网络安全与局域网ARP欺骗攻击

近日，有网友想知道的关于网络安全和局域网ARP地址欺骗的相关知识，那么学习Xiaobian，组织相关的信息与你分享，具体内容如下。我希望你能参考它！！！

网络安全与局域网ARP欺骗攻击

ARP是地址解析协议的全称，是地址解析协议的缩写，MAC地址是在网卡上的串行卡EEPROM上固化的物理地址。它的长度比特殊长度（6字节）和16位数字多48。0～23位是由制造商自己分配的，24～47位被称为组织唯一符号，它是局域网（LAN）节点标识的标识。

一、ARP地址欺骗攻击者的位置

利用ARP协议漏洞，攻击者对网络安全造成威胁，因此，如何快速检测局域网内哪些机器在ARP欺骗攻击。面对成百上千的局域网内的计算机，检测显然不是一个很好的方式。事实上，我们只需要使用ARP病毒的基本原理：发送伪造的ARP欺骗广播，中毒的计算机伪装成网关的特性，我们可以快速锁定中毒电脑。你可以想象的程序实现以下功能：在正常使用的时候，记住正确的网关IP地址和MAC地址，从整个网络数据包的ARP和实时监测数据，当有一个ARP数据包广播，正确的IP地址为网关的IP地址，但是它的MAC地址，甚至当MAC地址的其他计算机，然后，无疑是这个可疑的MAC地址的ARP欺骗，报警，然后根据g到IP正常时间MAC地址比较表查询计算机，查找其IP地址，以便找到攻击者。

这里我们学习几种不同的方法来检测ARP地址欺骗攻击。

1。命令行的方法

你可以在CMD命令提示符窗口系统自带的ARP命令。当ARP欺骗在局域网内的整个网络，攻击者将不停止发送ARP欺骗广播，那么局域网中的其他计算机将动态更新自己的ARP缓存，网关的MAC地址记录为攻击者本身的MAC地址，此时，只要我们使用在受影响的计算机；ARP，a命令查看网关的MAC地址，你可以知道攻击者的MAC地址。我们进入ARP协议'，和之后的命令是返回的信息：

互联网地址物理地址类型00-50-56-e6-49-56 192.168.0.x。动态。

因为目前计算机的ARP表是错误的记录，MAC地址不是真正的网关的MAC地址，但攻击者的MAC地址。在这个时候，当网络是正常的，这ip-ma C地址控制表的整个网络，攻击者的IP地址可以{ 4 }。这样，可以保持一个ip-ma C地址对照表全网计算机网络正常时是多么的重要。你可以使用nbtscan工具扫描IP地址和整个网段的MAC地址并保存供以后使用。

2。工具软件的方法

现在有很多ARP病毒定位工具，在互联网上，和更好的一个防ARP Sniffer（现更名为ARP防火墙），使用这类软件，我们可以很容易地找到一个攻击者的MAC地址。然后，我们可以快速定位攻击者根据欺骗机的MAC地址，并比较ip-ma C地址检查表的整个网络。

3、Sniffer包嗅探方法

在LAN ARP地址时，往往伴随着ARP欺骗广播大量的数据包，然后流量检测机制应该能够很容易地检测到网络的异常行为，就像用抓包工具查找ARP广播包来发送一台大型机器，基本上可以作为攻击者进行处理。

上述3种方法有时需要结合使用，以便相互验证，以便通过ARP地址快速准确地找到攻击者。当发现攻击者时，可以使用杀毒软件或删除攻击程序。

防御ARP欺骗攻击及其解决方案

1。使用静态I P-MAC地址解析

In view of the network characteristics of ARP address spoofing attack, we can use static IP-MA C address parsing. 主机的ip-ma C地址映射表是手动维护和动态更新后不再被运输。即使有ARP攻击者在网络中发送虚假的ARP数据包，其他计算机将不会修改自己的ARP缓存表，和包总是会被发送到正确的收件人。常用的防御方法是；双向绑定的方法，双向绑定法，顾名思义，就是把ip-ma C地址的两端，其中一个是输入所有的PC ip-ma C为静态表在路由器端，即路由器ip-ma C结合，另一端在局域网上的每个客户端，设置网关的静态ARP信息在客户端，称为PC ip-ma C结合。此外，很多交换机和路由器厂商也推出了自己的防御ARP病毒的软件产品，如华为修复AR 18-6x系列千兆以太网路由器可以实现免疫ARP局域网，路由器提供MAC和IP地址绑定功能，根据用户的配置，对特定的IP地址和MAC地址之间的关系形成的。一则信息，声称是从这个IP地址发送的，如果它的MAC地址不在指定的关联对的地址，路由器将丢弃它，这是一种避免IP地址假冒攻击。

2。使用ARP服务器

ARP服务器查找自己的ARP转换表，以响应其他机器的ARP广播，但必须确保ARP服务器不受黑客攻击。

三.使用其他交换方法

现在，基于IP地址的转换的第三层交换机逐步采用，而第三层交换技术作为IP路由协议。以前的MAC地址和ARP协议不工作，所以ARP欺骗攻击不该开关的工作环境。这种方法的缺点是，这类开关价格通常是昂贵的。

ARP地址欺骗攻击的解决方案如下：

第一步：记住正确的网关IP地址和MAC地址，准备以后的IP-MAC绑定，也方便了病毒的宿主未来搜索。获得MAC网关是一个网络管理单位可以要求员工；二是查询机正常上网，写下的网关IP地址和MAC地址，方法如下：打开命令提示符窗口类型；；提示：ipconfig /铝（L命令来查询网关的IP地址），然后键入：arp -a（用于显示在ARP高速缓存中的所有项目），如果不是上市网关IP地址和相应项目的MAC地址，然后ping网关的IP地址，然后显示ARP缓存的内容可以看到相应的网关IP-MAC。

第二步是发现如果网关MAC地址冲突，先用arp -d命令清除ARP缓存的内容，然后检查网关IP-MAC项目正确的arp -a命令。如果病毒继续攻击网关，然后网关的IP-MAC将静态绑定的。例如，网关的IP地址和MAC地址10.1.4.254 00-08-20-8b-68-0a。首先，我们使用arp -d命令清除ARP缓存的内容，然后输入arp-s10.1.4.254 00-08-20-8b-68-0a命令提示符后，使网关的IP地址和MAC地址是静态绑定的，如果用户安装了防火墙，也可以通过防火墙提供与ARP；集集静态静态规则；绑定，或者在第一个防火墙提示下选择正确的MAC地址并单击添加到ARP静态表中；。

第三步：如果病毒不断攻击网关，而网关在IP-MAC静态绑定不能操作，那么我们应该先找到病毒的宿主，让它把网络和杀死病毒，从而确保网络中的其他机器操作在线正常段。

三、结束语

由于ARP协议的建立较早，没有考虑到这些协议的缺陷，使得ARP攻击更加具有破坏性。但也有局限性，例如，ARP攻击仅限于本地网络环境。最根本的解决办法是使用IPv6协议，因为在IPv6邻居发现协议，机（NDP）的定义，和ARP加入NDP和运行在Internet控制消息协议（ICMP），使ARP更一般的，包括更多的内容。