關于arp的詳細資料請讀者自行查找參考,鑒于arp的危害性本文不詳細介紹攻擊方法.

我們首先要知道以太網內主機通信是靠MAC地址來確定目標的.arp協議又稱"地址解析協議",它負責通知電腦要連接的目標的地址,這里說的地址在以太網中就是MAC地址,簡單說來就是通過IP地址來查詢目標主機的MAC地址.一旦這個環節出錯,我們就不能正常和目標主機進行通信,甚至使整個網絡癱瘓.

ARP的攻擊主要有以下幾種方式

一.簡單的欺騙攻擊

這是比較常見的攻擊,通過發送偽造的ARP包來欺騙路由和目標主機,讓目標主機認為這是一個合法的主機.便完成了欺騙.這種欺騙多發生在同一網段內,因為路由不會把本網段的包向外轉發,當然實現不同網段的攻擊也有方法,便要通過ICMP協議來告訴路由器重新選擇路由.

二.交換環境的嗅探

在最初的小型局域網中我們使用HUB來進行互連,這是一種廣播的方式,每個包都會經過網內的每臺主機,通過使用軟件,就可以嗅談到整個局域網的數據.現在的網絡多是交換環境,網絡內數據的傳輸被鎖定的特定目標.既已確定的目標通信主機.在ARP欺騙的基礎之上,可以把自己的主機偽造成一個中間轉發站來監聽兩臺主機之間的通信.

三.MAC Flooding

這是一個比較危險的攻擊,可以溢出交換機的ARP表,使整個網絡不能正常通信

四.基于ARP的DOS

這是新出現的一種攻擊方式,D.O.S又稱拒絕服務攻擊,當大量的連接請求被發送到一臺主機時,由于主機的處理能力有限,不能為正常用戶提供服務,便出現拒絕服務.這個過程中如果使用ARP來隱藏自己,在被攻擊主機的日志上就不會出現真實的IP.攻擊的同時,也不會影響到本機.

防護方法:

1.IP+MAC訪問控制.

單純依靠IP或MAC來建立信任關系是不安全,理想的安全關系建立在IP+MAC的基礎上.這也是我們校園網上網必須綁定IP和MAC的原因之一.

2.靜態ARP緩存表.

每臺主機都有一個臨時存放IP-MAC的對應表ARP攻擊就通過更改這個緩存來達到欺騙的目的,使用靜態的ARP來綁定正確的MAC是一個有效的方法.在命令行下使用arp -a可以查看當前的ARP緩存表.以下是本機的ARP表

C:\Documents and Settings\cnqing>arp -a

Interface: 210.31.197.81 on Interface 0x1000003

Internet Address Physical Address Type

210.31.197.94 00-03-6b-7f-ed-02 dynamic

其中"dynamic" 代表動態緩存,即收到一個相關ARP包就會修改這項.如果是個非法的含有不正確的網關的ARP包,這個表就會自動更改.這樣我們就不能找到正確的網關MAC,就不能正常和其他主機通信.靜態表的建立用ARP -S IP MAC.

執行"arp -s 210.31.197.94 00-03-6b-7f-ed-02"后,我們再次查看ARP緩存表.

C:\Documents and Settings\cnqing>arp -a

Interface: 210.31.197.81 on Interface 0x1000003

Internet Address Physical Address Type

210.31.197.94 00-03-6b-7f-ed-02static

此時"TYPE"項變成了"static",靜態類型.這個狀態下,是不會在接受到ARP包時改變本地緩存的.從而有效的防止ARP攻擊.靜態的ARP條目在每次重啟后都要消失需要重新設置.

3.ARP 高速緩存超時設置

在ARP高速緩存中的表項一般都要設置超時值,縮短這個這個超時值可以有效的防止ARP表的溢出.

4.主動查詢

在某個正常的時刻,做一個IP和MAC對應的數據庫,以后定期檢查當前的IP和MAC對應關系是否正常.定期檢測交換機的流量列表,查看丟包率.

總結:ARP本省不能造成多大的危害,一旦被結合利用,其危險性就不可估量了.由于ARP本身的問題.使得防范ARP的攻擊很棘手,經常查看當前的網絡狀態,監控流量對一個網管員來說是個很好的習慣.