深入解析ARP欺骗攻击防护之根本防护

安全 黑客攻防
本文主要向大家介绍了ARP欺骗攻击防护的根本防护,希望大家多多掌握。

ARP攻击防制中,最好的方法是先踏踏实实把基本防制工作做好,才是根本解决的方法。由于市场上的解决方式众多,我们无法一一加以说明优劣,因此我们仅从ARP攻击防制的基本思想来进行解释。我们认为您如果能了解这个基本思想,就能自行判断何种防制方式有效,也能了解为何双向绑定是一个较全面又持久的解决方式。

针对ARP攻击的防制,常见的方法,可以分为以下三种作法:

1、利用ARP echo传送正确的ARP讯息:通过频繁地提醒正确的ARP对照表,来达到防制的效果。

2、利用绑定方式,固定ARP对照表不受外来影响:通过固定正确的ARP对照表,来达到防制的效果。

3、舍弃ARP协议,采用其它寻址协议:不采用ARP作为传送的机制,而另行使用其它协议例如PPPoE方式传送。

以上三种方法中,前两种方法较为常见,第三种方法由于变动较大,适用于技术能力较佳的应用。下面针对ARP攻击的根本防护加以说明。

不坚定的ARP协议

一般计算机中的原始的ARP协议,很像一个思想不坚定,容易被其它人影响的人,ARP欺骗/攻击就是利用这个特性,误导计算机作出错误的行为。ARP攻击的原理,互联网上很容易找到,这里不再覆述。原始的ARP协议运作,会附在局域网接收的广播包或是ARP询问包,无条件覆盖本机缓存中的ARP/MAC对照表。这个特性好比一个意志不坚定的人,听了每一个人和他说话都信以为真,并立刻以最新听到的信息作决定。

就像一个没有计划的快递员,想要送信给"张三",只在马路上问"张三住那儿?",并投递给最近和他说"我就是!"或"张三住那间!",来决定如何投递一样。在一个人人诚实的地方,快递员的工作还是能切实地进行;但若是旁人看快递物品值钱,想要欺骗取得的话,快递员这种工作方式就会带来混乱了。

我们再回来看ARP攻击和这个意志不坚定快递员的关系。常见ARP攻击对象有两种,一是网络网关,也就是路由器,二是局域网上的计算机,也就是一般用户。攻击网络网关就好比发送错误的地址信息给快递员,让快递员整个工作大乱,所有信件无法正常送达;而攻击一般计算机就是直接和一般人谎称自己就是快递员,让一般用户把需要传送物品传送给发动攻击的计算机。

由于一般的计算机及路由器的ARP协议的意志都不坚定,因此只要有恶意计算机在局域网持续发出错误的ARP讯息,就会让计算机及路由器信以为真,作出错误的传送网络包动作。一般的ARP就是以这样的方式,造成网络运作不正常,达到盗取用户密码或破坏网络运作的目的。

现阶段唯一解决方案----双向绑定

以上以思想不坚定的快递员情况,说明了常见的ARP攻击防制方法。ARP攻击利用的就是ARP协议的意志不坚,只有以培训的方式让ARP协议的意志坚定,明白正确的工作方法,才能从根本解决问题。只是依赖频繁的提醒快递员正确的作事方法,但是没有能从快递员意志不坚的特点着手,就好像只管不教,最终大家都很累,但是效果仍有限。面对这种新兴攻击,取巧用省事的方式准备,最后的结果可能是费事又不管用,必须重新来过。

ARP攻击双向绑定虽然对管理带来一定的工作量,但是其效果确是从根本上解决了问题。关于ARP的防护的内容,还希望大家多多学习。

【编辑推荐】

  1. 浅析让内网安全问题
  2. 剖析ARP缓存感染攻击
  3. 对黑金ARP病毒原理的阐述
  4. 深入解析ARP欺骗攻击防护之ARP
  5. Windows Vista有效防止ARP病毒 图解
责任编辑:佚名 来源: 上海网域网
相关推荐

2011-04-06 10:23:46

2011-04-06 10:31:53

2011-04-06 10:03:16

2013-04-01 10:12:39

2013-05-13 17:49:26

2011-04-06 11:20:46

2018-07-28 00:20:15

2010-09-16 15:39:18

2021-11-22 11:11:39

僵尸网络DDoS攻击黑客

2019-10-31 08:43:43

ICMPARP协议ARP欺骗

2010-09-07 10:44:14

2009-10-28 14:40:01

2020-12-30 10:22:08

物联网安全攻击防护防火墙

2013-04-26 09:45:35

2013-04-11 15:04:47

2022-05-27 08:25:01

DDoS 攻击网络攻击网络安全

2010-01-11 10:46:31

2017-01-10 08:48:21

2010-06-09 15:30:51

2019-01-10 08:24:06

点赞
收藏

51CTO技术栈公众号