ARP攻击与防范方案.docx
《ARP攻击与防范方案.docx》由会员分享,可在线阅读,更多相关《ARP攻击与防范方案.docx(32页珍藏版)》请在冰豆网上搜索。
ARP攻击与防范方案
ARP攻击与防范方案
*37什么是ARP?
*37
英文原义:
AddressResolutionProtocol
中文释义:
(RFC-826)地址解析协议
局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。
所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址以保证通信的顺利进行。
注解:
简单地说,ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址,即网卡的MAC地址,比如IP地址为192.168.0.1网卡MAC地址为00-03-0F-FD-1D-2B。
整个转换过程是一台主机先向目标主机发送包含IP地址信息的广播数据包,即ARP请求,然后目标主机向该主机发送一个含有IP地址和MAC地址数据包,通过MAC地址两个主机就可以实现数据传输了。
应用:
在安装了以太网网络适配器的计算机中都有专门的ARP缓存,包含一个或多个表,用于保存IP地址以及经过解析的MAC地址。
在Windows中要查看或者修改ARP缓存中的信息,可以使用arp命令来完成,比如在WindowsXP的命令提示符窗口中键入“arp-a”或“arp-g”可以查看ARP缓存中的内容;键入“arp-dIPaddress”表示删除指定的IP地址项(IPaddress表示IP地址)。
arp命令的其他用法可以键入“arp/?
”查看到。
(129)
*41ARP攻击的防护措施*41
我们首先要知道以太网内主机通信是靠MAC地址来确定目标的.arp协议又称"地址解析协议",它负责通知电脑要连接的目标的地址,这里说的地址在以太网中就是MAC地址,简单说来就是通过IP地址来查询目标主机的MAC地址.一旦这个环节出错,我们就不能正常和目标主机进行通信,甚至使整个网络瘫痪.
ARP的攻击主要有以下几种方式
一.简单的欺骗攻击
这是比较常见的攻击,通过发送伪造的ARP包来欺骗路由和目标主机,让目标主机认为这是一个合法的主机.便完成了欺骗.这种欺骗多发生在同一网段内,因为路由不会把本网段的包向外转发,当然实现不同网段的攻击也有方法,便要通过ICMP协议来告诉路由器重新选择路由.
二.交换环境的嗅探
在最初的小型局域网中我们使用HUB来进行互连,这是一种广播的方式,每个包都会经过网内的每台主机,通过使用软件,就可以嗅谈到整个局域网的数据.现在的网络多是交换环境,网络内数据的传输被锁定的特定目标.既已确定的目标通信主机.在ARP欺骗的基础之上,可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信.
三.MACFlooding
这是一个比较危险的攻击,可以溢出交换机的ARP表,使整个网络不能正常通信
四.基于ARP的DOS
这是新出现的一种攻击方式,D.O.S又称拒绝服务攻击,当大量的连接请求被发送到一台主机时,由于主机的处理能力有限,不能为正常用户提供服务,便出现拒绝服务.这个过程中如果使用ARP来隐藏自己,在被攻击主机的日志上就不会出现真实的IP.攻击的同时,也不会影响到本机.
防护方法:
1.IP+MAC访问控制.
单纯依靠IP或MAC来建立信任关系是不安全,理想的安全关系建立在IP+MAC的基础上.这也是我们校园网上网必须绑定IP和MAC的原因之一.
2.静态ARP缓存表.
每台主机都有一个临时存放IP-MAC的对应表ARP攻击就通过更改这个缓存来达到欺骗的目的,使用静态的ARP来绑定正确的MAC是一个有效的方法.在命令行下使用arp-a可以查看当前的ARP缓存表.以下是本机的ARP表
C:
\DocumentsandSettings\cnqing>arp-a
Interface:
210.31.197.81onInterface0x
InternetAddressPhysicalAddressType
210.31.197.9400-03-6b-7f-ed-02dynamic
其中"dynamic"代表动态缓存,即收到一个相关ARP包就会修改这项.如果是个非法的含有不正确的网关的ARP包,这个表就会自动更改.这样我们就不能找到正确的网关MAC,就不能正常和其他主机通信.静态表的建立用ARP-SIPMAC.
执行"arp-s210.31.197.9400-03-6b-7f-ed-02"后,我们再次查看ARP缓存表.
C:
\DocumentsandSettings\cnqing>arp-a
Interface:
210.31.197.81onInterface0x
InternetAddressPhysicalAddressType
210.31.197.9400-03-6b-7f-ed-02static
此时"TYPE"项变成了"static",静态类型.这个状态下,是不会在接受到ARP包时改变本地缓存的.从而有效的防止ARP攻击.静态的ARP条目在每次重启后都要消失需要重新设置.
3.ARP高速缓存超时设置
在ARP高速缓存中的表项一般都要设置超时值,缩短这个这个超时值可以有效的防止ARP表的溢出.
4.主动查询
在某个正常的时刻,做一个IP和MAC对应的数据库,以后定期检查当前的IP和MAC对应关系是否正常.定期检测交换机的流量列表,查看丢包率.
总结:
ARP本省不能造成多大的危害,一旦被结合利用,其危险性就不可估量了.由于ARP本身的问题.使得防范ARP的攻击很棘手,经常查看当前的网络状态,监控流量对一个网管员来说是个很好的习惯.
教您如何进行有效的路由器安全设置
文章主要针对路由器安全设置进行了综合的介绍,同时分析出目前用户在使用路由器中的一些问题,这些问题都是需要我们特别注意的。
随着路由应用的不断增加,其应用也更加的广泛,同时安全问题是特别需要我们注意的,可能好多人还不了解如何进行路由器安全设置,才提高网络的安全性。
路由器是网络系统的主要设备,也是网络安全的前沿关口。
如果路由器连自身的安全都没有保障,整个网络也就毫无安全可言。
因此在网络安全管理上,必须对路由器安全设置进行合理规划、配置,采取必要的安全保护措施,避免因路由器自身的安全问题而给整个网络系统带来漏洞和风险。
下面是一些加强路由器安全设置的具体措施,用以阻止对路由器本身的攻击,并防范网络信息被窃取。
本文以Cisco路由器IOS12.0为例,供大家参考。
1.为路由器间的协议交换增加认证功能,提高网络安全性。
路由器安全设置的一个重要功能是路由的管理和维护,目前具有一定规模的网络都采用动态的路由协议,常用的有:
RIP、EIGRP、OSPF、IS-IS、BGP等。
当一台设置了相同路由协议和相同区域标示符的路由器加入网络后,会学习网络上的路由信息表。
但此种方法可能导致网络拓扑信息泄漏,也可能由于向网络发送自己的路由信息表,扰乱网络上正常工作的路由信息表,严重时可以使整个网络瘫痪。
这个问题的解决办法是对网络内的路由器之间相互交流的路由信息进行认证。
当路由器安全设置了认证方式,就会鉴别路由信息的收发方。
有两种鉴别方式,其中“纯文本方式”安全性低,建议使用“MD5方式”。
2.路由器安全设置的物理安全防范。
路由器控制端口是具有特殊权限的端口,如果攻击者物理接触路由器后,断电重启,实施“密码修复流程”,进而登录路由器,就可以完全控制路由器。
3.保护路由器口令。
在备份的路由器安全设置文件中,密码即使是用加密的形式存放,密码明文仍存在被破解的可能。
一旦密码泄漏,网络也就毫无安全可言。
4.阻止察看路由器诊断信息。
5.阻止查看到路由器当前的用户列表。
关闭命令为:
noservicefinger。
6.关闭CDP(CiscoDiscoverProtocol)服务。
在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息:
设备平台、操作系统版本、端口、IP地址等重要信息。
可以用命令:
nocdprunning或nocdpenable关闭这个服务。
7.阻止路由器接收带源路由标记的包,将带有源路由选项的数据流丢弃。
“IPsource-route”是一个全局配置命令,允许路由器处理带源路由选项标记的数据流。
启用源路由选项后,源路由信息指定的路由使数据流能够越过默认的路由,这种包就可能绕过防火墙。
关闭命令如下:
noipsource-route。
8.关闭路由器广播包的转发。
sumrfD.o.S攻击以有广播转发配置的路由器作为反射板,占用网络资源,甚至造成网络的瘫痪。
应在每个端口应用“noipdirected-broadcast”关闭路由器广播包。
9.管理HTTP服务。
HTTP服务提供Web管理接口。
“noiphttpserver”可以停止HTTP服务。
如果必须使用HTTP,一定要使用访问列表“iphttpaccess-class”命令,严格过滤允许的IP地址,同时用“iphttpauthentication”命令设定授权限制。
10.抵御spoofing(欺骗)类攻击。
使用访问控制列表,过滤掉所有目标地址为网络广播地址和宣称来自内部网络,实际却来自外部的包。
11.防止包嗅探。
黑客经常将嗅探软件安装在已经侵入的网络上的计算机内,监视网络数据流,从而盗窃密码,包括SNMP通信密码,也包括路由器的登录和特权密码,这样网络管理员难以保证网络的安全性。
在不可信任的网络上不要用非加密协议登录路由器。
如果路由器支持加密协议,请使用SSH或KerberizedTelnet,或使用IPSec加密路由器所有的管理流。
12.校验数据流路径的合法性。
使用RPF(reversepathforwarding)反相路径转发,由于攻击者地址是违法的,所以攻击包被丢弃,从而达到抵御spoofing攻击的目的。
RPF反相路径转发的配置命令为:
ipverifyunicastrpf。
13.防止SYN攻击。
Cisco4xxx、7x00series平台上的IOS版本,可以开启TCP拦截功能,防止SYN攻击,工作模式分拦截和监视两种,默认情况是拦截模式。
(拦截模式:
路由器响应到达的SYN请求,并且代替服务器发送一个SYN-ACK报文,然后等待客户机ACK。
如果收到ACK,再将原来的SYN报文发送到服务器;监视模式:
路由器允许SYN请求直接到达服务器,如果这个会话在30秒内没有建立起来,路由器就会发送一个RST,以清除这个连接。
)
14.使用安全的SNMP管理方案。
SNMP广泛应用在路由器安全设置的监控、配置方面。
SNMPVersion1在穿越公网的管理应用方面,安全性低,不适合使用。
利用访问列表仅仅允许来自特定工作站的SNMP访问通过这一功能可以来提升SNMP服务的安全性能。
总之,路由器安全设置防范是网络安全的一个重要组成部分,还必须配合其他的安全防范措施,这样才能共同构筑起安全防范的整体工程。
把危险挡在外面 路由器安全设置九法
对于大多数企业局域网来说,路由器已经成为正在使用之中的最重要的安全设备之一。
一般来说,大多数网络都有一个主要的接入点。
这就是通常与专用防火墙一起使用的“边界路由器”。
在下列指南中,我们将研究一下你可以用来保护网络安全的9个方便的步骤。
这些步骤能够保证你拥有一道保护你的网络的砖墙,而不是一个敞开的大门。
1.修改默认的口令!
据卡内基梅隆大学的CERT/CC(计算机应急反应小组/控制中心)称,80%的安全突破事件是由薄弱的口令引起的。
网络上有大多数路由器的广泛的默认口令列表。
你可以肯定在某些地方的某个人会知道你的生日。
SecurityS网站维护一个详尽的可用/不可用口令列表,以及一个口令的可靠性测试。
2.关闭IP直接广播(IPDirectedBroadcast)
你的服务器是很听话的。
让它做什么它就做什么,而且不管是谁发出的指令。
Smurf攻击是一种拒绝服务攻击。
在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMPecho”请求。
这要求所有的主机对这个广播请求做出回应。
这种情况至少会降低你的网络性能。
参考你的路由器信息文件,了解如何关闭IP直接广播。
例如,“Central(config)#noipsource-route”这个指令将关闭思科路由器的IP直接广播地址。
3.如果可能,关闭路由器的HTTP设置
正如思科的技术说明中简要说明的那样,HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。
然而,遗憾的是,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。
虽然这种未加密的口令对于你从远程位置(例如家里)设置你的路由器也许是非常方便的,但是,你能够做到的事情其他人也照样可以做到。
特别是如果你仍在使用默认的口令!
如果你必须远程管理路由器,你一定要确保使用SNMPv3以上版本的协议,因为它支持更严格的口令。
4.封锁ICMPping请求
ping的主要目的是识别目前正在使用的主机。
因此,ping通常用于更大规模的协同性攻击之前的侦察活动。
通过取消远程用户接收ping请求的应答能力,你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”(scriptkiddies)。
请注意,这样做实际上并不能保护你的网络不受攻击,但是,这将使你不太可能成为一个攻击目标。
5.关闭IP源路由
IP协议允许一台主机指定数据包通过你的网络的路由,而不是允许网络组件确定最佳的路径。
这个功能的合法的应用是用于诊断连接故障。
但是,这种用途很少应用。
这项功能最常用的用途是为了侦察目的对你的网络进行镜像,或者用于攻击者在你的专用网络中寻找一个后门。
除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。
6.确定你的数据包过滤的需求
封锁端口有两项理由。
其中之一根据你对安全水平的要求对于你的网络是合适的。
对于高度安全的网络来说,特别是在存储或者保持秘密数据的时候,通常要求经过允许才可以过滤。
在这种规定中,除了网路功能需要的之外,所有的端口和IP地址都必要要封锁。
例如,用于web通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问,而所有其它端口和地址都可以关闭。
大多数网络将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。
当使用这种过滤政策时,可以封锁你的网络没有使用的端口和特洛伊木马或者侦查活动常用的端口来增强你的网络的安全性。
例如,封锁139端口和445(TCP和UDP)端口将使黑客更难对你的网络实施穷举攻击。
封锁31337(TCP和UDP)端口将使BackOrifice木马程序更难攻击你的网络。
这项工作应该在网络规划阶段确定,这时候安全水平的要求应该符合网络用户的需求。
查看这些端口的列表,了解这些端口正常的用途
7.建立准许进入和外出的地址过滤政策
在你的边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。
除了特殊的不同寻常的案例之外,所有试图从你的网络内部访问互联网的IP地址都应该有一个分配给你的局域网的地址。
例如,192.168.0.1这个地址也许通过这个路由器访问互联网是合法的。
但是,216.239.55.99这个地址很可能是欺骗性的,并且是一场攻击的一部分。
相反,来自互联网外部的通信的源地址应该不是你的内部网络的一部分。
因此,应该封锁入网的192.168.X.X、172.16.X.X和10.X.X.X等地址。
最后,拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器。
这包括回送地址127.0.0.1或者E类(classE)地址段240.0.0.0-254.255.255.255。
8.保持路由器的物理安全
从网络嗅探的角度看,路由器比集线器更安全。
这是因为路由器根据IP地址智能化地路由数据包,而集线器相所有的节点播出数据。
如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式,它们就能够接收和看到所有的广播,包括口令、POP3通信和Web通信。
然后,重要的是确保物理访问你的网络设备是安全的,以防止未经允许的笔记本电脑等嗅探设备放在你的本地子网中。
9.花时间审阅安全记录
审阅你的路由器记录(通过其内置的防火墙功能)是查出安全事件的最有效的方法,无论是查出正在实施的攻击还是未来攻击的征候都非常有效。
利用出网的记录,你还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序。
用心的安全管理员在病毒传播者作出反应之前能够查出“红色代码”和“Nimda”病毒的攻击。
此外,一般来说,路由器位于你的网络的边缘,并且允许你看到进出你的网络全部通信的状况
在局域网查找中毒电脑/arp病毒清除
第一步骤:
找一台服务器(首先你要保证这台机器没有任何的病毒),然后建一个文件夹名为"病毒",
然后把这个文件夹开一下共享,名为:
"bd$".要开所有权限.可读可写..
第二个步骤:
随便找几个100K以下的.EXE文件放进这个"病毒"这个文件夹里面.以可以新建几个空的文本文档,然后把文件扩展名改成exe
第三个步骤:
用工具查看哪台机器连了你这边机器的"bd$"这个共享文件夹的,哪台连接了,哪台就有病毒..而且你的"病毒"文件夹里面的.EXE文件已经被感染了..
用这个办法找到了许多中毒的机器,然后再加以防范,也找到了不少的病毒的样本,嘿嘿.,...大家给我往死里顶..哈哈....
开这样的共享"bd$"顾客不可能自己跑进来,,只有病毒自己会跑进来,一进来,肯定就有病毒.而且比较局部网哪台机器中毒,也非常好查,看看哪台机器连了你这个共享,哪台肯定中毒了.直接去GHOST就行了
ARP欺骗攻击的包处理办法
通用的处理流程
1、先保证网络正常运行
方法一:
编辑一个***.bat文件内容如下:
arp.exes
***.***.***.***(gwip)****
**
**
**
**(gwmacaddress)
end
让网络用户点击就可以了!
办法二:
编辑一个注册表问题,键值如下:
WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MAC:
="arps***.***.***.*************"gwipandgwmacaddress
然后保存成Reg文件以后在每个客户端上点击导入注册表。
前言:
今年算是ARP和LOGO1病毒对网吧的危害最大,在前期我们一般采用双向梆定的方法即可解决
但是ARP变种出现日期大概在10月份,大家也许还在为网关掉线还以为是电信的问题还烦恼吧,其实不然
变种过程ARP病毒-变种OK病毒-变种TrojanDropper.Win32.Juntador.f或TrojanDropper.Win32.Juntador.C
现在的这个ARP变种病毒更是厉害,我把自己遇到过的情况说给大家听听,如果大家有这些情况,不好意思“恭喜你”
你中大奖了,呵呵~~
先了解ARP变种病毒的特性吧:
一:
破坏你的ARP双向绑定批出理
二:
中毒机器改变成代理服务器又叫代理路由
三:
改变路由的网关MAC地址和internat网关的MAC地址一样
病毒发作情况:
现在的ARP变种不是攻击客户机的MAC地址攻击路由内网网关,改变了它的原理,这点实在佩服
直接攻击您的路由的什么地址你知道吗?
哈哈~~猜猜吧~~不卖关了~~新的变种ARP直接攻击您路由的MAC地址和外网网关
而且直接就把绑定IP与MAC的批处理文件禁用了。
一会儿全掉线,一会儿是几台几台的掉线。
而且
中了ARP的电脑会把那台电脑转变成内网的代理服务器进行盗号和发动攻击。
如果大家发现中了ARP没有掉线,那说明你
中了最新的变种,你只要重启了那台中了ARP病毒的电脑,那么受到ARP攻击的机子就会全部掉线
内网的网关不掉包,而外网的IP和DNS狂掉,这点也是ARP变种的出现的情况,请大家留意。
我在最后会公布解决的案例和相关补丁,请大家看完全文可能对你有帮助哦,不要急着下~呵呵~
该病毒发作时候的特征为,中毒的机器会伪造某台电脑的MAC地址,如该伪造地址为网关服务器的地址,那么对整个网吧均会造成影响,用户表现为上网经常瞬断。
一、在任意客户机上进入命令提示符(或MS-DOS方式),用arp–a命令查看:
C:
\WINNT\system32>arp-a
Interface:
192.168.0.193onInterface0x
InternetAddressPhysicalAddressType
192.168.0.100-50-da-8a-62-2cdynamic
192.168.0.2300-11-2f-43-81-8bdynamic
192.168.0.2400-50-da-8a-62-2cdynamic
192.168.0.2500-05-5d-ff-a8-87dynamic
192.168.0.20000-50-ba-fa-59-fedynamic
可以看到有两个机器的MAC地址相同,那么实际检查结果为00-50-da-8a-62-2c为192.168.0.24的MAC地址,192.168.0.1的实际MAC地址为00-02-ba-0b-04-32,我们可以判定192.168.0.24实际上为有病毒的机器,它伪造了192.168.0.1的MAC地址。
二、在192.168.0.24上进入命令提示符(或MS-DOS方式),用arp–a命令查看:
C:
\WINNT\system32>arp-a
Interface:
192.168.0.24onInterface0x
InternetAddressPhysicalAddressType
192.168.0.100-02-ba-0b-04-32dynamic
192.168.0.2300-11-2f-43-81-8bdynamic
192.168.0.2500-05-5d-ff-a8-87dynamic
192.168.0.19300-11-2f-b2-9d-17dynamic
192.168.0.20000-50-ba-fa-59-fedynamic
可以看到带病毒的机器上显示的MAC地址是正确的,而且该机运行速度缓慢,应该为所有流量在二层通过该机进行转发而导致,该机重启后网吧内所有电脑都不能上网,只有等arp刷新MAC地址后才正常,一般在2、3分钟左右。
三、如果主机可以进入dos窗口,用arp–a命令可以看到类似下面的现象:
C:
\WINNT\system32>arp-a
Interface:
192.168.0.1onInterface0x
InternetAddressPhysicalAddressType
192.168.0.2300-50-da-8a-62-2cdynamic
192.168.0.2400-50-da-8a-62-2cdynamic
192.168.0.2500-50-da-8a-62-2cdynamic
192.168.0.19300-50-da-8a-62-2cdynamic
192.168.0.20000-50-
升级会员 