轉從網咖的ARP欺騙看區域網的安全管理

在「網咖arp欺騙的原理及危害」一文中為大家介紹了arp欺騙攻擊的原理以及危害程度，相信各位網路管理員讀者都對arp欺騙深表痛恨，希望能夠徹底的禁止該現象的發生。雖然筆者不是網咖管理員，但是也在單位負責五個機房共200臺計算機。

所以下面就根據筆者的經驗為大家介紹如何來防止arp欺騙，文章所說的這些方法對網咖或普通區域網都是適用的。

企業可以通過發布網路管理制度來禁止arp欺騙問題的發生，發現有欺騙者和獎金等效益掛鉤。但是網咖不同於企業，來使用計算機和網路的都是顧客，也就是「上帝」，我們不可能對他們的行為做過多的約束，所以唯一能做的就是從技術上盡最大可能約束和檢查arp欺騙的**。

一、sniffer檢測法：

要想徹底避免arp欺騙的發生，我們需要讓各個計算機的mac位址與ip位址唯一且相對應。雖然我們可以通過為每台計算機設定ip位址的方法來管理網絡，但是遇到那些通過arp欺騙非法攻擊的使用者來說，他可以事先自己手動更改ip位址，這樣檢查起來就更加複雜了，所以說保證每台計算機的mac位址與 ip位址唯一是避免arp欺騙現象發生的前提。

（1）建立dhcp伺服器保證mac位址與ip位址唯一性：

首先我們可以在windows 2000 server或其他伺服器版作業系統上啟用dhcp服務，為網咖建立乙個dhcp伺服器，一般來說建議在閘道器上搭建。因為dhcp不占用多少cpu，而且arp欺騙攻擊一般總是先攻擊閘道器，攻擊閘道器的同時由於閘道器這裡有監控程式，所以可以在第一時間發現攻擊行為。當然為了減少攻擊的發生機率我們也可以把閘道器位址設定為網段的第二個位址，例如192.168.1.2，把192.168.1.

另外所有客戶機的ip位址及其相關主機資訊，只能由閘道器這裡取得，閘道器這裡開通dhcp服務，但是要給每個網絡卡，繫結固定唯一ip位址。一定要保持網內的機器ip/mac一一對應的關係。這樣客戶機雖然是dhcp取位址，但每次開機的ip位址都是一樣的。以上這些繫結關係可以通過dhcp的位址池來解決，或者將客戶端獲得ip等網路引數資訊的租約設定為乙個非常長的時間，例如一年或者無限時間，這樣在此時間段裡只要mac位址不變，客戶端獲得的ip地址也是不變的。

（2）建立mac位址資料庫：

把網咖內所有網絡卡的mac位址記錄下來，每個mac和ip、地理位置統統裝入資料庫，以便及時查詢備案。可以以excel**的形式，也可是儲存成資料庫檔案。

（3）禁止arp動態更新：

為了防止閘道器被隨意攻擊，我們還需要在閘道器機器上關閉arp動態重新整理功能，這樣的話，即使非法使用者使用arp欺騙攻擊閘道器的話，對閘道器是無效的，從而確保主機安全。在閘道器上建立靜態ip/mac**的方法如下。

第一步：建立/etc/ethers檔案，其中包含正確的ip/mac對應關係，格式為192.168.2.32 08:00:4e:b0:24:47。

第二步：然後在/etc/rc.d/rc.local最後新增arp -f生效即可。

上面這個禁止arp動態更新的方法是針對linux系統而言的。

（4）閘道器監測：

在閘道器上面使用tcpdump程式擷取每個arp程式包，弄乙個指令碼分析軟體分析這些arp協議。arp欺騙攻擊的包一般有以下兩個特點，滿足之一就可以視為攻擊包報警，第一是乙太網資料報頭的源位址、目標位址和arp資料報的協議位址不匹配。第二是arp資料報的傳送和目標位址不在自己網路網絡卡mac 資料庫內，或者與自己網路mac資料庫mac/ip不匹配。我們也可以通過指令碼分析軟體實現自動報警功能，最後查這些資料報（乙太網資料報）的源位址就大致知道那台機器在發起攻擊了。

三、總結：

arp欺騙是目前網路管理，特別是區域網管理中最讓人頭疼的攻擊，他的攻擊技術含量低，隨便乙個人都可以通過攻擊軟體來完成arp欺騙攻擊。同時防範arp欺騙也沒有什麼特別有效的方法。目前只能通過被動的亡羊補牢形式的措施了。本文介紹的兩個方法都是針對arp欺騙防範的，希望對讀者有所幫助。當然很多網路管理軟體開發公司都推出了自己的防範arp欺騙的產品，這些產品良莠不齊，大家選擇時更要仔細。

轉從網咖的ARP欺騙看區域網的安全管理

從ARP欺騙案例看區域網安全管理

ettercap區域網arp欺騙，輕鬆竊密

區域網內的攻擊 Arp欺騙

轉 從網咖的ARP欺騙看區域網的安全管理

從ARP欺騙案例看區域網安全管理

ettercap區域網arp欺騙，輕鬆竊密

區域網內的攻擊 Arp欺騙

相關推薦

轉從網咖的ARP欺騙看區域網的安全管理