安企神:防止局域网ARP攻击、防范局域网ARP欺骗、阻止局域网ARP病毒?
作者:安企神 日期:2022/10/18
如果你要问当前局域网较常见的网络攻击行为是什么?相信很多网管员都会说:ARP攻击。的确如此,这一方面是因为ARP地址解析协议是所有局域网都必须用到的较基本的通讯协议,所以在几乎所有局域网都可以发动ARP欺骗攻击行为;另一方面,当前互联网上充斥着大量的黑客软件、网络攻击软件,这些软件很多都集成了ARP攻击功能,这使得员工随意下载此类软件发动ARP攻击行为变得更为容易。因此,企业网络管理员的重要网络管理工作就是:防止局域网ARP攻击、防止局域网ARP欺骗,保证企业局域网的安全、稳定和畅通。
而有效防御局域网ARP攻击、防止电脑ARP欺骗,就必须借助于专门的网络控制软件、网络安全防护软件。笔者推荐一款名为安企神的网络监控软件(官网:www.wgj7.com),安企神系统集成了强大的ARP攻击防护功能,可以有效防止计算机ARP攻击、防止内网ARP欺骗等。同时,为了便于更好地应对ARP攻击,我们需要深入了解ARP攻击的原理。
一、要想防患arp攻击,那么我们要知道什么是arp?
ARP:地址解析协议,用于将32位的IP地址解析成48位的物理mac地址。
在以太网协议中,规定同一局域网中的主机相互通信,必须知道对方的物理地址(即mac地址),而在tcp/ip协议中,网络层和传输层只关心目标主机的 ip地址。这就导致在以太网中使用IP协议时,数据链路层的以太网协议接到上层的IP协议提供的数据中,只包含目的主机的IP地址。所以就需要一种协议,根据目的的IP地址,获得其mac地址。所以arp协议就应运而生。
另外,当发送主机和目的主机不在同一个局域网中时,即便知道目的主机的MAC地址,两者也不能直接通信,必须经过路由转发才可以。所以此时,发送主机通过 ARP协议获得的将不是目的主机的真实MAC地址,而是一台可以通往局域网外的路由器的某个端口的MAC地址。于是此后发送主机发往目的主机的所有帧,都将发往该路由器,通过它向外发送。这种情况称为ARP代理(ARP Proxy)。
二、arp攻击的原理
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
三、什么是ARP欺骗
在局域网中,黑客经过收到ARP Request广播包,能够偷听到其它节点的 (IP, MAC) 地址, 黑客就伪装为A,告诉B (受害者) 一个假地址,使得B在发送给A 的数据包都被黑客截取,而A, B 浑然不知。
四、arp的攻击方式:
1、ip地址冲突
Arp病毒制造者制造出局域网上有另一台主机与受害主机共享一个IP的假象。大量的攻击数据包能令受害主机耗费大量的系统资源。
①单播型的IP地址冲突
数据链路层记录的目的物理地址为被攻击主机的物理地址,这样使得该arp数据包只能被受攻击主机所接收,而不被局域网内其他主机所接收,实现隐蔽式攻击。
②广播型的IP地址冲突
数据链路层记录的目的物理地址为广播地址,这样使得局域网内的所有主机都会接收到该arp数据包,虽然该arp数据包所记录的目的IP地址不是受攻击主机的IP地址,但是由于该arp数据包为广播数据包,这样受攻击主机也会收到。
2、arp泛洪攻击
攻击主机持续把伪造的mac-ip映射对发给受害的主机,对于局域网内的所有主机和网管进行广播,抢占网络带宽和干扰正常通信。
3、arp扫描攻击
Arp攻击者向局域网发送arp请求,从而获得正在运行主机的IP和MAC地址的映射对。攻击源通过对arp扫描获得所要攻击的IP和mac地址,从而为网络监听、盗取用户数据,实现隐蔽式攻击做准备。
4、虚拟主机攻击
黑客通过在网络内虚拟构建网卡,将自己虚拟成网络内的一台主机,拥有虚拟的物理地址和IP地址。使得占用局域网内的IP地址资源,使得正常运行的主机会发生IP地址冲突,并且大量的虚拟主机攻击会使得局域网内的主机无法正常获得IP地址。
5、ARP欺骗攻击
目的是向目标主机发送伪造的arp应答,并使目标主机接收应答中的IP与MAC间的映射,并以此更新目标主机缓存。从而影响链接畅通。其方式有:冒充主机欺骗网关,原理是截获网关数据和冒充网关欺骗主机,原理是伪造网关。
五、arp攻击防患措施
1、在客户端静态绑定IP地址和MAC地址
进入命令行arp –a命令查看,获取本机的网关IP地址和网关mac地址
编写一个批处理内容为:
@echo off
arp -d
arp –s 网关的IP地址 自己的mac地址
保存放置到开机启动项里
2、设置arp服务器
指定局域网内部的一台机器作为arp服务器,专门保存且维护可信范围内的所有主机的IP地址与mac地址的映射记录。该服务器通过查阅自己的arp缓存的静态记录,并以被查询主机的名义相应局域网内部的arp请求,同时设置局域网内部其他主机只是用来自arp服务器的arp响应。
3、交换机端口设置
通过划分VLAN和交换机端口绑定,以图防范ARP,也是常用的防范方法。做法是细致地划分VLAN,减小广播域的范围,使ARP在小范围内起作用,而不至于发生大面积影响。同时,一些网管交换机具有MAC地址学习的功能,学习完成后,再关闭这个功能,就可以把对应的MAC和端口进行绑定,避免了病毒利用 ARP攻击篡改自身地址。也就是说,把ARP攻击中被截获数据的风险解除了。这种方法确实能起到一定的作用。
不过,VLAN和交换机端口绑定的问题在于:
①没有对网关的任何保护,不管如何细分VLAN,网关一旦被攻击,照样会造成全网上网的掉线和瘫痪。
②把每一台电脑都牢牢地固定在一个交换机端口上,这种管理太死板了。这根本不适合移动终端的使用,从办公室到会议室,这台电脑恐怕就无法上网了。在无线应用下,又怎么办呢?还是需要其他的办法。
③实施交换机端口绑定,必定要全部采用高级的网管交换机、三层交换机,整个交换网络的造价大大提高。
因为交换网络本身就是无条件支持ARP操作的,就是它本身的漏洞造成了ARP攻击的可能,它上面的管理手段不是针对ARP的。因此,在现有的交换网络上实施ARP防范措施,属于以子之矛攻子之盾。而且操作维护复杂,基本上是个费力不讨好的事情。
4、ARP个人防火墙
在一些杀毒软件中加入了ARP个人防火墙的功能,它是通过在终端电脑上对网关进行绑定,保证不受网络中假网关的影响,从而保护自身数据不被窃取的措施。ARP防火墙使用范围很广,有很多人以为有了防火墙,ARP攻击就不构成威胁了,其实完全不是那么回事。
ARP个人防火墙也有很大缺陷:
①它不能保证绑定的网关一定是正确的。如果一个网络中已经发生了ARP欺骗,有人在伪造网关,那么,ARP个人防火墙上来就会绑定这个错误的网关,这是具有极大风险的。即使配置中不默认而发出提示,缺乏网络知识的用户恐怕也无所适从。
②ARP是网络中的问题,ARP既能伪造网关,也能截获数据,是个“双头怪”。在个人终端上做ARP防范,而不管网关那端如何,这本身就不是一个完整的办法。ARP个人防火墙起到的作用,就是防止自己的数据不会被盗取,而整个网络的问题,如掉线、卡滞等,ARP个人防火墙是无能为力的。
因此,ARP个人防火墙并没有提供可靠的保证。较重要的是,它是跟网络稳定无关的措施,它是个人的,不是网络的。
5、反欺骗
通过命令设置一个错误的网关地址,反欺骗arp病毒,然后再添加一条静态路由,设置正确的网关用于正常的网络访问。
6、安装网管软件(如国内流行的安企神软件)
可以安装安企神软件,安企神系统2022版本中集成了防范局域网ARP攻击的功能,可以实时检测局域网ARP报文、监测ARP攻击行为、防止局域网ARP欺骗、防止局域网ARP病毒等。安企神系统监控ARP攻击行为有以下优势:首先,安企神系统启动后自动向局域网发送ARP攻击免疫信息,从而可以预防局域网ARP欺骗攻击行为的发生;其次,安企神系统发现局域网电脑ARP攻击时会记录攻击源主机,从而便于网管员及时查找和定位局域网发动ARP攻击的电脑,以便采取及时的补救、防御举措进行防范,防止ARP攻击导致局域网掉线、局域网断网或电脑上网速度慢的情况。
筑牢安全防线:安企神企业助力特种设备机械企业数据防泄密解决方案
西安苛菲特机械设备有限公司 西安苛菲特机械设备有限公司致力于特种设备的发展,专业从事特种设备的研发、制造和销售。目前已成为有色冶金特种设备、大型船舶特种设备、煤化工特种设备的领军品牌,并在业内得到了“ 特种设备专家”的称号。公司以打造国内一流特种设备为使命,主要产品定型为高品质特种(高温、高压、高合金)流量控...
安企神软件——为中国铁道建筑集团有限公司筑牢数据防泄密系统
01公司介绍中国铁建是中国乃至全球最具实力、最具规模的特大型综合建设集团之一,入选世界500强企业、全球225家最大承包商之一等荣誉。公司以工程承包为主业,集勘察、设计、投融资、施工、设备安装、工程监理、技术咨询、外经外贸于一体,经营业务遍及除台湾省外全国31个省市(自治区)、世界20多个国家和地区,企业总资产820亿...
强化终端安全,安企神软件与涂料制造企业共创安全未来
西安经建油漆有限责任公司规模化、专业化、现代化涂料制造企业西安经建油漆有限责任公司,年涂料生产能力20万吨,为中国中西部实力较强、产能较大的涂料制造企业。公司成立伊始便积极承担起重点建设项目及国防军事工业、航空航天工业提供配套涂料科研开发及生产任务。多次受到中国航天科技集团总公司的通令嘉奖,为我国航天事业跻身世界前列做...
全球著名减震器制造商——天纳克携手安企神共筑安全制造新防线
天纳克(北京)汽车减振器有限公司天纳克(北京)汽车减振器有限公司成立于1995年,是天纳克在中国最早投资的合资企业。公司集设计、开发、生产及销售汽车减振器于一身。作为天纳克全球网络的一部分,能充分享受天纳克全球的技术积累经验和国际领先的设计理念,加之先进的生产设备和工艺技术。天纳克(北京)汽车减振器有限公司完全能保证为...
强强联合!安企神软件携手瀚颐共筑汽车行业终端安全防线
瀚颐上海汽车电子科技有限公司EAST瀚颐中国团队成立于2015年。是国际AUTOSAR软件联盟的研发伙伴单位。具备汽车电子硬件设计、软件开发、CAN网络集成、系统集成测试以及项目管理的全面研发能力。专注于汽车电子以及相关产业并拥有25年以上的专业经验,拥有来自于德国和中国业内专家和高管组成的顾问团队,并向全球汽车行业客...