通过查找ARP表来判断 。输入ARP -a命令,显示如下图:
可以看出192.168.1.1地址和192.168.252地址的IP的 MAC地址都是00-0f-3d-83-74-28,很显然,这就是 ARP欺骗造成的 。
在理解了ARP之后,ARP欺骗攻击以及如何判断此类攻击,我们简单介绍一下如何找到行之有效的防制办法来防止这类攻击对网络造成的危害 。
Qno侠诺工程师的一般处理办法分三个步骤来完成 。
1、激活防止ARP病毒攻击
进入路由器的防火的基本配置栏将“防止ARP病毒攻击”在这一行的“激活”并确定 。
2、对每台pc上绑定网关的IP和其MAC地址
在每台PC机上进入dos操作,输入arp –s 192.168.1.1(网关IP) 00-0f-3d-83-74-28(网关MAC),Enter后完成每台PC机的绑定 。
针对网络内的其它主机用同样的方法输入相应的主机IP以及MAC地址完成IP与MAC绑定 。但是此动作,如果重起了电脑,作用就会消失,所以可以把此命令做成一个批处理文件,放在操作系统的启动里面,批处理文件可以这样写:
@echo off
arp -d
arp -s路由器LAN IP 路由器LAN MAC
3、在路由器端绑定用户IP/MAC地址:
在DHCP功能中对IP/MAC进行绑定,Qno路由器提供了一个显示新加入的IP地址的功能,通过这个功能可以一次查找到网络内部的所有PC机的IP/MAC的对应列表,我们可以通过“√”选的功能选择绑定IP/MAC 。
进阶ARP病毒防制
单靠这样的操作基本可以解决问题,但是Qno侠诺的技术工程师建议通过进一步通过一些手段来进一步控制ARP的攻击 。
推荐阅读
- 找准病毒“落脚点”从系统中剔除病毒
- 全面追杀“金猪报喜”病毒
- 利用Mcafee根治Viking 威金病毒
- 了解VB编写病毒的大体方法
- 如何防治Access宏病毒的通用技巧
- 实例讲解如何处理ARP伪装攻击包的问题
- 提升权限 把无法删除的病毒扫地出门
- 白菜病毒病多发抓好这几点防治
- 关机能手”自动关闭电脑发起ARP攻击
- 练就金睛火眼 从进程中判断病毒和木马