局域网ARP攻击及防护.docVIP

局域网ARP攻击及防护 【摘 要】在局域网安全中，ARP漏洞是网络攻击和木马病毒经常利用的漏洞，做好arp网络防御对网络正常使用和用户信息安全至关重要，本文探讨一下ARP攻击原理及相应防御手段。 【关键词】局域网安全；ARP攻击；ARP攻击源 1 ARP攻击发生时的现象 发生ARP攻击时可能出现的现象有： 1.1 网速时快时慢，极其不稳定，计算机和交换机重启后网速能恢复正常 1.2 局域网内频繁性区域或整体掉线，web服务器不能正常访问 1.3 网上银行、游戏及QQ账号的频繁丢失 1.4 ping外网出现长时间延迟，甚至大量丢包，而ping内网其它ip地址则比较畅通 1.5 单机通过光纤外ping畅通 2 ARP工作原理及缺陷 ARP（Address Resolution Protocol）即地址解析协议，是根据IP地址获取物理地址的一个TCP/IP协议。其功能是：主机将ARP请求广播到网络上的所有主机，并接收返回消息，确定目标IP地址的物理地址，同时将IP地址和硬件地址存入本机ARP缓存中，下次请求时直接查询ARP缓存，当查询不到目标计算机mac地址的时候才发广播查询。在局域网所有的计算机都是可信的情况下，它是十分高效的，大大的减少了网内目标地址的查询，从而减少了网络流量，提高了效率。 同时Arp协议也是一种无状态的协议，存在严重的漏洞。因为它从不检查收到数据包是不是自己请求过的应答包，也不管应答包是不是合法的，只要目标地址和自己的mac相同便接收，并对请求作出回答。 计算机会不断刷新ARP表以确保ARP表的有效性，所以当网络中存在欺骗包时，会被轻而易举的接收，并将欺骗包的ip、mac地址刷新到ARP表中。 3 ARP攻击类型 Arp攻击主要分为以下几类： 3.1 网关仿冒 攻击者或病毒发送伪造的网关arp报文，把同网段内其他终端的网关mac重定向到错误的mac地址，导致其它用户不能正常上网。 3.2 欺骗网关 攻击者发送mac和ip地址对应关系给网关，导致网关和终端用户无法通讯。 3.3 攻击者发送错误的终端用户/服务器的IP+MAC的对应关系给受害的终端用户，导致同网段内两个终端用户之间无法正常通信。 3.4 ARP泛洪攻击 攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户的ARP表项无法正常学习，导致合法用户无法正常访问外网。 3.5 其他高级ARP攻击，如网络终结者攻击等。 4 ARP病毒防御策略及实施 防止ARP攻击是一向比较繁琐的工作，通常的做法有以下几种： 4.1 ARP防火墙 现在几乎所有的计算机防火墙软件都有类似的功能，例如360安全卫士，金山卫士，瑞星等，只要开启相应功能即可。终端安装arp防火墙是现在比较通俗的办法。 4.2 修改系统拒收ICMP重定向报文关闭icmp协议 为了应对不同网段的攻击，我们可以关闭icmp路由重定向协议，可以将以下文本复制到文本文件，并将该文本重命名为”.reg”，双击该文件，将该文件导入注册表即可。 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼TCPIP＼Paramters＼Interfaces] PerformRouterDiscovery dword4.3 网内ip、mac地址双向绑定 由于内网可能涉及到的计算机数量会比较大，双向绑定ip、mac工作量介乎无法完成，同时由于计算机重启后，arp路由表会被清除，需要重新建立，所以可以考虑使用批处理来解决，并且把运行的文件加入到开机运行中，便能够很好地解决这个问题。以下代码可供参考（假设已知内网网关ip、mac地址）： @echo off if %1 h goto begin start mshta vbscript：createobject（wscript.shell）.run（%～nx0 h，0）（window.close）exit ：begin if not exist %0 %USERPROFILE%＼「开始」菜单＼程序＼启动＼ copy %0 %USERPROFILE%＼「开始」菜单＼程序＼启动＼ arp -d ipconfig /all ipconfig.txt arp -s 网关ip 网关mac for /f tokens 15 %%i in （find IP Address ipconfig.txt） do set ip %%i for /f tokens 12 %%i in （find Physical Address ipconfig.txt） do set mac %%i arp -s %ip% %mac% de