ARP攻击是什么意思?怎么防范?
发布网友
共5个回答
热心网友
英文原义:Address Resolution Protocol
中文释义:(RFC-826)地址解析协议
局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址以保证通信的顺利进行。
注解:简单地说,ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址,即网卡的MAC地址,比如IP地址为192.168.0.1网卡MAC地址为00-03-0F-FD-1D-2B。整个转换过程是一台主机先向目标主机发送包含IP地址信息的广播数据包,即ARP请求,然后目标主机向该主机发送一个含有IP地址和MAC地址数据包,通过MAC地址两个主机就可以实现数据传输了。
应用:在安装了以太网网络适配器的计算机中都有专门的ARP缓存,包含一个或多个表,用于保存IP地址以及经过解析的MAC地址。在Windows中要查看或者修改ARP缓存中的信息,可以使用arp命令来完成,比如在Windows XP的命令提示符窗口中键入“arp -a”或“arp -g”可以查看ARP缓存中的内容;键入“arp -d IPaddress”表示删除指定的IP地址项(IPaddress表示IP地址)。arp命令的其他用法可以键入我们首先要知道以太网内主机通信是靠MAC地址来确定目标的.arp协议又称"地址解析协议",它负责通知电脑要连接的目标的地址,这里说的地址在以太网中就是MAC地址,简单说来就是通过IP地址来查询目标主机的MAC地址.一旦这个环节出错,我们就不能正常和目标主机进行通信,甚至使整个网络瘫痪.
ARP的攻击主要有以下几种方式
一.简单的欺骗攻击
这是比较常见的攻击,通过发送伪造的ARP包来欺骗路由和目标主机,让目标主机认为这是一个合法的主机.便完成了欺骗.这种欺骗多发生在同一网段内,因为路由不会把本网段的包向外转发,当然实现不同网段的攻击也有方法,便要通过ICMP协议来告诉路由器重新选择路由.
二.交换环境的嗅探
在最初的小型局域网中我们使用HUB来进行互连,这是一种广播的方式,每个包都会经过网内的每台主机,通过使用软件,就可以嗅谈到整个局域网的数据.现在的网络多是交换环境,网络内数据的传输被锁定的特定目标.既已确定的目标通信主机.在ARP欺骗的基础之上,可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信.
三.MAC Flooding
这是一个比较危险的攻击,可以溢出交换机的ARP表,使整个网络不能正常通信
四.基于ARP的DOS
这是新出现的一种攻击方式,D.O.S又称拒绝服务攻击,当大量的连接请求被发送到一台主机时,由于主机的处理能力有限,不能为正常用户提供服务,便出现拒绝服务.这个过程中如果使用ARP来隐藏自己,在被攻击主机的日志上就不会出现真实的IP.攻击的同时,也不会影响到本机.
防护方法:
1.IP+MAC访问控制.
单纯依靠IP或MAC来建立信任关系是不安全,理想的安全关系建立在IP+MAC的基础上.这也是我们校园网上网必须绑定IP和MAC的原因之一.
2.静态ARP缓存表.
每台主机都有一个临时存放IP-MAC的对应表ARP攻击就通过更改这个缓存来达到欺骗的目的,使用静态的ARP来绑定正确的MAC是一个有效的方法.在命令行下使用arp -a可以查看当前的ARP缓存表.以下是本机的ARP表
C:\Documents and Settings\cnqing>arp -a
Interface: 210.31.197.81 on Interface 0x1000003
Internet Address Physical Address Type
210.31.197.94 00-03-6b-7f-ed-02 dynamic
其中"dynamic" 代表动态缓存,即收到一个相关ARP包就会修改这项.如果是个非法的含有不正确的网关的ARP包,这个表就会自动更改.这样我们就不能找到正确的网关MAC,就不能正常和其他主机通信.静态表的建立用ARP -S IP MAC.
执行"arp -s 210.31.197.94 00-03-6b-7f-ed-02"后,我们再次查看ARP缓存表.
C:\Documents and Settings\cnqing>arp -a
Interface: 210.31.197.81 on Interface 0x1000003
Internet Address Physical Address Type
210.31.197.94 00-03-6b-7f-ed-02 static
此时"TYPE"项变成了"static",静态类型.这个状态下,是不会在接受到ARP包时改变本地缓存的.从而有效的防止ARP攻击.静态的ARP条目在每次重启后都要消失需要重新设置.
3.ARP 高速缓存超时设置
在ARP高速缓存中的表项一般都要设置超时值,缩短这个这个超时值可以有效的防止ARP表的溢出.
4.主动查询
在某个正常的时刻,做一个IP和MAC对应的数据库,以后定期检查当前的IP和MAC对应关系是否正常.定期检测交换机的流量列表,查看丢包率.
总结:ARP本省不能造成多大的危害,一旦被结合利用,其危险性就不可估量了.由于ARP本身的问题.使得防范ARP的攻击很棘手,经常查看当前的网络状态,监控流量对一个网管员来说是个很好的习惯.
“arp /?”查看到。
热心网友
英文缩写的意思是“地址解析协议”,即网络地址欺骗,下载arp防火墙软件即可,也可使用arp-a,arp-s,arp -d命令进行查看,绑定ip地址。网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址以保证通信的顺利进行。
热心网友
ARP攻击就是局域网的内部攻击!建议所有的用户都安装ARP防火墙!虽然ADSL从理论上说不存在ARP攻击的可能性,但是现在电信为了节省建网成本已经开始并网。新并的网在逻辑上类似局域网,仍然可能受到ARP攻击。所以使用ARP防火墙是最好的选择!
热心网友
ARP防火墙(AntiARP)——专业防御ARP欺骗和攻击:下载地址:
http://www.antiarp.com/download.htm什么是ARP?ARP是地址转换协议(Address
Resolution
Protocol)的英文缩写,它是一个链路层协议,工作在OSI模型的第二层,在本层和硬件接口间进行联系,同时对上层(网络层)提供服务。二层的以太网交换设备并不能识别32位的IP地址,它们是以48位以太网地址(就是我们常说的MAC地址)传输以太网数据包的。也就是说IP数据包在局域网内部传输时并不是靠IP地址而是靠MAC地址来识别目标的,因此IP地址与MAC地址之间就必须存在一种对应关系,而ARP协议就是用来确定这种对应关系的协议。Windows操作系统,在命令行窗口输入"arp
-a"命令可查看本机当前的ARP缓存表,ARP缓存表保存的就是IP地址与MAC地址的对应关系。关于ARP的更详细资料可以登陆至百度百科:
http://ke.baidu.com/view/32698.htm
查阅!其它ARP防火墙软件:金山ARP防火墙功能:·动态识别假网关·主动向真网关表明合法身份·双向拦截ARP攻击——外部攻击、本机受感染攻击均不影响使用·保护本机不受IP冲突攻击的影响·攻击源追踪锁定,抓住罪魁祸首·让受保护PC在局域网隐身,恶性攻击无从下手
下载地址:
http://kad.www.ba.net/kas/KAntiarp.exe360ARP防火墙:1、内核层双向拦截本机和外部ARP攻击,及时查杀ARP木马
在系统内核层直接拦截本机和外部的全部ARP攻击,并提供本机ARP木马病毒准确追踪和及时查杀,保持网络畅通及通讯安全。采用内核拦截技术,本机运行速度不受任何影响。2、
精准追踪攻击源IP,方便网管及时查询攻击源
拦截到外部ARP攻击后,可通过拦截界面“追踪攻击源IP”来精准定位局域网内攻击源,方便网管及时查询局域网内攻击源,及时解决问题。3、拦截DNS欺骗、网关欺骗、IP冲突等多种攻击
在上一版的基础上增加拦截DNS欺骗,IP冲突攻击等多种形式的攻击,多方位拦截,全面解决局域网内频繁掉线问题。4、可自定义本机进程白名单拨号客户端登录局域网用户可自定义进程白名单,更安心。
5、拦截通知可自行选择是否提示,方便网吧用户使用拦截通知是否显示由您决定,专为网吧用户设计,无打扰自动拦截ARP攻击,让您上网冲浪安全又无扰。6、全新界面,全新感受全新界面,采用与360安全卫士统一清新风格。下载地址:
http://down.360safe.com/360AntiArp.exe风云防火墙:免费防火墙,ARP防火墙!!下载地址:
http://www.218.cc/download.asp
热心网友
1、ARP攻击
针对ARP的攻击主要有两种,一种是DOS,一种是Spoof。
ARP欺骗往往应用于一个内部网络,我们可以用它来扩大一个已经存在的网络安全漏洞。
如果你可以入侵一个子网内的机器,其它的机器安全也将受到ARP欺骗的威胁。同样,利用APR的DOS甚至能使整个子网瘫痪。
2、对ARP攻击的防护
防止ARP攻击是比较困难的,修改协议也是不大可能。但是有一些工作是可以提高本地网络的安全性。
首先,你要知道,如果一个错误的记录被插入ARP或者IP route表,可以用两种方式来删除。
a. 使用arp –d host_entry
b. 自动过期,由系统删除
这样,可以采用以下的一些方法:
1). 减少过期时间
#ndd –set /dev/arp arp_cleanup_interval 60000
#ndd -set /dev/ip ip_ire_flush_interval 60000
60000=60000毫秒 默认是300000
加快过期时间,并不能避免攻击,但是使得攻击更加困难,带来的影响是在网络中会大量的出现ARP请求和回复,请不要在繁忙的网络上使用。
2). 建立静态ARP表
这是一种很有效的方法,而且对系统影响不大。缺点是破坏了动态ARP协议。可以建立如下的文件。
test.nsfocus.com 08:00:20:ba:a1:f2
user. nsfocus.com 08:00:20:ee:de:1f
使用arp –f filename加载进去,这样的ARP映射将不会过期和被新的ARP数据刷新,除非使用arp –d才能删除。但是一旦合法主机的网卡硬件地址改变,就必须手工刷新这个arp文件。这个方法,不适合于经常变动的网络环境。
3).禁止ARP
可以通过ifconfig interface –arp 完全禁止ARP,这样,网卡不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表,如果不在apr表中的计算机 ,将不能通信。这个方法不适用与大多数网络环境,因为这增加了网络管理的成本。但是对小规模的安全网络来说,还是有效和可行的
