精华内容
下载资源
问答
  • 2020-12-30 17:19:13

    ARP攻击的罪魁祸首便是这种"欺骗包",若针对欺骗包的处理是不相信或不接收的话,则不会出现问题。处理这种欺骗行为我们没法提前在黑客端做手脚,我们就剩下两个解决方法:
    ①保证电脑不接收欺骗包
    ②保证电脑收到欺骗包之后不相信
    1

    1. 当黑客发起ARP欺骗包时,会途径局域网里面的交换机或无线路由器等网络设备;
    2. 如果网络设备能够识别这种欺骗包,并且提前丢弃掉…则电脑/手机端就不会被欺骗;
    3. 如果网络设备没有拦截这种欺骗包,则电脑/手机端需要做安全防御,然后再丢奈。

    网络设备(交换机为例)的防御技术

    局域网安全里比较常用的防御技术,这种防御技术被称为DAI (Dynamic ARP Inspection)-动态ARP检测,原理可以用两句话简单概括:

    1. 交换机记录每个接口对应的lIP地址和MAC,即port<->mac<->ip,生成DAI检测表;
    2. 交换机检测每个接口发送过来的ARP回应包,根据DAI表判断是否违规,若违规则丢弃此数据包并对接口进行惩罚。
      2

    PC3是在交换机的Port3、MAC地址是MAC3,IP地址是IP3,所以本地DAl表项内容是< port3-mac3-ip3 >。当交换机从接口Port3收到ARP回应包,内容却是IP2和MAC3映射,即< port3-mac3-ip2 >,经判断,这个包就是虚假的欺骗包,交换机马上丢弃这个包,并且可以对接口做惩罚(不同设备的惩罚方式有所不同,可以直接将接口"软关闭”,直接将攻击者断网;也可以"静默处理",仅丢弃欺骗包,其他通信正常)
    上面这个动态ARP监测技术,可以说是目前防御ARP攻击最有效的方法之一。但是,作为初学者,大家可能还会有疑问:

    1. 一般的交换机或网络设备能部罴动态ARP监测技术吗?
      大部分能支持这种动态ARP监测技术的交换机或者无线路由器,都基本是企业级的产品。即便是企业级交换机,具备局域网安全防御功能的设备,价格都要高出不少,所以很多中小型企业网或校园网,基本都愿意买"阉割版"网络接入产品,因为"能通就行",至于安全性怎样,这是另外要考虑的问题。
      所以,简单的交换机不具备动态ARP监测技术,即便市面上有带安全防御的网络产品,企业、学校、医院等大量网络,仍然在早期采购的时候,用的是比较基础版本的交换机。当然,随着网络与安全市场的激烈竞争和网络安全意识的增强,以后会越来越好。

    2. 连接用户的交换机怎么熊识别P地址信息呢?
      从现在的网络技术来看,分层界限越来越模糊,融合式的网络设备才是主流,现在的接入交换机基本能被Telnet/SSH/Web管理,更专业的交换机同时支持动态ARP监测(dai)、IP源防护(ipsg). DHCP侦听(dhcp snooping)、端口安全、AAA、802.1x等局域网安全技术,已经超越了原有二层交换机的定义。所以,交换机能读三层甚至七层的数据包已经不是什么新鲜事了,不要被"交换机就是二层设备"给束缚了,这只是纸面上的定义。

    3. 上面这张DAI表是如何生成的?是丕是像CAM表一样能自动识别?
      在上面图解中,我们看到交换机查看的表已经不是原来的CAM表了,内容也不太一样,CAM表的内容主要是MAC和Port的映射,而DAl检测表则是Port、MAC、IP三个信息映射。目前这张表支持两种方式来生成:第一种方式就是手工静态绑定:即用户接入网络之后,管理员根据此用户电脑的MAC和IP地址,然后在接口上绑死,缺点就是用户数太多的话,手工绑定管不过来;第二种方式就是目前最主流的做法,即在交换机上开启DHCP侦听技术,当用户第一次通过DHCP获取到地址的时候,交换机就把用户电脑的IP、MAC、Port信息记录在DHCP侦听表,后面ARP检测直接调用这张DHCP侦听表即可。

    普通用户防御ARP攻击

    3

    ARE防火墙在技术实现上,一般都有以下功能:

    1. 绑定正确的的IP和MAC映射,收到攻击包时不被欺骗。
    2. 能够根据网络数据包特征(参考上一篇讲解的ARP攻击数据包溯源分析),自动识别局域网存在的ARP扫描和欺骗行为,并做出攻击判断(哪个主机做了攻击,IP和MAC是多少)。

    可以使用安全产品,也可以通过“ARP双向绑定”的技术来实现
    4
    从上图可以看到,PC1和PC2通信双方都静态绑定对方的IP和MAC映射,即便收到ARP欺骗包,由于静态绑定的ARP映射条目优先级高于动态学习到的,所以可以保证不被欺骗。这种做法不需要额外的软件安装,但是缺点也非常明显,例如普通用户不知道如何在电脑上做ARP静态绑定,另外工作量也比较大,每个主机和网关设备都需要绑定整个局域网的ARP静态映射。

    补充:
    Windows arp静态绑定方法:

    1. 进入命令行cmd界面;
    2. [arp -s ip地址mac地址],例如: arp -s 192.168.1.1 00-11-22-a1-c6-09

    注:家用无线路由器若要进行ARP绑定,则需要通过web登录并进行图形操作

    更多相关内容
  • ARP 防御措施

    2020-10-20 22:10:04
    ARP 防御措施 arp没有认证机制,围绕信任名单来做防御机制 主机: ...交换机的arp防御技术: [Huawei]arp speed-limit source-ip 192.168.206.11 maximum 10 //限制源ip发送arp包的量 ​ [Hua

    ARP 防御措施

    • arp没有认证机制,围绕信任名单来做防御机制

      主机:

      • 通过人工添加静态表项 :
        PC> arp -s 192.168.206.14 54-89-98-C2-65-B0

      • 通过软件来检测arp表项构建信任arp表,把非信任arp信息或者异常arp包丢弃

    • 交换机的arp防御技术:

      • [Huawei]arp speed-limit source-ip 192.168.206.11 maximum 10 //限制源ip发送arp包的量

      ​ [Huawei]arp speed-limit source-mac 5489-98C2-65B0 maximum 10//限制源mac地址发送arp的数量

      • [Huawei]arp anti-attack rate-limit enable 开启arp限速功能 针对所有从交换机进去的arp

      ​ [Huawei]arp anti-attack rate-limit 2 1 设置arp限速的阈值

      • 动态arp检测技术(DAI dynamic arp inspection)

        收集信息,构建基于mac ip 接口 vlan 对应的映射表,检查各个端口发出的arp报文,把arp报文中记录的mac与ip映射和他构建的映射表去比对,如果比对失败则丢弃该报文。

        • 收集信息的方式 :

          ​ 通过dhcp snooping 收集 (dhcp snooping bing)

          ​ 手工构建:

          ​ [Huawei]arp static 192.168.206.16 5489-98C2-65B0 vid 1 interface g0/0/3

          开启全局或者接口下的DAI:

          [Huawei-GigabitEthernet0/0/3]arp anti-attack check user-bind enable

        常用DAI配置

        1 限制arp数量

        2 启用arp的DAI

        3配置信任网关接口

    • DHCP

      攻击思路:由于dhcp没有认证机制,

      所以

      • 可以伪造大量的dhcp请求来瘫痪dhcp服务器;只发送dhcp discover

      • 伪造垃圾mac地址来请求dhcp地址池中的ip(耗尽dhcp地址池),来瘫痪dhcp;(走完dhcp流程)

      ​ 方法一:改变dhcp包中的mac地址

      ​ 方法二:改变物理mac

        		方法三:两者皆改变
      

      防御:

      针对第一中大量请求,限速来实施

      第二种 如果二层src mac 不变而dhcp中mac变化,可以检测两者一致性,如果不一致则丢弃,

      如果一致,则构建一个 构建基于mac ip 接口 vlan 对应的映射表,查看dhcp中src mac与mac是否一致,不一致则丢弃或着关闭接口。(交换机上实施)

      dhcp攻击演示
      在这里插入图片描述

    由于kali系统的dhcp功能开启则只需pc使用dhcp获取地址

    在这里插入图片描述

    我们在kali系统采用 root@kaili:~# yersinia -G 工具来对dhcp协议进行攻击

    在这里插入图片描述

    采取发送大量的discover包来攻击
    在这里插入图片描述

    攻击效果
    在这里插入图片描述

    现在pc已经无发正常的进行

    关闭攻击时:恢复正常

    dhcp防御

    • 针对发送大量的discover和ack 包

    开启dhcp snooping 在交换机上

    [huawei]dhcp enable
    [huawei]dhcp snooping enable

    [huawei-GigabitEthernet0/0/3]dhcp snooping trusted 在接口开启信任

    其产生的作用是除了信任接口外其他接口都不得发送offer和ack包(毒化仿冒dhcp服务器)

    • 争对耗尽dhcp地址池的

      流速限制

      [huawei-GigabitEthernet0/0/3]dhcp snooping max-user-number 8 —限制接口的用户数

      [huawei]dhcp snooping check dhcp-rate 100 限制dhcp的发包数量

      [lsw]dhcp snooping user-bind autosave flash:/123.tbl 保存use-bind表

    在这里插入图片描述

    • mac洪范攻击

      发送大量垃圾数据帧,目的 --沾满交换机第mac地址表 使其转发正常

    二层帧的时候按照未知单播帧转发。(洪范)

    交换机的mac表
    在这里插入图片描述

    root@dhcp:~# macof ----- mac洪范攻击
    在这里插入图片描述

    防御:交换机的端口安全

    [lsw-GigabitEthernet0/0/3]port-security enable
    [lsw-GigabitEthernet0/0/3]port-security max-mac-num 10 --设置接口最大mac数
    在这里插入图片描述

    展开全文
  • ARP协议(三)ARP防御

    千次阅读 2019-05-28 10:09:01
    一、ARP防御概述 通过之前的文章,我们已经了解了ARP攻击的危害,黑客采用ARP软件进行扫描并发送欺骗应答,同处一个局域网的普通用户就可能遭受断网攻击、流量被限、账号被窃的危险。由于攻击门槛非常低,普通人...

    https://www.toutiao.com/i6694546383665365512/

    一、ARP防御概述

    通过之前的文章,我们已经了解了ARP攻击的危害,黑客采用ARP软件进行扫描并发送欺骗应答,同处一个局域网的普通用户就可能遭受断网攻击、流量被限、账号被窃的危险。由于攻击门槛非常低,普通人只要拿到攻击软件就可以扰乱网络秩序,导致现在的公共网络、家庭网络、校园网、企业内网等变得脆弱无比。

    所以,如何进行有效的ARP防御?作为普通用户怎么防御?作为网络/安全管理员又怎么防御?有哪些ARP防御软件?如果被ARP攻击了,如何揪出"内鬼",并"优雅的还手"?

    接下来,我们通过图解的方式来深入了解ARP防御原理与解决方案。


    二、ARP防御原理与解决方案

    在讲解ARP防御之前,我们先回顾下ARP攻击最经典的一幕=>

    图解ARP协议(三)ARP防御篇-如何揪出“内鬼”并“优雅的还手”

     

    当PC1询问PC2的MAC地址时,攻击者PC3返回ARP欺骗回应包我的IP地址是IP2,MAC地址是MAC3。一旦PC1记录了错误的ARP映射,则发给与PC2的数据,都会落到PC3手里。

    也就是说,ARP攻击的罪魁祸首便是这种"欺骗包",若针对欺骗包的处理是不相信或不接收的话,则不会出现问题。处理这种欺骗行为我们没法提前在黑客端做手脚,因为"敌在暗处我在明处"。这样的话,我们就剩下两个解决方法:

    ①保证电脑不接收欺骗包

    ②保证电脑收到欺骗包之后不相信

    目前网络安全行业现有的ARP防御方案,基本都是上面两个方法的具体实现。我们来看看这张防御图:

    图解ARP协议(三)ARP防御篇-如何揪出“内鬼”并“优雅的还手”

     

    ①当黑客发起ARP欺骗包时,会途径局域网里面的交换机或无线路由器等网络设备;

    ②如果网络设备能够识别这种欺骗包,并且提前丢弃掉,则电脑/手机端就不会被欺骗;

    ③如果网络设备没有拦截这种欺骗包,则电脑/手机端需要做安全防御,然后再丢弃。

    简单来说,ARP防御可以在网络设备上实现,也可以在用户端实现,更可以在网络设备和用户端同时实现。接下来,我们先来了解下网络设备(例如这里的交换机)的防御技术。

    图解ARP协议(三)ARP防御篇-如何揪出“内鬼”并“优雅的还手”

     

    上面这张图,展现的是交换机的ARP防御能力,当PC2发送ARP回应包时,交换机将其转发给PC1,而当PC3发送ARP回应包(欺骗)时,交换机直接丢弃。

    但是,人家PC3上脸上又没有写着"hacker",凭什么交换机要丢弃它的ARP回应包?凭什么判断它的包就是"欺骗"的呢?

    接下来,我就要给大家介绍下局域网安全里比较常用的防御技术,这种防御技术被称为DAI(Dynamic ARP Inspection)- 动态ARP检测,原理可以用两句话简单概括:

    ①交换机记录每个接口对应的IP地址和MAC,即port<->mac<->ip,生成DAI检测表;

    ②交换机检测每个接口发送过来的ARP回应包,根据DAI表判断是否违规,若违规则丢弃此数据包并对接口进行惩罚。

    图解ARP协议(三)ARP防御篇-如何揪出“内鬼”并“优雅的还手”

     

    我们知道,PC3是在交换机的Port3、MAC地址是MAC3,IP地址是IP3,所以本地DAI表项内容是<port3-mac3-ip3>。当交换机从接口Port3收到ARP回应包,内容却是IP2和MAC3映射,即<port3-mac3-ip2>。

    经判断,这个包就是虚假的欺骗包,交换机马上丢弃这个包,并且可以对接口做惩罚(不同设备的惩罚方式有所不同,可以直接将接口"软关闭",直接将攻击者断网;也可以"静默处理",仅丢弃欺骗包,其他通信正常)

    上面这个动态ARP监测技术,可以说是目前防御ARP攻击最有效的方法之一。但是,作为初学者,大家可能还会有疑问:

    ①一般的交换机或网络设备能部署动态ARP监测技术吗?

    ②连接用户的交换机,怎么能识别IP地址信息呢?

    ③上面这张DAI表是如何生成的?是不是像CAM表一样能自动识别?

    这里要给大家说个稍微悲伤一点的事实,大部分能支持这种动态ARP监测技术的交换机或者无线路由器,都基本是企业级的产品。即便是企业级交换机,具备局域网安全防御功能的设备,价格都要高出不少,所以很多中小型企业网或校园网,基本都愿意买"阉割版"网络接入产品,因为"能通就行",至于安全性怎样,这是另外要考虑的问题。

    所以,简单的交换机不具备动态ARP监测技术,即便市面上有带安全防御的网络产品,企业、学校、医院等大量网络,仍然在早期采购的时候,用的是比较基础版本的交换机。当然,随着网络与安全市场的激烈竞争和网络安全意识的增强,以后会越来越好。

    另外,交换机能识别IP地址信息吗?

    从现在的网络技术来看,分层界限越来越模糊,融合式的网络设备才是主流,现在的接入交换机基本能被Telnet/SSH/Web管理,更专业的交换机同时支持动态ARP监测(dai)、IP源防护(ipsg)、DHCP侦听(dhcp snooping)、端口安全、AAA、802.1x等局域网安全技术,已经超越了原有二层交换机的定义。

    所以,交换机能读三层甚至七层的数据包已经不是什么新鲜事了,不要被"交换机就是二层设备"给束缚了,这只是纸面上的定义。

    最后一个问题,DAI检测表是如何生成的?

    在上面图解中,我们看到交换机查看的表已经不是原来的CAM表了,内容也不太一样,CAM表的内容主要是MAC和Port的映射,而DAI检测表则是Port、MAC、IP三个信息映射。

    目前这张表支持两种方式来生成=>

    第一种方式就是手工静态绑定:即用户接入网络之后,管理员根据此用户电脑的MAC和IP地址,然后在接口上绑死,缺点就是用户数太多的话,手工绑定管不过来。

    第二种方式就是目前最主流的做法,即在交换机上开启DHCP侦听技术,当用户第一次通过DHCP获取到地址的时候,交换机就把用户电脑的IP、MAC、Port信息记录在DHCP侦听表,后面ARP检测直接调用这张DHCP侦听表即可。

    小结:以上便是在网络设备上部署的ARP防御技术,通过动态ARP监测技术(DAI),可以很好的解决ARP欺骗问题。技术虽好,但局域网内的交换机、无线路由器是否支持DAI,这个则取决于实际网络情况,尤其是十面埋伏的公共WiFi网络、脆弱无比的家庭网络、能通就行的校园网络...... 我们都应该持怀疑态度,至少不能完全信任这些网络。

    既然这样的话,普通用户有没有"自救"的方法,能够抵挡ARP攻击呢?答案是肯定的=>

    图解ARP协议(三)ARP防御篇-如何揪出“内鬼”并“优雅的还手”

     

    对于普通用户,陌生网络不要随意接入,肯定是首选考虑的;当然,这里研究的是用户已经接入了网络,如何做安全防御的问题。从上图可以看到,用户(电脑或手机)最重要的便是通过安装ARP防火墙做安全防御,很多普通用户甚至“以电脑裸奔为豪,以骂安全厂商为荣”,这是对技术的严重藐视,对自己隐私的不负责任。普通小白一定要记住一句话:你没有被黑,只是你还没有到达被黑的价值。

    ARP防火墙在技术实现上,一般都有以下功能:

    ①绑定正确的的IP和MAC映射,收到攻击包时不被欺骗。

    ②能够根据网络数据包特征(参考上一篇讲解的ARP攻击数据包溯源分析),自动识别局域网存在的ARP扫描和欺骗行为,并做出攻击判断(哪个主机做了攻击,IP和MAC是多少)。

    那么,有哪些常见的ARP安全产品呢?

    自带ARP防御功能:腾讯电脑管家、360安全卫士……

    专业的ARP防火墙:彩影ARP、金山贝壳、360ARP防火墙……

    采用安全产品肯定是普通用户最省时省力的做法,而对于技术人/工程师而言,如果不屑于使用安全产品,并且希望解决ARP攻击行为,也可以通过"ARP双向绑定"的技术来实现。什么是"ARP双向绑定"呢?

    图解ARP协议(三)ARP防御篇-如何揪出“内鬼”并“优雅的还手”

     

    从上图可以看到,PC1和PC2通信双方都静态绑定对方的IP和MAC映射,即便收到ARP欺骗包,由于静态绑定的ARP映射条目优先级高于动态学习到的,所以可以保证不被欺骗。

    这种做法非常"绿色无污染",因为不需要额外的软件安装,但是缺点也非常明显,例如普通用户不知道如何在电脑上做ARP静态绑定,另外工作量也比较大,每个主机和网关设备都需要绑定整个局域网的ARP静态映射。以下面的家庭WiFi网络为例:

    图解ARP协议(三)ARP防御篇-如何揪出“内鬼”并“优雅的还手”

     

    像这个WiFi网络,如果通过ARP双向绑定来解决安全问题,配置量其实蛮大的,当然,这就基本能够保障内网主机间通过以及主机访问互联网的安全性了。

    Windows arp静态绑定方法=>

    ①进入命令行cmd界面;

    ② [arp -s ip地址 mac地址],例如:arp -s 192.168.1.1 00-11-22-a1-c6-09

    注:家用无线路由器若要进行ARP绑定,则需要通过web登录并进行图形操作

    小结:用户端的ARP防御方法,要么安装ARP防火墙,要么做ARP双向绑定。对于绝大部分用户来讲,虽然安装防火墙不是保证百分百安全了,但是能够解决很大一部分的隐患。

    三、如果被ARP攻击了,如何揪出"内鬼"并"优雅的还手"?

    相比"如何防御ARP攻击",我相信更多人感兴趣的是"如何揪出内鬼并进行还手",因为"揪出内鬼"的时候,我们充当着"网络警察"的角色(把小偷逮住),而"优雅的还手"又充当着"法官"的角色(惩治小偷)。

    而充当网络警察或法官这种角色,我可能算是比较有经验的...... 从我刚接触网络/安全到现在,充当的次数多的数不过来:在学校外面租房的时候(别想歪)、在网吧上网的时候、在音乐餐吧吃饭的时候、在麦当劳/德克士蹭网的时候......可能普通用户觉得稀疏平常的地方,在网络世界里实则暗流涌动。

    我第一次"抓内鬼当法官"应该是在2010年的时候,当时在学校旁边租了一个房子自己做技术研究。有一天晚上,网速变得特别慢,网页基本没法打开,QQ勉强还能挂着,但是租房以来网络一直还可以,虽然不算快,但是也至少满足平常上网需求啊。我心想:算了,毕竟租的房子一般,每个月网费也就30快,房东拉的宽带可能比较垃圾不稳定吧,明天再看看。

    第二天早上爬起来,发现网络一点问题都没有,该开的网页,该下载的资料,都没有任何影响,恩,心情不错,不用专门跑回学校一趟下载资源之类的。但是到了晚上七八点的时候,网络又出现问题了,跟昨天晚上的情况一模一样,基本没法上网,但是网卡又显示连接着,这让我非常的郁闷。

    然后我突然想起这几天,这栋楼好像新来了一个租客,这栋楼一共就四层,一层就3户租客,一共也就10来户,而一楼还是房东自己一家人住,我自己住二楼。基本上这栋楼里的租客都能记得七七八八,所以如果有陌生面孔的话,一眼就能认出来,我们暂且把这个人称为H,看上去是个上班族。

    虽然当时还是个小菜鸟,但是毕竟学这块的,还是有点敏感:擦,会不会是这个人白天去上班,晚上回来宿舍,就开始限制我们的网速啊?

    你不犯我,相安无事,你若范我,我必搞你。(年轻人还是有点浮躁啊....)

    行,开干吧,多想没用。然后便拿出了P2P终结者(忘了当时用什么软件了,不过八九不离十)一扫描,想探探网络究竟。

    万万没想到啊,居然遇到老司机了,人家局域网权限比我还高(很多局域网流控软件都有权限的概念,若同一个局域网同时有多个使用这个流控软件,则权限高的优先控制,其他人的软件会自动退出),网络扫描进行一半,就提示"局域网有多人使用,由于你权限较低暂停退出"这样的提示,这样一来,就验证了我的判断,这个内鬼应该是H。自从他来了之后,这个网络就出了问题。这栋楼的网络拓扑结构是这样的=>

    图解ARP协议(三)ARP防御篇-如何揪出“内鬼”并“优雅的还手”

     

    普通小白遇到这种情况,装个ARP防火墙,咬咬牙也就过去了。但是咋们学网络和安全的,遇到这种情况,感觉就好像被人骑在头上一样。那咋办呢?作为一个理科男,做事情还是得按步骤走,不能被脾气牵着走,虽然当时已经非常生气了,但是基本定下来这个解决流程:

    第一:马上给电脑安装防火墙,先脱离H的控制(当时电脑居然是裸奔的...);

    第二:想尽办法找到H的IP和MAC地址(很多小伙伴看到这里可能会想:直接上去楼上揍他一顿不就得了,还费什么劲找地址啊。这个有必要说明下:①我个头没人家大只 ②人家要是问:你有证据吗,你取证了吗? 所以,武力不能解决问题,但是技术能力可以。)

    第三:想方设法拿到网络控制权,把他踢下去。

    第一步:具体就不说了,也忘了当时装的什么安全软件了;

    第二步:怎么找到攻击者的IP和MAC地址呢?2010年的安全软件,不像现在的ARP防火墙,能够主动告警,并且说明攻击次数和攻击源,所以还是需要自己折腾下:熟练的打开电脑之前安装好了的wireshark,监听自己电脑网卡的流量,设置流量过滤器(仅过滤arp协议),不出意外,接下来就是一堆"带有节奏的ARP扫描包"(还记不记得之前章节说过的,ARP攻击一般会涉及到持续的内网扫描和欺骗攻击)。当时收到的数据包大概这样的:

    图解ARP协议(三)ARP防御篇-如何揪出“内鬼”并“优雅的还手”

     

    通过流量数据包分析,很快就确定了攻击者的IP和MAC地址。这里要注意:虽然抓到了攻击者的IP和MAC地址,但是!我们还是没法实锤的证明:攻击者就是H。

    这个攻击者是不是真的H啊?怎么确定就是这个人干的呢?如何把虚拟世界里的地址跟真实世界的人匹配起来?

    接下来我便想到了一个方法:如果我们能先拿到网络的控制权,然后把攻击者给踢下去直接断网,同时保证其他人网络连通;然后,谁要是下去跟房东沟通反馈不能上网,不就可以基本断定这个人就是攻击者? 说白了,就是"谁叫谁小狗"......

    好,到了计划的第三步:如何拿到整个网络的控制权?这里就没走的那么顺畅了:现在的实际情况是:我和攻击者同时开启局域网流控软件,而是我被踢下来了,因为我权限低一些。当时的第一个想法是:我换一个流控软件不就得了?这样我不跟你拼这个软件的权限。但是仔细想了想,即便换一个流控软件能用,但是顶多也就是打个平手,我控制不了你,你也控制不了我,但最终遭殃的还是其他普通小白,这个方法不能"斩草除根"啊。

    怎么办呢?是不是只能跟他打个平手。在这里卡了很久但又心有不甘,然后到了大半夜了突然顿悟:擦,为什么要跟他"限来限去"呢,直接上整栋楼的出口路由器,把他踢出去不就得了?路由器(应该是TP-LINK)就在一楼楼梯口,然后其他楼层加一个hub级联上去,所以大家都在一个网络里面。

    但问题是没有路由器的后台登录密码,怎么解决呢?抱着侥幸的心理,查看电脑网关地址,然后浏览器输入网关地址,弹出了登录页面,尝试admin/admin?不行,再尝试admin/123456?还是不行...... 就这样尝试了常见的十几二十个账号密码,都提示账号密码错误,看来运气不是很好。

    既然这样的话,就只能拿出暴力破解软件跑几个词典看看,用hydra挂着用户名和密码词典,慢慢的看着命令行输出,但输出结果基本都是failed...... 所以,第二天晚上虽然发现了攻击者的IP和MAC地址信息,但是拿他没办法,只能先忍着。

    到了第三天白天,脑子里想的都是如何登录这个路由器后台管理界面,尝试跑了几个词典都没法登录,心理又在想:房东不应该会设置太复杂的密码啊,四五十岁的阿姨,完全不懂技术啊,网络应该也是叫人搞的,即便别人设置密码也应该给阿姨设置比较简单的让她好记的,方便后面维护之类的...... 一想到这里,赶紧从柜子里掏出之前的租房合约和房东名片,然后把房东的手机号码、房东的姓名拼音等信息做成简单的密码词典,再重新跑一次,还没反应过来,就显示密码尝试成功:admin/房东手机号码。万万没想到,以为只要6位或者8位的密码,居然是一个11位的手机号码,之前尝试的词典都是8位以内的

    接下来用浏览器访问路由器后台管理界面,进入主机列表,还没发现这个昨晚攻击者的IP地址上线。等到了晚上七八点的时候,终于在路由器上发现这个IP地址,而且,wireshark同时也抓到了这个攻击者发起的扫描包。看来是攻击者一回到宿舍,打开电脑,就直接挂着攻击软件,确实是个"惯犯"啊。好吧,看到这个情况,我直接在出口路由器上把这个IP和MAC地址禁用,看接下来发生什么。

    果然,大概过了半个钟,有人从楼上下来,直接去一楼找房东阿姨去了,具体说什么这个不清楚,但是应该是询问是不是宽带欠费之类的导致不能上网。

    过了一会,阿姨带着他上来二楼..... 然后敲门询问:你们二楼能不能上网啊?大家都陆续回答:可以啊、没问题啊。与此同时,我已经确定了:眼前的这个人,H就是攻击者!他大概没料到,自己已经控制了内网,怎么可能被踢掉之类呢。

    阿姨也不知道怎么办,只能说明天看看吧。看着他无辜的眼神回楼上去了,我也觉得抓到内鬼也就算了,先把他解禁看看。然后"惯犯"又上线了,看来没有吃够苦头啊,当天晚上直接让他断网。之后的几个晚上类似的情况慢慢少了,因为只要他一扫描发起攻击,我这边就断他网,然后隔10分钟或者半个钟看看他反应,就这样慢慢地把他制服了,整栋楼的网络也就逐渐恢复了平静……


    四、ARP防御总结

    ①ARP攻击非常低门槛,但是造成的影响却很大,包括断网攻击、流量被限、账号被盗等;

    ②ARP防御可以在网络端(网络设备)上部署,也可以在用户端(电脑/手机)上部署;

    ③网络设备(例如交换机)部署ARP防御,通常需要用到DAI(动态ARP监测)技术,更加专业的局域网安全防御,还可能结合DHCP侦听、IP源防护、端口安全、AAA、802.1X等技术,这些专业的防御技术,是由网络运维和安全运维工程师来实施的。

    ④用户端(电脑/手机)实施ARP防御,最好的方法就是不要随意接入陌生网络,并且安装ARP防火墙。当然,技术宅的话,可以采用"ARP双向绑定"的方法,相对比较麻烦,但是也奏效。

    ⑤作为一名有素养的网络/安全工程师,应该不作恶。但是如果遭受攻击,应该揪出内鬼并"优雅的还手",做一个网络警察,还普通用户一个干净的网络环境。

    展开全文
  • 交流学习请加大飞哥...大飞哥网络安全第一阶段课程,适合0基础/初学者体系化学习,也适合老手巩固基础观看,希望大家在学习过程中理解技术原理,为更深层次的防御攻击等学习打好基础。最好别用mac,好多工具不兼容。
  • 大飞哥网络安全第一阶段课程,适合0基础/初学者体系化学习,也适合老手巩固基础观看,希望大家在学习过程中理解技术原理,为更深层次的防御攻击等学习打好基础。最好别用mac,好多工具不兼容。
  • ARP防御之双绑批处理+++集合WEB安全电脑资料 @echo off :读取本机Mac地址 if exist ipconfig.txt del ipconfig.txt ipconfig /all >ipconfig.txt if exist phyaddr.txt del phyaddr.txt find "Physical Address" ...
  • 终极arp防御测试工具

    2011-01-17 14:09:59
    tcp-sys攻击测试软件,主要用来测试arp防御用。
  • 图解ARP协议(二)ARP攻击原理与实践 - 博客园.pdf
  • 一、ARP防御概述通过之前的文章,我们已经了解了ARP攻击的危害,黑客采用ARP软件进行扫描并发送欺骗应答,同处一个局域网的普通用户就可能遭受断网攻击、流量被限、账号被窃的危险。由于攻击门槛非常低,普通人只要...

    一、ARP防御概述

    通过之前的文章,我们已经了解了ARP攻击的危害,黑客采用ARP软件进行扫描并发送欺骗应答,同处一个局域网的普通用户就可能遭受断网攻击、流量被限、账号被窃的危险。由于攻击门槛非常低,普通人只要拿到攻击软件就可以扰乱网络秩序,导致现在的公共网络、家庭网络、校园网、企业内网等变得脆弱无比。

     

    所以,如何进行有效的ARP防御?作为普通用户怎么防御?作为网络/安全管理员又怎么防御?有哪些ARP防御软件?如果被ARP攻击了,如何揪出"内鬼",并"优雅的还手"?

     

    接下来,我们通过图解的方式来深入了解ARP防御原理与解决方案。




    二、ARP防御原理与解决方案

    在讲解ARP防御之前,我们先回顾下ARP攻击最经典的一幕=>

    wKioL1mklcvTAWgDAAOTMKfr2ec094.png


    当PC1询问PC2的MAC地址时,攻击者PC3返回ARP欺骗回应包我的IP地址是IP2,MAC地址是MAC3。一旦PC1记录了错误的ARP映射,则发给与PC2的数据,都会落到PC3手里。

     

    也就是说,ARP攻击的罪魁祸首便是这种"欺骗包",若针对欺骗包的处理是不相信或不接收的话,则不会出现问题。处理这种欺骗行为我们没法提前在黑客端做手脚,因为"敌在暗处我在明处"。这样的话,我们就剩下两个解决方法:

     

    ①保证电脑不接收欺骗包

    ②保证电脑收到欺骗包之后不相信

     

    目前网络安全行业现有的ARP防御方案,基本都是上面两个方法的具体实现。我们来看看这张防御图:

    wKiom1mkleyDBTFiAAH1ZLAecHU206.png

    ①当黑客发起ARP欺骗包时,会途径局域网里面的交换机或无线路由器等网络设备;

    ②如果网络设备能够识别这种欺骗包,并且提前丢弃掉,则电脑/手机端就不会被欺骗;

    ③如果网络设备没有拦截这种欺骗包,则电脑/手机端需要做安全防御,然后再丢弃。

     

    简单来说,ARP防御可以在网络设备上实现,也可以在用户端实现,更可以在网络设备和用户端同时实现。接下来,我们先来了解下网络设备(例如这里的交换机)的防御技术。

    wKiom1mklfiDsyygAAJ4pIvSoHA702.png

    上面这张图,展现的是交换机的ARP防御能力,当PC2发送ARP回应包时,交换机将其转发给PC1,而当PC3发送ARP回应包(欺骗)时,交换机直接丢弃。

     

    但是,人家PC3上脸上又没有写着"hacker",凭什么交换机要丢弃它的ARP回应包?凭什么判断它的包就是"欺骗"的呢?

     

    接下来,我就要给大家介绍下局域网安全里比较常用的防御技术,这种防御技术被称为DAI(Dynamic ARP Inspection)- 动态ARP检测,原理可以用两句话简单概括:

     

    ①交换机记录每个接口对应的IP地址和MAC,即port<->mac<->ip,生成DAI检测表;

    ②交换机检测每个接口发送过来的ARP回应包,根据DAI表判断是否违规,若违规则丢弃此数据包并对接口进行惩罚。


    wKioL1mklfLQosyJAAHS2cDHMEg552.png


    我们知道,PC3是在交换机的Port3、MAC地址是MAC3,IP地址是IP3,所以本地DAI表项内容是<port3-mac3-ip3>。当交换机从接口Port3收到ARP回应包,内容却是IP2和MAC3映射,即<port3-mac3-ip2>。


    经判断,这个包就是虚假的欺骗包,交换机马上丢弃这个包,并且可以对接口做惩罚(不同设备的惩罚方式有所不同,可以直接将接口"软关闭",直接将攻击者断网;也可以"静默处理",仅丢弃欺骗包,其他通信正常)


    上面这个动态ARP监测技术,可以说是目前防御ARP攻击最有效的方法之一。但是,作为初学者,大家可能还会有疑问:


    ①一般的交换机或网络设备能部署动态ARP监测技术吗?

    ②连接用户的交换机,怎么能识别IP地址信息呢?

    ③上面这张DAI表是如何生成的?是不是像CAM表一样能自动识别?

     

    这里要给大家说个稍微悲伤一点的事实,大部分能支持这种动态ARP监测技术的交换机或者无线路由器,都基本是企业级的产品。即便是企业级交换机,具备局域网安全防御功能的设备,价格都要高出不少,所以很多中小型企业网或校园网,基本都愿意买"阉割版"网络接入产品,因为"能通就行",至于安全性怎样,这是另外要考虑的问题。

     

    所以,简单的交换机不具备动态ARP监测技术,即便市面上有带安全防御的网络产品,企业、学校、医院等大量网络,仍然在早期采购的时候,用的是比较基础版本的交换机。当然,随着网络与安全市场的激烈竞争和网络安全意识的增强,以后会越来越好。

     

    另外,交换机能识别IP地址信息吗?

    从现在的网络技术来看,分层界限越来越模糊,融合式的网络设备才是主流,现在的接入交换机基本能被Telnet/SSH/Web管理,更专业的交换机同时支持动态ARP监测(dai)、IP源防护(ipsg)、DHCP侦听(dhcp snooping)、端口安全、AAA、802.1x等局域网安全技术,已经超越了原有二层交换机的定义。


    所以,交换机能读三层甚至七层的数据包已经不是什么新鲜事了,不要被"交换机就是二层设备"给束缚了,这只是纸面上的定义。

     

    最后一个问题,DAI检测表是如何生成的?

    在上面图解中,我们看到交换机查看的表已经不是原来的CAM表了,内容也不太一样,CAM表的内容主要是MAC和Port的映射,而DAI检测表则是Port、MAC、IP三个信息映射。


    目前这张表支持两种方式来生成=>

    第一种方式就是手工静态绑定:即用户接入网络之后,管理员根据此用户电脑的MAC和IP地址,然后在接口上绑死,缺点就是用户数太多的话,手工绑定管不过来。


    第二种方式就是目前最主流的做法,即在交换机上开启DHCP侦听技术,当用户第一次通过DHCP获取到地址的时候,交换机就把用户电脑的IP、MAC、Port信息记录在DHCP侦听表,后面ARP检测直接调用这张DHCP侦听表即可。

     

    小结:以上便是在网络设备上部署的ARP防御技术,通过动态ARP监测技术(DAI),可以很好的解决ARP欺骗问题。技术虽好,但局域网内的交换机、无线路由器是否支持DAI,这个则取决于实际网络情况,尤其是十面埋伏的公共WiFi网络、脆弱无比的家庭网络、能通就行的校园网络......  我们都应该持怀疑态度,至少不能完全信任这些网络。


    既然这样的话,普通用户有没有"自救"的方法,能够抵挡ARP攻击呢?答案是肯定的=>

     

    wKioL1mklgGi1P8aAAIxGzz7ixs004.png


    对于普通用户,陌生网络不要随意接入,肯定是首选考虑的;当然,这里研究的是用户已经接入了网络,如何做安全防御的问题。从上图可以看到,用户(电脑或手机)最重要的便是通过安装ARP防火墙做安全防御,很多普通用户甚至“以电脑裸奔为豪,以骂安全厂商为荣”,这是对技术的严重藐视,对自己隐私的不负责任。普通小白一定要记住一句话:你没有被黑,只是你还没有到达被黑的价值。

     

    ARP防火墙在技术实现上,一般都有以下功能:

    ①绑定正确的的IP和MAC映射,收到攻击包时不被欺骗。

    ②能够根据网络数据包特征(参考上一篇讲解的ARP攻击数据包溯源分析),自动识别局域网存在的ARP扫描和欺骗行为,并做出攻击判断(哪个主机做了攻击,IP和MAC是多少)。

     

    那么,有哪些常见的ARP安全产品呢?

    自带ARP防御功能:腾讯电脑管家、360安全卫士……

    专业的ARP防火墙:彩影ARP、金山贝壳、360ARP防火墙……

     

    采用安全产品肯定是普通用户最省时省力的做法,而对于技术人/工程师而言,如果不屑于使用安全产品,并且希望解决ARP攻击行为,也可以通过"ARP双向绑定"的技术来实现。什么是"ARP双向绑定"呢?

    wKiom1mkliGziF4rAAJB_6t_AfA850.png


    从上图可以看到,PC1和PC2通信双方都静态绑定对方的IP和MAC映射,即便收到ARP欺骗包,由于静态绑定的ARP映射条目优先级高于动态学习到的,所以可以保证不被欺骗。


    这种做法非常"绿色无污染",因为不需要额外的软件安装,但是缺点也非常明显,例如普通用户不知道如何在电脑上做ARP静态绑定,另外工作量也比较大,每个主机和网关设备都需要绑定整个局域网的ARP静态映射。以下面的家庭WiFi网络为例:

    wKioL1mklhuQ1QPSAAJLUpbwUsQ660.png


    像这个WiFi网络,如果通过ARP双向绑定来解决安全问题,配置量其实蛮大的,当然,这就基本能够保障内网主机间通过以及主机访问互联网的安全性了。

     

    Windows arp静态绑定方法=>

    ①进入命令行cmd界面;

    ② [arp -s ip地址 mac地址],例如:arp -s 192.168.1.1   00-11-22-a1-c6-09

    注:家用无线路由器若要进行ARP绑定,则需要通过web登录并进行图形操作

     


    小结:用户端的ARP防御方法,要么安装ARP防火墙,要么做ARP双向绑定。对于绝大部分用户来讲,虽然安装防火墙不是保证百分百安全了,但是能够解决很大一部分的隐患。




    三、如果被ARP攻击了,如何揪出"内鬼"并"优雅的还手"?


    相比"如何防御ARP攻击",我相信更多人感兴趣的是"如何揪出内鬼并进行还手",因为"揪出内鬼"的时候,我们充当着"网络警察"的角色(把小偷逮住),而"优雅的还手"又充当着"法官"的角色(惩治小偷)。

     

    而充当网络警察或法官这种角色,我可能算是比较有经验的......  从我刚接触网络/安全到现在,充当的次数多的数不过来:在学校外面租房的时候(别想歪)、在网吧上网的时候、在音乐餐吧吃饭的时候、在麦当劳/德克士蹭网的时候......可能普通用户觉得稀疏平常的地方,在网络世界里实则暗流涌动。

     

    我第一次"抓内鬼当法官"应该是在2010年的时候,当时在学校旁边租了一个房子自己做技术研究。有一天晚上,网速变得特别慢,网页基本没法打开,QQ勉强还能挂着,但是租房以来网络一直还可以,虽然不算快,但是也至少满足平常上网需求啊。我心想:算了,毕竟租的房子一般,每个月网费也就30快,房东拉的宽带可能比较垃圾不稳定吧,明天再看看。

     

    第二天早上爬起来,发现网络一点问题都没有,该开的网页,该下载的资料,都没有任何影响,恩,心情不错,不用专门跑回学校一趟下载资源之类的。但是到了晚上七八点的时候,网络又出现问题了,跟昨天晚上的情况一模一样,基本没法上网,但是网卡又显示连接着,这让我非常的郁闷。

     

    然后我突然想起这几天,这栋楼好像新来了一个租客,这栋楼一共就四层,一层就3户租客,一共也就10来户,而一楼还是房东自己一家人住,我自己住二楼。基本上这栋楼里的租客都能记得七七八八,所以如果有陌生面孔的话,一眼就能认出来,我们暂且把这个人称为H,看上去是个上班族。

     

    虽然当时还是个小菜鸟,但是毕竟学这块的,还是有点敏感:擦,会不会是这个人白天去上班,晚上回来宿舍,就开始限制我们的网速啊?

     

    你不犯我,相安无事,你若范我,我必搞你。(年轻人还是有点浮躁啊....)

    行,开干吧,多想没用。然后便拿出了P2P终结者(忘了当时用什么软件了,不过八九不离十)一扫描,想探探网络究竟。

     

    万万没想到啊,居然遇到老司机了,人家局域网权限比我还高(很多局域网流控软件都有权限的概念,若同一个局域网同时有多个使用这个流控软件,则权限高的优先控制,其他人的软件会自动退出),网络扫描进行一半,就提示"局域网有多人使用,由于你权限较低暂停退出"这样的提示,这样一来,就验证了我的判断,这个内鬼应该是H。自从他来了之后,这个网络就出了问题。这栋楼的网络拓扑结构是这样的=>

     

    wKiom1mkllnQPOLMAALEh-HXmfc829.png



    普通小白遇到这种情况,装个ARP防火墙,咬咬牙也就过去了。但是咋们学网络和安全的,遇到这种情况,感觉就好像被人骑在头上一样。那咋办呢?作为一个理科男,做事情还是得按步骤走,不能被脾气牵着走,虽然当时已经非常生气了,但是基本定下来这个解决流程:

     

    第一:马上给电脑安装防火墙,先脱离H的控制(当时电脑居然是裸奔的...);

    第二:想尽办法找到H的IP和MAC地址(很多小伙伴看到这里可能会想:直接上去楼上揍他一顿不就得了,还费什么劲找地址啊。这个有必要说明下:①我个头没人家大只  ②人家要是问:你有证据吗,你取证了吗?   所以,武力不能解决问题,但是技术能力可以。)

    第三:想方设法拿到网络控制权,把他踢下去。

     

    第一步:具体就不说了,也忘了当时装的什么安全软件了;

    第二步:怎么找到攻击者的IP和MAC地址呢?2010年的安全软件,不像现在的ARP防火墙,能够主动告警,并且说明攻击次数和攻击源,所以还是需要自己折腾下:熟练的打开电脑之前安装好了的wireshark,监听自己电脑网卡的流量,设置流量过滤器(仅过滤arp协议),不出意外,接下来就是一堆"带有节奏的ARP扫描包"(还记不记得之前章节说过的,ARP攻击一般会涉及到持续的内网扫描和欺骗攻击)。当时收到的数据包大概这样的:

    wKiom1mklkezkj5mAA1TtEkbyzc707.png

    通过流量数据包分析,很快就确定了攻击者的IP和MAC地址。这里要注意:虽然抓到了攻击者的IP和MAC地址,但是!我们还是没法实锤的证明:攻击者就是H。

     

    这个攻击者是不是真的H啊?怎么确定就是这个人干的呢?如何把虚拟世界里的地址跟真实世界的人匹配起来?

     

    接下来我便想到了一个方法:如果我们能先拿到网络的控制权,然后把攻击者给踢下去直接断网,同时保证其他人网络连通;然后,谁要是下去跟房东沟通反馈不能上网,不就可以基本断定这个人就是攻击者?  说白了,就是"谁叫谁小狗"......

     

    好,到了计划的第三步:如何拿到整个网络的控制权?这里就没走的那么顺畅了:现在的实际情况是:我和攻击者同时开启局域网流控软件,而是我被踢下来了,因为我权限低一些。当时的第一个想法是:我换一个流控软件不就得了?这样我不跟你拼这个软件的权限。但是仔细想了想,即便换一个流控软件能用,但是顶多也就是打个平手,我控制不了你,你也控制不了我,但最终遭殃的还是其他普通小白,这个方法不能"斩草除根"啊。

     

    怎么办呢?是不是只能跟他打个平手。在这里卡了很久但又心有不甘,然后到了大半夜了突然顿悟:擦,为什么要跟他"限来限去"呢,直接上整栋楼的出口路由器,把他踢出去不就得了?路由器(应该是TP-LINK)就在一楼楼梯口,然后其他楼层加一个hub级联上去,所以大家都在一个网络里面。

     

    但问题是没有路由器的后台登录密码,怎么解决呢?抱着侥幸的心理,查看电脑网关地址,然后浏览器输入网关地址,弹出了登录页面,尝试admin/admin?不行,再尝试admin/123456?还是不行...... 就这样尝试了常见的十几二十个账号密码,都提示账号密码错误,看来运气不是很好。

     

    既然这样的话,就只能拿出暴力破解软件跑几个词典看看,用hydra挂着用户名和密码词典,慢慢的看着命令行输出,但输出结果基本都是failed......  所以,第二天晚上虽然发现了攻击者的IP和MAC地址信息,但是拿他没办法,只能先忍着。

     

    到了第三天白天,脑子里想的都是如何登录这个路由器后台管理界面,尝试跑了几个词典都没法登录,心理又在想:房东不应该会设置太复杂的密码啊,四五十岁的阿姨,完全不懂技术啊,网络应该也是叫人搞的,即便别人设置密码也应该给阿姨设置比较简单的让她好记的,方便后面维护之类的...... 一想到这里,赶紧从柜子里掏出之前的租房合约和房东名片,然后把房东的手机号码、房东的姓名拼音等信息做成简单的密码词典,再重新跑一次,还没反应过来,就显示密码尝试成功:admin/房东手机号码。万万没想到,以为只要6位或者8位的密码,居然是一个11位的手机号码,之前尝试的词典都是8位以内的

     

    接下来用浏览器访问路由器后台管理界面,进入主机列表,还没发现这个昨晚攻击者的IP地址上线。等到了晚上七八点的时候,终于在路由器上发现这个IP地址,而且,wireshark同时也抓到了这个攻击者发起的扫描包。看来是攻击者一回到宿舍,打开电脑,就直接挂着攻击软件,确实是个"惯犯"啊。好吧,看到这个情况,我直接在出口路由器上把这个IP和MAC地址禁用,看接下来发生什么。

     

    果然,大概过了半个钟,有人从楼上下来,直接去一楼找房东阿姨去了,具体说什么这个不清楚,但是应该是询问是不是宽带欠费之类的导致不能上网。

     

    过了一会,阿姨带着他上来二楼.....  然后敲门询问:你们二楼能不能上网啊?大家都陆续回答:可以啊、没问题啊。与此同时,我已经确定了:眼前的这个人,H就是攻击者!他大概没料到,自己已经控制了内网,怎么可能被踢掉之类呢。

     

    阿姨也不知道怎么办,只能说明天看看吧。看着他无辜的眼神回楼上去了,我也觉得抓到内鬼也就算了,先把他解禁看看。然后"惯犯"又上线了,看来没有吃够苦头啊,当天晚上直接让他断网。之后的几个晚上类似的情况慢慢少了,因为只要他一扫描发起攻击,我这边就断他网,然后隔10分钟或者半个钟看看他反应,就这样慢慢地把他制服了,整栋楼的网络也就逐渐恢复了平静……




    四、ARP防御总结

    ①ARP攻击非常低门槛,但是造成的影响却很大,包括断网攻击、流量被限、账号被盗等;


    ②ARP防御可以在网络端(网络设备)上部署,也可以在用户端(电脑/手机)上部署;


    ③网络设备(例如交换机)部署ARP防御,通常需要用到DAI(动态ARP监测)技术,更加专业的局域网安全防御,还可能结合DHCP侦听、IP源防护、端口安全、AAA、802.1X等技术,这些专业的防御技术,是由网络运维和安全运维工程师来实施的。


    ④用户端(电脑/手机)实施ARP防御,最好的方法就是不要随意接入陌生网络,并且安装ARP防火墙。当然,技术宅的话,可以采用"ARP双向绑定"的方法,相对比较麻烦,但是也奏效。


    ⑤作为一名有素养的网络/安全工程师,应该不作恶。但是如果遭受攻击,应该揪出内鬼并"优雅的还手",做一个网络警察,还普通用户一个干净的网络环境。






    展开全文
  • day14、4 - ARP攻击防御

    2022-05-10 19:04:31
    一、ARP攻击的防御(1.易于被ARP攻击的原因>2.常见的几种防御方法>3.ARP相关命令)
  • (arp防御软件)AntiARP-DNS

    2012-02-13 12:07:24
    arp防御软件很好很强大的
  • ARP 原理 攻击 防御

    2021-09-09 13:25:56
    Arp即地址解析协议,它虽然是一个网络层协议,也涉及一些数据链路层的信息,基本作用是已知IP地址获得其对应的MAC地址,当某个设备需要向目的设备发送单播帧时,首先查看自己的缓存表中是否有目的设备的MAC地址,...
  • 一、ARP防御概述通过之前的文章,我们已经了解了ARP攻击的危害,黑客采用ARP软件进行扫描并发送欺骗应答,同处一个局域网的普通用户就可能遭受断网攻击、流量被限、账号被窃的危险。由于攻击门槛非常低,普通人只要...
  • arp,arp防御软件,arp欺骗利器,绝对有用 有说明自己看
  • 一、ARP防御概述 通过之前的文章,我们已经了解了ARP攻击的危害,黑客采用ARP软件进行扫描并发送欺骗应答,同处一个局域网的普通用户就可能遭受断网攻击、流量被限、账号被窃的危险。由于攻击门槛非常低,普通人...
  • ARP的攻击与防御

    千次阅读 2019-05-05 09:09:27
    ARP的攻击与防御 摘 要 随着网络的发展,网络范围的扩大,网络所提供的服务也越来越多种多样,网络资源的共享技术也是发展的越来越快,所以在这个越来越大、越来越复杂的网络里,发生网络攻击的风险也随之增大。而且...
  • 利用嗅探技术以被动模式更新计算机列表, 也就是说, 不用扫描网络而arp求请包中的发送者地址更新计算机列表. -. 当打开程序中的高级扫描选项时能够执行高级扫描. -. 在高级扫描中可针对一个B类地址范围进行扫描. ...
  • ARP病毒防御

    2013-11-01 20:54:57
    H3C ARP病毒攻击防御宝典
  • arp防御工具(防御arp攻击) 网络有用的工具!
  • 校园网ARP防御,主要针对目前高校的ARP 攻击等常见问题的分析以及解决办法,
  • ARP防火墙6.0, ARP防御,ARP攻击拦截,ARP控制
  • 一、ARP防御概述 通过之前的文章,我们已经了解了ARP攻击的危害,黑客采用ARP软件进行扫描并发送欺骗应答,同处一个局域网的普通用户就可能遭受断网攻击、流量被限、账号被窃的危险。由于攻击门槛非常低,普通人...
  • ARP防护软件

    2020-08-19 03:51:45
    ARP防护软件系统结构:取本机默认网关IP,锁定IP_MAC地址,取MAC地址,======窗口程序集1||||------_按钮2_被单击||||------_按钮1_被单击||||------_最小化_被选择||||------_锁定网关_被选择||||------_解除
  • 面试题-ARP防御方法

    2019-08-17 15:05:02
    ARP攻击防御 方法一:静态ARP绑定 手工绑定/双向绑定 windows客户机上: arp -s 10.1.1.254 00-01-2c-a0-e1-09 arp -a 查看ARP缓存表 路由器上静态绑定: Router(config)#arp 10.0.0.95 0013.240a.b219 arpa f0/0 ...
  • Linux下防御arp攻击的方法发布时间:2008-09-08 17:09:19 作者:佚名 我要评论1.获取同一网段下所有机器MAC地址的办法机房有机器中毒,发arp包,通过arpspoof虽然可以解决,也可以找到中毒机器的mac地址,但在机房...
  • ARP协议: arp请求包发广播包,目的mac为ff:ff:ff:ff:ff:ff 网段中的所有主机收到该arp请求后,如果arp请求中的ip地址与本机ip地址一致,则回复arp应答包,目的mac为...一.arp泛洪攻击及防御 泛洪攻击也叫拒绝服务攻击
  • 为了改善静态绑定方法在抵御 ARP 攻击时存在的不易维护的问题,利用区块链技术思想,设计了一种防御成本低、后期易维护的 ARP 欺骗攻击防御方法。改进了区块链结构,设计了交易索引表结构,通过对比发现攻击并及时...
  • arp防御工具

    2007-04-30 22:09:37
    本工具主要用于arp攻击经常断网。使用主动防御系统
  • ARP协议详解以及arp攻击与防御

    千次阅读 2019-04-19 19:02:50
    目录 什么是ARP ? 为什么既要有IP地址又要有MAC地址?...ARP协议攻击防御 ​​​​​​​ 什么是ARP ? 将IP地址解析为以太网MAC地址(物理地址)的协议 为什么既要有IP地址又要有MA...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 5,557
精华内容 2,222
关键字:

arp防御

友情链接: cygl.rar