從網(wǎng)吧ARP欺騙看局域網(wǎng)的安全管理

雨濁

在“網(wǎng)吧ARP欺騙的原理及危害”一文中為大家介紹了ARP欺騙攻擊的原理以及危害程度，相信各位網(wǎng)絡(luò)管理員讀者都對(duì)ARP欺騙深表痛恨，希望能夠徹底的禁止該現(xiàn)象的發(fā)生。雖然筆者不是網(wǎng)吧管理員，但是也在單位負(fù)責(zé)五個(gè)機(jī)房共200臺(tái)計(jì)算機(jī)。\r\n\r\n所以下面就根據(jù)筆者的經(jīng)驗(yàn)為大家介紹如何來(lái)防止ARP欺騙，文章所說(shuō)的這些方法對(duì)網(wǎng)吧或普通局域網(wǎng)都是適用的。\r\n\r\n企業(yè)可以通過(guò)發(fā)布網(wǎng)絡(luò)管理制度來(lái)禁止ARP欺騙問(wèn)題的發(fā)生，發(fā)現(xiàn)有欺騙者和獎(jiǎng)金等效益掛鉤。但是網(wǎng)吧不同于企業(yè)，來(lái)使用計(jì)算機(jī)和網(wǎng)絡(luò)的都是顧客，也就是“上帝”，我們不可能對(duì)他們的行為做過(guò)多的約束，所以唯一能做的就是從技術(shù)上盡最大可能約束和檢查ARP欺騙的來(lái)源。\r\n\r\n一，sniffer檢測(cè)法：\r\n\r\nsniffer是網(wǎng)絡(luò)管理的好工具，網(wǎng)絡(luò)中傳輸?shù)乃�有�?shù)據(jù)包都可以通過(guò)sniffer來(lái)檢測(cè)。同樣arp欺騙數(shù)據(jù)包也逃不出sniffer的監(jiān)測(cè)范圍。\r\n\r\n一般來(lái)說(shuō)ARP欺騙數(shù)據(jù)包沒(méi)有留下發(fā)送虛假信息的主機(jī)地址，但是承載這個(gè)ARP包的ethernet幀卻包含了他的源地址。而且正常情況下ethernet數(shù)據(jù)幀中，幀頭里的MAC源地址/目標(biāo)地址應(yīng)該和幀數(shù)據(jù)包中ARP信息配對(duì)，這樣的ARP包才算是正確的。如果不正確，肯定是假冒的包，當(dāng)然如果匹配的話(huà)，我們也不能過(guò)于放松，一樣不能代表是正確的，另外通過(guò)檢測(cè)到的數(shù)據(jù)包再結(jié)合網(wǎng)關(guān)這里擁有的本網(wǎng)段所有MAC地址網(wǎng)卡數(shù)據(jù)庫(kù)，看看哪個(gè)和Mac數(shù)據(jù)庫(kù)中數(shù)據(jù)不匹配，這樣就可以找到假冒的ARP數(shù)據(jù)包，并進(jìn)一步找到兇手了。\r\n\r\n關(guān)于MAC地址網(wǎng)卡數(shù)據(jù)庫(kù)可以在第一次裝系統(tǒng)的時(shí)候進(jìn)行記錄，將網(wǎng)吧座位號(hào)與MAC地址等信息做一個(gè)對(duì)應(yīng)表格。查看MAC地址的方法是通過(guò)“開(kāi)始->運(yùn)行”，進(jìn)入命令提示窗口，然后輸入ipconfig /all。在physical address的右邊就是相應(yīng)網(wǎng)卡的MAC地址。（如圖1）\r\n\r\n二，DHCP結(jié)合靜態(tài)捆綁法：\r\n\r\n要想徹底避免ARP欺騙的發(fā)生，我們需要讓各個(gè)計(jì)算機(jī)的MAC地址與IP地址唯一且相對(duì)應(yīng)。雖然我們可以通過(guò)為每臺(tái)計(jì)算機(jī)設(shè)置IP地址的方法來(lái)管理網(wǎng)絡(luò)，但是遇到那些通過(guò)ARP欺騙非法攻擊的用戶(hù)來(lái)說(shuō)，他可以事先自己手動(dòng)更改IP地址，這樣檢查起來(lái)就更加復(fù)雜了，所以說(shuō)保證每臺(tái)計(jì)算機(jī)的MAC地址與IP地址唯一是避免ARP欺騙現(xiàn)象發(fā)生的前提。\r\n\r\n（1）建立DHCP服務(wù)器保證MAC地址與IP地址唯一性：\r\n\r\n首先我們可以在windows 2000 server或其他服務(wù)器版操作系統(tǒng)上啟用DHCP服務(wù)，為網(wǎng)吧建立一個(gè)DHCP服務(wù)器，一般來(lái)說(shuō)建議在網(wǎng)關(guān)上搭建。因?yàn)镈HCP不占用多少CPU，而且ARP欺騙攻擊一般總是先攻擊網(wǎng)關(guān)，攻擊網(wǎng)關(guān)的同時(shí)由于網(wǎng)關(guān)這里有監(jiān)控程序，所以可以在第一時(shí)間發(fā)現(xiàn)攻擊行為。當(dāng)然為了減少攻擊的發(fā)生機(jī)率我們也可以把網(wǎng)關(guān)地址設(shè)置為網(wǎng)段的第二個(gè)地址，例如192.168.1.2，把192.168.1.\r\n\r\n另外所有客戶(hù)機(jī)的IP地址及其相關(guān)主機(jī)信息，只能由網(wǎng)關(guān)這里取得，網(wǎng)關(guān)這里開(kāi)通DHCP服務(wù)，但是要給每個(gè)網(wǎng)卡，綁定固定唯一IP地址。一定要保持網(wǎng)內(nèi)的機(jī)器IP/MAC一一對(duì)應(yīng)的關(guān)系。這樣客戶(hù)機(jī)雖然是DHCP取地址，但每次開(kāi)機(jī)的IP地址都是一樣的。以上這些綁定關(guān)系可以通過(guò)DHCP的地址池來(lái)解決，或者將客戶(hù)端獲得IP等網(wǎng)絡(luò)參數(shù)信息的租約設(shè)置為一個(gè)非常長(zhǎng)的時(shí)間，例如一年或者無(wú)限時(shí)間，這樣在此時(shí)間段里只要MAC地址不變，客戶(hù)端獲得的IP地址也是不變的。（如圖2）\r\n\r\n\r\n（2）建立MAC地址數(shù)據(jù)庫(kù)：\r\n\r\n把網(wǎng)吧內(nèi)所有網(wǎng)卡的MAC地址記錄下來(lái)，每個(gè)MAC和IP、地理位置統(tǒng)統(tǒng)裝入數(shù)據(jù)庫(kù)，以便及時(shí)查詢(xún)備案。可以以EXCEL表格的形式，也可是保存成數(shù)據(jù)庫(kù)文件。\r\n\r\n（3）禁止ARP動(dòng)態(tài)更新：\r\n\r\n為了防止網(wǎng)關(guān)被隨意攻擊，我們還需要在網(wǎng)關(guān)機(jī)器上關(guān)閉ARP動(dòng)態(tài)刷新功能，這樣的話(huà)，即使非法用戶(hù)使用ARP欺騙攻擊網(wǎng)關(guān)的話(huà)，對(duì)網(wǎng)關(guān)是無(wú)效的，從而確保主機(jī)安全。在網(wǎng)關(guān)上建立靜態(tài)IP/MAC捆綁的方法如下。\r\n\r\n第一步：建立/etc/ethers文件，其中包含正確的IP/MAC對(duì)應(yīng)關(guān)系，格式為192.168.2.32 08:00:4E:B0:24:47。\r\n\r\n第二步：然后在/etc/rc.d/rc.local最后添加arp -f生效即可。\r\n\r\n上面這個(gè)禁止ARP動(dòng)態(tài)更新的方法是針對(duì)Linux系統(tǒng)而言的。\r\n\r\n（4）網(wǎng)關(guān)監(jiān)測(cè)：\r\n\r\n在網(wǎng)關(guān)上面使用TCPDUMP程序截取每個(gè)ARP程序包，弄一個(gè)腳本分析軟件分析這些ARP協(xié)議。ARP欺騙攻擊的包一般有以下兩個(gè)特點(diǎn)，滿(mǎn)足之一就可以視為攻擊包報(bào)警，第一是以太網(wǎng)數(shù)據(jù)包頭的源地址、目標(biāo)地址和ARP數(shù)據(jù)包的協(xié)議地址不匹配。第二是ARP數(shù)據(jù)包的發(fā)送和目標(biāo)地址不在自己網(wǎng)絡(luò)網(wǎng)卡MAC數(shù)據(jù)庫(kù)內(nèi)，或者與自己網(wǎng)絡(luò)MAC數(shù)據(jù)庫(kù)MAC/IP不匹配。我們也可以通過(guò)腳本分析軟件實(shí)現(xiàn)自動(dòng)報(bào)警功能，最后查這些數(shù)據(jù)包（以太網(wǎng)數(shù)據(jù)包）的源地址就大致知道那臺(tái)機(jī)器在發(fā)起攻擊了。\r\n\r\n三，總結(jié)：\r\n\r\nARP欺騙是目前網(wǎng)絡(luò)管理，特別是局域網(wǎng)管理中最讓人頭疼的攻擊，他的攻擊技術(shù)含量低，隨便一個(gè)人都可以通過(guò)攻擊軟件來(lái)完成ARP欺騙攻擊。同時(shí)防范ARP欺騙也沒(méi)有什么特別有效的方法。目前只能通過(guò)被動(dòng)的亡羊補(bǔ)牢形式的措施了。本文介紹的兩個(gè)方法都是針對(duì)ARP欺騙防范的，希望對(duì)讀者有所幫助。當(dāng)然很多網(wǎng)絡(luò)管理軟件開(kāi)發(fā)公司都推出了自己的防范ARP欺騙的產(chǎn)品，這些產(chǎn)品良莠不齊，大家選擇時(shí)更要仔細(xì)。

shengbaojun

感謝樓主分享,學(xué)習(xí)了！