接著跟大家講講網(wǎng)工方面的課題。大家在工作的時候最怕就是出現(xiàn)大面積網(wǎng)絡(luò)癱瘓的情況,如果整個局域網(wǎng)都無法上網(wǎng),那很好判斷肯定是出口路由出問題了,查出口路由或者查ISP。就怕部分電腦還能上,而且不能上網(wǎng)的PC時而能上時而不能不上。此時大家跟我想的一樣——ARP攻擊可能性很大。
什么是arp攻擊?
攻擊者向電腦A發(fā)送一個偽造的ARP響應(yīng),告訴電腦A:電腦B的IP地址192.168.2.101對應(yīng)的MAC地址是6c-72-e7-5f-02-ea,電腦A信以為真,將這個對應(yīng)關(guān)系寫入自己的ARP緩存表中,以后發(fā)送數(shù)據(jù)時,將本應(yīng)該發(fā)往電腦B的數(shù)據(jù)發(fā)送給了攻擊者。同樣的,攻擊者向電腦B也發(fā)送一個偽造的ARP響應(yīng),告訴電腦B:電腦A的IP地址192.168.2.100對應(yīng)的MAC地址是d8-96-95-4e-ca-a5,電腦B也會將數(shù)據(jù)發(fā)送給攻擊者。
至此攻擊者就控制了電腦A和電腦B之間的流量,他可以選擇被動地監(jiān)測流量,獲取密碼和其他涉密信息,也可以偽造數(shù)據(jù),改變電腦A和電腦B之間的通信內(nèi)容。這就是arp攻擊的大抵方式。
局域網(wǎng)中ARP攻擊該怎么辦?
如果你的局域網(wǎng)出現(xiàn)ARP攻擊了,在排查的過程中肯定是要應(yīng)急地讓某些電腦先上網(wǎng)保證公司最低限度的運營。
Windows XP系統(tǒng)應(yīng)急操作:1、開始-->運行-->CMD-->輸入命令“arp -a”;2、進行靜態(tài)綁定網(wǎng)關(guān)IP和MAC操作,輸入命令“arp -s 192.168.2.1 2c-b2-1a-5f-87-2d”。 如圖:
arp -a命令
arp -s命令
Windows 7/ Windows 10系統(tǒng)應(yīng)急操作:1、在DOS命令提示符下輸入命令“netsh interface ipv4 show interface” 回車,查看你電腦所有網(wǎng)卡的idx并從中確定你要進行邦定的idx,一般都為11;2、輸入命令“netsh interface ipv4 set neighbors 11 192.168.2.1 2c-b2-1a-5f-87-2d”實現(xiàn)靜態(tài)邦定。如圖:
查詢Idx 命令
Win 7靜態(tài)綁定命令
今天向大家講講在交換機上如何防范arp攻擊
一、ARP表項嚴(yán)格學(xué)習(xí)(arp learning strict)
如果大量用戶在同一時間段內(nèi)向設(shè)備發(fā)送大量ARP報文,或者攻擊者偽造正常用戶的ARP報文發(fā)送給設(shè)備,則會造成下面的危害:
設(shè)備因處理大量ARP報文而導(dǎo)致CPU負(fù)荷過重,同時設(shè)備學(xué)習(xí)大量的ARP報文可能導(dǎo)致設(shè)備ARP表項資源被無效的ARP條目耗盡,造成合法用戶的ARP報文不能繼續(xù)生成ARP條目,進而導(dǎo)致用戶無法正常通信。
偽造的ARP報文將錯誤地更新設(shè)備的ARP表項,導(dǎo)致用戶無法正常通信。
為避免上述危害,可以在網(wǎng)關(guān)設(shè)備上部署ARP表項嚴(yán)格學(xué)習(xí)功能。
ARP表項嚴(yán)格學(xué)習(xí)是指只有本設(shè)備主動發(fā)送的ARP請求報文的應(yīng)答報文才能觸發(fā)本設(shè)備學(xué)習(xí)ARP,其他設(shè)備主動向本設(shè)備發(fā)送的ARP報文不能觸發(fā)本設(shè)備學(xué)習(xí)ARP,這樣,可以拒絕大部分的ARP報文攻擊。如圖:
通常情況下,當(dāng)UserA向Gateway發(fā)送ARP請求報文后,Gateway會向UserA回應(yīng)ARP應(yīng)答報文,并且添加或更新UserA對應(yīng)的ARP表項。當(dāng)Gateway配置ARP表項嚴(yán)格學(xué)習(xí)功能以后:
對于Gateway收到UserA發(fā)送來的ARP請求報文,Gateway不添加也不更新UserA對應(yīng)的ARP表項。如果該請求報文請求的是Gateway的MAC地址,那么Gateway會向UserA回應(yīng)ARP應(yīng)答報文。
如果Gateway向UserB發(fā)送ARP請求報文,待收到與該請求對應(yīng)的ARP應(yīng)答報文后,Gateway會添加或更新UserB對應(yīng)的ARP表項。
二、配置防止ARP中間人攻擊
當(dāng)網(wǎng)絡(luò)中存在中間人攻擊時,中間人仿冒服務(wù)器,向客戶端發(fā)送帶有自己的MAC和服務(wù)器IP的報文,讓客戶端學(xué)到中間人的IP和MAC,達到仿冒服務(wù)器的目的。然后,中間人向服務(wù)器發(fā)送帶有自己的MAC和客戶端IP的報文,讓服務(wù)器學(xué)到中間人的IP和MAC,達到仿冒客戶端的目的。這樣攻擊者就可以獲得服務(wù)器和客戶端的數(shù)據(jù)。
為了避免受到中間人攻擊,可以在交換機上配置ARP報文檢查功能,對接口或VLAN下收到的ARP報文和綁定表進行匹配檢查,當(dāng)報文的檢查項和綁定表中的特征項一致時,轉(zhuǎn)發(fā)該報文,否則丟棄報文。如圖:
Switch的Eth0/0/1和Eth0/0/2接口連接了兩個用戶。假設(shè)Eth0/0/2接口連接的用戶是一個攻擊者。為了防止ARP中間人攻擊,要求在Switch上配置ARP報文檢查功能,只有接收到的ARP報文信息和綁定表中的內(nèi)容一致才會被轉(zhuǎn)發(fā),否則報文將被丟棄。
1.配置ARP報文檢查功能
# 在連接Client的Eth0/0/1接口使能ARP報文檢查功能。
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] arp anti-attack check user-bind enable
[Quidway-Ethernet0/0/1] arp anti-attack check user-bind check-item ip-address mac-address vlan
[Quidway-Ethernet0/0/1] quit
# 在連接Attacker的Eth0/0/2接口使能ARP報文檢查功能。
[Quidway] interface ethernet 0/0/2
[Quidway-Ethernet0/0/2] arp anti-attack check user-bind enable
[Quidway-Ethernet0/0/2] arp anti-attack check user-bind check-item ip-address mac-address vlan
[Quidway-Ethernet0/0/2] quit
2.配置靜態(tài)綁定表項
# 配置Client為靜態(tài)綁定表項。
[Quidway] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface Ethernet 0/0/1 vlan 10
