一、ARP攻擊的防御

1.易于被ARP攻擊的原因

• 我們的主機在默認情況下是沒有防御ARP攻擊的能力的，原因在于PC在收到ARP報文后（無論單播或廣播）都會學習在自己的ARP緩存中，且沒有驗證機制，無法分辨真假
• 在公司中一定要解決好ARP攻擊的防御，下面介紹幾種方法

2.常見的幾種防御方法

1）靜態ARP綁定

• 缺點：工作量大，且無法長期有效–關機再開機就會消失

• 原理：前面的ARP原理為，當PC發送ARP廣播請求，接著收到對方發來的ARP單播應答后會動態的形成ARP緩存。如果此時在PC上人工輸入命令，靜態綁定ARP緩存中對方的MAC地址，那么再有黑客發來偽造的ARP單播應答也無效了（也不是覺得，幾乎可以避免）；但是光在自己的PC上靜態綁定還遠遠不夠，還需要在通信的對象主機上也做靜態ARP綁定，不然黑客騙不了你，但是可以偽造你的MAC地址發送給你通信的對象，對方就無法與你通信了。

  總結：手工綁定/雙向綁定

• 命令：在windows客戶機上輸入arp -s 10.1.1.254 00-01-2c-a0-e1-09

• 使用場景：如果公司中有固定IP和不會輕易關機的服務器之間需要通信，則可以在這些服務器上對所有的需要通信的服務器做靜態ARP綁定

2）ARP防火墻

• 缺點：增加網絡的負擔
• 原理：只要在用戶機上開啟了ARP防火墻（比如360安全衛士上就有這項功能，但默認關閉），那么會根據你的設置自動的綁定靜態ARP，只要開啟每次開機就不用你手動去綁定，ARP防火墻自動就幫你做了。但是剛說了綁定的原則是雙向綁定，比如現在要跟網關通信實現上網，網關無法開啟ARP防火墻，所以黑客可以不斷的向網關發送虛假的ARP單播應答，而ARP防火墻也會不斷的向網關發送真正的ARP單播應答，且高級的防火墻會根據黑客的發送頻率自動提升自己發送頻率。所以這會增加網關的負擔，很不推薦使用
• 使用場景：在公司中一般都禁止使用，在家庭的小型網絡中可以使用

3）硬件級ARP防御

• 特點：花錢，但是可以直接將ARP攻擊按死在搖籃中，推薦公司使用

• 原理1：需要花錢購買支持端口可以動態ARP綁定的企業級交換機，且可以配合DHCP服務器。舉例說明：現在公司內的幾個員工連接到同一個交換機上，交換機又連接這DHCP服務器，DHCP服務器為同一個局域網下的員工提供IP地址子網掩碼等相關信息。此時假如有一個壞蛋的主機，MAC地址為AA，連接到交換機的某個端口，那么插上的時候由于壞蛋的主機自動獲取IP，所以會發送DHCP-Discovery廣播包給DHCP服務器，而此包通過交換機時，連接的那個端口就會記錄下來壞蛋的MAC地址AA。然后再將包發給DHCP服務器，DHCP收到后回復一個DHCP-Offer廣播包，經過交換機時，交換機雖然是二層設備，但是由于添加了可以識別DHCP提供的IP的功能，所以將Offer包中的IP先獲取到，然后再轉發給壞蛋的PC，PC收到后又會發送DHCP-request包給DHCP服務器，DHCP收到后會回復ACK廣播包（即確定下來壞蛋就使用這個IP，并同時發送給壞蛋配套的子網掩碼，租期等相關的信息），那么交換機一旦收到DHCP服務器發來的ACK包，則會將壞蛋分配到的IP和MAC地址AA記錄下來綁定到壞蛋接入的端口。此過程叫動態ARP綁定。那么以后如果壞蛋發送正常的幀出去，交換機雖然是二層設備，但是通過技術不光可以識別MAC也可以識別到幀的源IP地址，如果與記錄的不一致，則不允許此幀發送出去，直接丟棄；有些設置過的交換機一旦收到不一致的幀，那么會將此端口關閉，需要管理員才能打開。那么壞蛋此時如果發送偽造ARP報文，交換機識別到ARP報文中的IP和MAC地址不是你的，就會扼殺此幀。

• 原理2：如果現在壞蛋拔了網線，換了另外一個接口接上去，那么最開始壞蛋連接的端口上的動態ARP綁定會消息。而現在壞蛋接入的端口會做與原理1同樣的事情，有會綁定壞蛋分配的IP和MAC地址在此端口上

• 原理3：假如現在壞蛋換了一個接口接入，并且發送的第一個幀不是與HDCP相關的，而是自己偽造的一個ARP報文封裝的幀，當中包含偽造的MAC和IP，那么交換機的端口也會將偽造的MAC和IP動態綁定到此端口，那么如果現在壞蛋想正常上網或與其他人通信，交換機會認為原來偽造的MAC和IP才是你真正的信息，那么此時壞蛋就無法上網和通信了，會自食其果。

• 總結：既可以購買支持動態ARP綁定的交換機；還可以在交換機上做靜態ARP綁定，將每一個用戶的IP地址和MAC地址和連接的端口號綁定

3.ARP相關命令

以下為思科網絡設備的ARP綁定的命令，不同廠家不同，需要查看手冊

1）網絡設備做靜態綁定

Router(config)#arp 10.0.0.95 0013.240a.b219 arpa f0/0 #先進入全局配置模式 Switch(config)#arp 10.0.0.12 90fb.a695.4445 arpa f0/2 Switch(config)#arp 10.0.0.178 001a.e2df.0741 arpa f0/1

2）交換機開啟動態ARP綁定

conf t ip dhcp snooping #如果交換機支持此功能，輸入命令才可以開啟

3）批量操作

conf t int range f0/1 - 48 #表示進入從0模塊的1端口到48端口的組 輸入相關命令即可

總結

以上是生活随笔為你收集整理的day14、4 - ARP攻击防御的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。