2021年如何處理ARP的攻擊技巧

1、資料來源：來自本人網(wǎng)絡(luò)整理！祝您工作順利！2021年如何處理arp的攻擊技巧 以下是omg我為大家搜集整理的文章，盼望對大家有所關(guān)心。 從原理和應(yīng)用談解決arp攻擊的方法： 許多網(wǎng)吧和企業(yè)網(wǎng)絡(luò)不穩(wěn)，無故掉線，經(jīng)濟(jì)蒙受了很大的損失。依據(jù)狀況可以看出這是一種存在于網(wǎng)絡(luò)中的一種普遍問題。出現(xiàn)此類問題的主要緣由就是患病了arp攻擊。如今arp不只是協(xié)議的簡寫，還成了掉線的代名詞。由于其變種版本之多，傳播速度之快，許多技術(shù)人員和企業(yè)對其束手無策。下面就來給大家從原理到應(yīng)用談一談這方面的話題。盼望可以幫大家解決此類問題，凈化網(wǎng)絡(luò)環(huán)境。 在局域網(wǎng)中，通過arp協(xié)議來完成ip地址轉(zhuǎn)換為其次層物理地址，實現(xiàn)局域

2、網(wǎng)機(jī)器的通信。arp協(xié)議對網(wǎng)絡(luò)平安具有重要的意義。這是建立在互相信任的根底上。假如通過偽造ip地址和mac地址實現(xiàn)arp欺騙，將在網(wǎng)絡(luò)中產(chǎn)生大量的arp通信量使網(wǎng)絡(luò)堵塞、掉線、重定向、嗅探攻擊。 我們知道每個主機(jī)都用一個arp高速緩存，存放最近ip地址到mac硬件地址之間的映射記錄。windows高速緩存中的每一條記錄的生存時間一般為60秒，起始時間從被創(chuàng)立時開頭算起。默認(rèn)狀況下，arp從緩存中讀取ip-mac條目，緩存中的ip-mac條目是依據(jù)arp響應(yīng)包動態(tài)改變的。因此，只要網(wǎng)絡(luò)上有arp響應(yīng)包發(fā)送到本機(jī)，即會更新arp高速緩存中的ip-mac條目。如：x向y發(fā)送一個自己偽造的arp應(yīng)答，

3、而這個應(yīng)答中的數(shù)據(jù)發(fā)送方ip地址是192.168.1.3(z的ip地址)，mac地址是dd-dd-dd-dd-dd-dd(z的真實mac地址卻是cc-cc-cc-cc-cc-cc，這里被偽造了)。當(dāng)y接收到x偽造的arp應(yīng)答，就會更新本地的arp緩存(y可不知道被偽造了)。那么假如偽造成網(wǎng)關(guān)呢? switch上同樣維護(hù)著一個動態(tài)的mac緩存，它一般是這樣，首先，交換機(jī)內(nèi)部有一個對應(yīng)的列表，交換機(jī)的端口對應(yīng)mac地址表port n - mac記錄著每一個端口下面存在那些mac地址，這個表開頭是空的，交換機(jī)從來往數(shù)據(jù)幀中學(xué)習(xí)。因為mac-port緩存表是動態(tài)更新的，那么讓整個 switch的端口表

4、都轉(zhuǎn)變，對switch進(jìn)展mac地址欺騙的flood，不斷發(fā)送大量假mac地址的數(shù)據(jù)包，switch就更新mac-port緩存，假如能通過這樣的方法把以前正常的mac和port對應(yīng)的關(guān)系破壞了，那么switch就會進(jìn)展泛洪發(fā)送給每一個端口，讓switch根本變成一個 hub，向全部的端口發(fā)送數(shù)據(jù)包，要進(jìn)展嗅探攻擊的目的一樣可以到達(dá)。也將造成switch mac-port緩存的崩潰，如下面交換機(jī)中日志所示： internet 192.168.1.4 0000b.cd85.a193 arpavlan256 internet 192.168.1.5 0000b.cd85.a193 arpavlan2

5、56 internet 192.168.1.6 0000b.cd85.a193 arpavlan256 internet 192.168.1.7 0000b.cd85.a193 arpavlan256 internet 192.168.1.8 0000b.cd85.a193 arpavlan256 internet 192.168.1.9 0000b.cd85.a193 arpavlan256 arp攻擊時的主要現(xiàn)象 網(wǎng)上銀行、保密數(shù)據(jù)的頻繁喪失。當(dāng)局域網(wǎng)內(nèi)某臺主機(jī)運(yùn)行arp欺騙的木馬程序時，會欺騙局域網(wǎng)內(nèi)全部主機(jī)和路由器，讓全部上網(wǎng)的流量必需經(jīng)過病毒主機(jī)。其他用戶原來挺直通過路由器上網(wǎng)如今轉(zhuǎn)

6、由通過病毒主機(jī)上網(wǎng)，切換的時候用戶會斷一次線。切換到病毒主機(jī)上網(wǎng)后，假如用戶已經(jīng)登陸效勞器，那么病毒主機(jī)就會常常偽造斷線的假像，那么用戶就得重新登錄效勞器，這樣病毒主機(jī)就可以竊取全部機(jī)器的資料了。 網(wǎng)速時快時慢，極其不穩(wěn)定，但單機(jī)進(jìn)展光纖數(shù)據(jù)測試時一切正常。局域網(wǎng)內(nèi)頻繁性區(qū)域或整體掉線，重啟計算機(jī)或網(wǎng)絡(luò)設(shè)備后復(fù)原正常 由于arp欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理力量的限制，用戶會感覺上網(wǎng)速度越來越慢。當(dāng)arp欺騙的木馬程序停頓運(yùn)行時，用戶會復(fù)原從路由器上網(wǎng)，切換過程中用戶會再次斷線。 arp的解決方法： 目前來看普遍的解決方法都是采納雙綁,詳細(xì)方法： 先

7、找到正確的 網(wǎng)關(guān) ip 網(wǎng)關(guān)物理地址 然后 在客戶端做對網(wǎng)關(guān)的arp綁定。 步驟一： 查找本網(wǎng)段的網(wǎng)關(guān)地址，比方192.168.1.1，以下以此網(wǎng)關(guān)為例。在正常上網(wǎng)時，開頭運(yùn)行cmd確定，輸入：arp -a，點(diǎn)回車，查看網(wǎng)關(guān)對應(yīng)的physical address。 比方：網(wǎng)關(guān)192.168.1.1 對應(yīng)0a-0b-0c-0d-0e-0f。 步驟二： 編寫一個批處理文件rarp.bat，內(nèi)容如下： echo off arp -d arp -s 192.168.1.1 0a-0b-0c-0d-0e-0f 保存為：rarp.bat。 步驟三： 運(yùn)行批處理文件將這個批處理文件拖到windows開頭程序

8、啟動中。 但雙綁并不能徹底解決arp問題，ip沖突以及一些arp變種是不能應(yīng)對的。 再有就是采納防arp的硬件路由，但價格很高,并且不能保證在大量攻擊出現(xiàn)地狀況下穩(wěn)定工作.那么如今就沒有，有效并可以徹底的解決方法了嗎?有的，那就是采納可以以底層驅(qū)動的方式工作的軟件，并全網(wǎng)部署來防范arp問題. 此類軟件是通過系統(tǒng)底層核心驅(qū)動，以效勞及進(jìn)程并存的形式隨系統(tǒng)啟動并運(yùn)行，不占用計算機(jī)系統(tǒng)資源。這種方式不同于雙綁。因為它是對通信中的數(shù)據(jù)包進(jìn)展分析與推斷，只有合法的包才可以被放行。非法包就被丟棄掉了。也不用擔(dān)憂計算時機(jī)在重啟后新建arp緩存列表，因為是以效勞與進(jìn)程相結(jié)合的形式 存在于計算機(jī)中，當(dāng)計算機(jī)重

9、啟后軟件的防護(hù)功能也會隨操作系統(tǒng)自動啟動并工作。 目前滿足這一要求的并能杰出工作的軟件推舉大家選用arp衛(wèi)士，此軟件不僅僅解決了arp問題，同時也擁有內(nèi)網(wǎng)洪水防護(hù)功能與p2p限速功能。 arp衛(wèi)士在系統(tǒng)網(wǎng)絡(luò)的底層安裝了一個核心驅(qū)動,通過這個核心驅(qū)動過濾全部的arp數(shù)據(jù)包,對每個arp應(yīng)答進(jìn)展推斷,只有符合規(guī)章的arp包,才會被進(jìn)一步處理.這樣,就實現(xiàn)防備了計算機(jī)被欺騙. 同時,arp衛(wèi)士對每一個發(fā)送出去的arp應(yīng)答都進(jìn)展檢測,只有符合規(guī)章的arp數(shù)據(jù)包才會被發(fā)送出去,這樣就實現(xiàn)了對發(fā)送攻擊的攔截. 洪水?dāng)r截：通過此項設(shè)置，可以對規(guī)章列表中出現(xiàn)了syn洪水攻擊、udp洪水攻擊、icmp洪水攻擊的

10、機(jī)器進(jìn)展懲處。當(dāng)局域網(wǎng) 內(nèi)某臺計算機(jī)所發(fā)送的syn報文、udp報文、icmp報文超出此項設(shè)置中所規(guī)定的上限時，arp衛(wèi)士客戶端將會按 照預(yù)設(shè)值對其進(jìn)展相應(yīng)懲處。在懲處時間內(nèi)，這臺計算機(jī)將不會再向網(wǎng)絡(luò)內(nèi)發(fā)送相應(yīng)報文。但懲處不會對已建立 的連接產(chǎn)生影響。 流量掌握：通過此項設(shè)置，可以對規(guī)章列表中的全部計算機(jī)進(jìn)展廣域網(wǎng)及局域網(wǎng)的上傳及下載流量進(jìn)展限制(即所謂的網(wǎng)絡(luò) 限速)。鼠標(biāo)右鍵單擊排除機(jī)器列表窗口即可對其中內(nèi)容進(jìn)展修改、編輯。存在于排除機(jī)器列表中的ip地址將不 會受到流量掌握的約束。 arp guard(arp衛(wèi)士)確實可以從根本上徹底解 決arp欺騙攻擊所帶來的全部問題。它不僅可以愛護(hù)計算機(jī)不受arp欺騙攻擊的影響，而且還會對感染了arp攻擊病毒或欺騙木馬的 病毒源機(jī)器進(jìn)展掌握，使其不能對局域網(wǎng)內(nèi)其它計算機(jī)進(jìn)展欺騙攻擊。保持網(wǎng)絡(luò)正常通訊，防止帶有arp欺騙攻擊的機(jī)器對網(wǎng)內(nèi)計 算機(jī)的監(jiān)聽，使掃瞄網(wǎng)頁、數(shù)據(jù)傳輸時不受arp欺騙者限制。 總體來看我覺得這個軟件是目前市面上最好的