
平臺論壇博客文庫

› 論壇 › IT運維 › 網(wǎng)絡(luò)技術(shù) › arp欺騙防范大討論[怎沒人拍磚，CU的網(wǎng)絡(luò)&安全專家看 ...

1 2 34 / 4 頁

arp欺騙防范大討論[怎沒人拍磚，CU的網(wǎng)絡(luò)&安全專家看不起這個問題嗎，hoho] [復(fù)制鏈接]

toumy

白手起家

論壇徽章:: 0

31樓 [報告]

發(fā)表于 2006-04-01 09:19 |只看該作者

好像arp的問題比較的嚴重，我在局域網(wǎng)內(nèi)如果突然上不了網(wǎng)，用arp -d 后，馬上就可以ping到gateway，但是很快就又出現(xiàn)這個問題了，一直沒有比較好的解決方法，而且在arp -a時能看到0.0.0.0 xx.xx.xx.xx.xx.xx的相關(guān)信息，一直沒弄懂為何arp里會顯示出這種arp信息。

有高手一定要指點一下。

實戰(zhàn)分享：從技術(shù)角度談機器學(xué)習(xí)入門| 【大話IT】RadonDB低門檻向MySQL集群下戰(zhàn)書 | ChinaUnix打賞功能已上線！ | 新一代分布式關(guān)系型數(shù)據(jù)庫RadonDB知多少？

舉家流浪

稍有積蓄

論壇徽章:: 0

32樓 [報告]

發(fā)表于 2006-04-06 16:43 |只看該作者

原帖由 7thguest 于 2006-3-31 09:50 發(fā)表

幀頭上當然不能用其他MAC了,但ARP欺騙是在凈載里改了MAC或IP,所以IP和MAC綁定沒什么用的.

另外我在2950上試了,好象沒有DYNAMIC ARP INSPECTION的功能,3750是有的.
但我認為這個功能應(yīng)該在接入交換機的接口 ...

這個功能需要交換機的cpu來處理，如果大量的arp報文,可能會導(dǎo)致交換機cpu升高,影響交換機對數(shù)據(jù)的轉(zhuǎn)發(fā)

實戰(zhàn)分享：從技術(shù)角度談機器學(xué)習(xí)入門| 【大話IT】RadonDB低門檻向MySQL集群下戰(zhàn)書 | ChinaUnix打賞功能已上線！ | 新一代分布式關(guān)系型數(shù)據(jù)庫RadonDB知多少？

MeiGbson

白手起家

論壇徽章:: 0

33樓 [報告]

發(fā)表于 2006-04-06 18:12 |只看該作者

防范措施

　　1.建立DHCP服務(wù)器(建議建在網(wǎng)關(guān)上，因為DHCP不占用多少CPU，而且ARP欺騙攻擊一般總是先攻擊網(wǎng)關(guān)，我們就是要讓他先攻擊網(wǎng)關(guān)，因為網(wǎng)關(guān)這里有監(jiān)控程序的，網(wǎng)關(guān)地址建議選擇192.168.10.2 ，把192.168.10.1留空，如果犯罪程序愚蠢的話讓他去攻擊空地址吧)，另外所有客戶機的IP地址及其相關(guān)主機信息，只能由網(wǎng)關(guān)這里取得，網(wǎng)關(guān)這里開通DHCP服務(wù)，但是要給每個網(wǎng)卡，綁定固定唯一IP地址。一定要保持網(wǎng)內(nèi)的機器IP/MAC一一對應(yīng)的關(guān)系。這樣客戶機雖然是DHCP取地址，但每次開機的IP地址都是一樣的。

　　2.建立MAC數(shù)據(jù)庫，把網(wǎng)吧內(nèi)所有網(wǎng)卡的MAC地址記錄下來，每個MAC和IP、地理位置統(tǒng)統(tǒng)裝入數(shù)據(jù)庫，以便及時查詢備案。

　　3.網(wǎng)關(guān)機器關(guān)閉ARP動態(tài)刷新的過程，使用靜態(tài)路郵，這樣的話，即使犯罪嫌疑人使用ARP欺騙攻擊網(wǎng)關(guān)的話，這樣對網(wǎng)關(guān)也是沒有用的，確保主機安全。
　　網(wǎng)關(guān)建立靜態(tài)IP/MAC捆綁的方法是：建立/etc/ethers文件，其中包含正確的IP/MAC對應(yīng)關(guān)系，格式如下：
　　192.168.2.32 08:00:4E:B0:24:47
　　然后再/etc/rc.d/rc.local最后添加：
　　arp -f 生效即可

　　4.網(wǎng)關(guān)監(jiān)聽網(wǎng)絡(luò)安全。網(wǎng)關(guān)上面使用TCPDUMP程序截取每個ARP程序包，弄一個腳本分析軟件分析這些ARP協(xié)議。ARP欺騙攻擊的包一般有以下兩個特點，滿足之一可視為攻擊包報警：第一以太網(wǎng)數(shù)據(jù)包頭的源地址、目標地址和ARP數(shù)據(jù)包的協(xié)議地址不匹配�；蛘�，ARP數(shù)據(jù)包的發(fā)送和目標地址不在自己網(wǎng)絡(luò)網(wǎng)卡MAC數(shù)據(jù)庫內(nèi)，或者與自己網(wǎng)絡(luò)MAC數(shù)據(jù)庫 MAC/IP 不匹配。這些統(tǒng)統(tǒng)第一時間報警，查這些數(shù)據(jù)包（以太網(wǎng)數(shù)據(jù)包）的源地址(也有可能偽造)，就大致知道那臺機器在發(fā)起攻擊了。

　　5.偷偷摸摸的走到那臺機器，看看使用人是否故意，還是被任放了什么木馬程序陷害的。如果后者，不聲不響的找個借口支開他，拔掉網(wǎng)線，看看機器的當前使用記錄和運行情況，確定是否是在攻擊。
----摘錄