当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 关于arp欺骗原理及防范

安全防护
2003服务器A级BT安全配置指南(12)
2003服务器A级BT安全配置指南(13)
修改用户控制权限管理自启动文件
IIS6.0下建立FTP“用户隔离”站点
SQL Server数据库安全规划全攻略(1)
从IIS到SQL Server数据库安全
匿名FTP的安全设定(1)
匿名FTP的安全设定(2)
SQL Server防范措施(2)
域名解析优化也会有麻烦
10个步骤保护IIS Web服务器安全
突破SQL错误提示上传webshell
判断Web数据库方式的一个小经验
sqlserver取得网站路径的几种方法以及比较(1)
sqlserver取得网站路径的几种方法以及比较(2)
阿江的WINDOWS服务器安全设置
RAdmin 服务端高级配置(2)
Win2000安全检查清单(1)
Win2000安全检查清单(2)
Win2000安全检查清单(3)

安全防护 中的 关于arp欺骗原理及防范


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-18   浏览: 183 ::
收藏到网摘: n/a

最近不少朋友及客户的服务器遇到arp欺骗攻击,造成站点被挂木马.由于是采用ARP技术欺骗,所以主机并没入侵,在服务器里查看网页源码也是没任何挂马代码,但是网站在访问时候却全部被挂马!

      开始我也不懂这就是网络传说中的ARP欺骗,后来查了下资料才知道这就是ARP欺骗.ARP欺骗我们要先从ARP工作原理讲起.

     我们先熟悉下ARP,大学计算机网络基础课学过,ARP就是地址解析协议.OSI参考模型里将整个网络通信的功能划分为七个层次.由低到高分别是:物理层、链路层、网络层、传输层、会议层、表示层、应用层.第四层到第七层主要负责互操作性,第一层到三层则用于创造两个网络设备间的物理连接.

     而ARP欺骗就是一种用于会话劫持攻击中的常见手法.地址解析协议(ARP)利用第2层物理MAC地址来映射第3层逻辑IP地址,如果设备知道了IP地址,但不知道被请求主机的MAC地址,它就会发送ARP请求.ARP请求通常以广播形式发送,以便所有主机都能收到.

     在电信一般接终端的交换机都是2层交换机,交换原理是通过ip寻找对应的mac网卡地址,由于TCP/IP协议决定了只会通过mac寻址到对应的交换机的物理端口,所以才会遭到arp欺骗攻击.

   现在我们做下比方,更能形象点解释ARP欺骗过程及原理:

      假设有肉鸡A,被ARP欺骗的主机B。肉鸡A不断告诉主机B它是网关,结果主机B也认为它是网关,于是把连接数据发送给它.肉鸡A再做一个连接的角色,把主机B的信息包加上木马发到真正的网关,结果用户得到的信息都是带了木马的网页,而主机B本身没木马.
  
   目前IDC机房可以将类似思科2950及华为3026之类以上的交换机并启动ARP广播屏蔽功能的话,应该可以阻止ARP欺骗.

   另外,我们根据解析协议(ARP)的工作原理,将网关IP和MAC地址绑定成静态不可修改,这样就不会出现arp欺骗了,因为地址解析协议(ARP)是利用第2层物理MAC地址来映射第3层逻辑IP地址,也就是mac寻址来实现的.当然在我们每一个主机上也要绑定网关的mac和ip,命令很简单,例如: arp -s 58.66.176.29 00-aa-00-62-c6-09


现在总结下关预防ARP欺骗:

新建一个批处理文件,内容如下: @echo OFF arp -s 默认网关IP地址 网关的MAC地址 将这个批处理放到启动里。可以零时解决问题。

另外也有软件可以解决:

1、开启Anti ARP Sniffer 3,输入网关IP地址,点击〔枚取MAC〕
如你网关填写正确将会显示出网关的MAC地址.

2、点击 [自动保护] 即可保护当前网卡与网关的通信不会被第三方监听.

追踪ARP攻击者:

     当局域网内有人试图与本机进行ARP欺骗,其数据会被Anti ARP Sniffer记录.请在欺骗数据详细记录表中选择需要追踪的行,然后点击〔追捕欺骗机〕,追捕过程中需要几分钟时间,如果该ARP地址是真实的,也快就能追捕到攻击者. (追捕ARP攻击者时需要停止自动保护) 

   关于arp欺骗原理及防范就先写到这吧,我本人是从事网络服务器安全的,对计算机网络物理工作原理了解并不多,最是大学课本学过点,所以写这篇文章时查了不少资料,期待高手们的指正及讲解!

本位作者晨曦旋风 授权软晨学习网转发 请务必保留(Www.Xuanfeng.net)以及作者相关信息