您的需求已经提交,我们将在48小时内联系您
全国服务热线:400-1000-221
确定
试用申请
请填写真实的企业信息,方便我们尽快了解您的企业安全需求。

*公司名称

*所在行业

*联系人

QQ

*联系电话

您的需求
私有云产品
云垒 立体式私有云安全纵深防御平台
云眼 新一代(云)主机入侵监测及安全管理系统
啸天 网络安全态势感知
云固 新一代网页防篡改系统
云御 新一代网站应用防御系统
云网 补丁管理系统
公有云产品
云磐 立体式公有云安全纵深防御平台
安全云主机
高级服务
抗DDoS云服务
高级渗透测试服务
攻击取证与溯源分析服务
信息安全等级保护服务
重大活动安保服务
勒索病毒防护
区块链安全
其他需求
*验证码
{{message}}
试用申请
中了arp攻击怎么办?如何破解arp攻击?

  对于网络管理员来说,arp攻击应该是基本都有遇到过了,虽然目前移动网络非常普及导致arp攻击的现在逐渐减少了,但是对于经常维护管理局域网的工作人员来说,那肯定是非常熟悉了。这里就给大家稍微介绍一下中了arp攻击怎么办,以及如何破解arp攻击

中了arp攻击怎么办

 

  

中了arp攻击怎么办

 

  ARP攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。一旦遭受arp攻击,我们就不能正常和方针主机进行通讯,乃至使全部网络瘫痪。

  中了arp攻击怎么办?中了arp攻击的朋友可以尝试使用以下介绍的arp攻击防护办法。

  IP+MAC访问操控

  单纯依托IP或MAC来树立信赖联系是不安全的,安全联系树立在IP+MAC的根底上,这也是内部上网有必要绑定IP和MAC的因素之一。

  自动查询

  在某个正常的时间,做一个IP和MAC对应的数据库,以后定时检查当时的IP和MAC对应联系是否正常,定时检查交流机的流量列表,检查丢包率。

  静态ARP缓存表

  每台服务器都有一个暂时寄存IP-MAC的对应表,ARP攻击就经过更改这个缓存来到达诈骗的意图,运用静态的ARP来绑定正确的MAC是一个有用的办法,在命令行下运用arp -a能够检查当时的ARP缓存表。

  ARP 高速缓存超时设置

  在ARP高速缓存中的表项一般都要设置超时值,缩短这个这个超时值能够有用的避免ARP表的溢出。

如何破解arp攻击

 

  

如何破解arp攻击

 

  在讲解如何破解arp攻击之前,我们先回顾下ARP攻击最经典的一幕=>

  当PC1询问PC2的MAC地址时,攻击者PC3返回ARP欺骗回应包:我的IP地址是IP2,MAC地址是MAC3。一旦PC1记录了错误的ARP映射,则发给与PC2的数据,都会落到PC3手里。

  也就是说,ARP攻击的罪魁祸首便是这种"欺骗包",若针对欺骗包的处理是不相信或不接收的话,则不会出现问题。处理这种欺骗行为我们没法提前在黑客端做手脚,因为"敌在暗处我在明处"。这样的话,我们就剩下两个解决方法:

  ①保证电脑不接收欺骗包

  ②保证电脑收到欺骗包之后不相信

  目前网络安全行业现有的ARP防御方案,基本都是上面两个方法的具体实现。我们来看看这张防御图:

  ①当黑客发起ARP欺骗包时,会途径局域网里面的交换机或无线路由器等网络设备;

  ②如果网络设备能够识别这种欺骗包,并且提前丢弃掉,则电脑/手机端就不会被欺骗;

  ③如果网络设备没有拦截这种欺骗包,则电脑/手机端需要做安全防御,然后再丢弃。

  简单来说,ARP防御可以在网络设备上实现,也可以在用户端实现,更可以在网络设备和用户端同时实现。接下来,我们先来了解下网络设备(例如这里的交换机)的防御技术。

  上面这张图,展现的是交换机的ARP防御能力,当PC2发送ARP回应包时,交换机将其转发给PC1,而当PC3发送ARP回应包(欺骗)时,交换机直接丢弃。

  但是,人家PC3上脸上又没有写着"hacker",凭什么交换机要丢弃它的ARP回应包?凭什么判断它的包就是"欺骗"的呢?

  接下来,我就要给大家介绍下局域网安全里比较常用的防御技术,这种防御技术被称为DAI(Dynamic ARP Inspection)- 动态ARP检测,原理可以用两句话简单概括:

  ①交换机记录每个接口对应的IP地址和MAC,即port<->mac<->ip,生成DAI检测表;

  ②交换机检测每个接口发送过来的ARP回应包,根据DAI表判断是否违规,若违规则丢弃此数据包并对接口进行惩罚。

  我们知道,PC3是在交换机的Port3、MAC地址是MAC3,IP地址是IP3,所以本地DAI表项内容是。当交换机从接口Port3收到ARP回应包,内容却是IP2和MAC3映射,即。

  经判断,这个包就是虚假的欺骗包,交换机马上丢弃这个包,并且可以对接口做惩罚(不同设备的惩罚方式有所不同,可以直接将接口"软关闭",直接将攻击者断网;也可以"静默处理",仅丢弃欺骗包,其他通信正常)

  上面这个动态ARP监测技术,可以说是目前防御ARP攻击最有效的方法之一。但是,作为初学者,大家可能还会有疑问:

  ①一般的交换机或网络设备能部署动态ARP监测技术吗?

  ②连接用户的交换机,怎么能识别IP地址信息呢?

  ③上面这张DAI表是如何生成的?是不是像CAM表一样能自动识别?

  这里要给大家说个稍微悲伤一点的事实,大部分能支持这种动态ARP监测技术的交换机或者无线路由器,都基本是企业级的产品。即便是企业级交换机,具备局域网安全防御功能的设备,价格都要高出不少,所以很多中小型企业网或校园网,基本都愿意买"阉割版"网络接入产品,因为"能通就行",至于安全性怎样,这是另外要考虑的问题。

  所以,简单的交换机不具备动态ARP监测技术,即便市面上有带安全防御的网络产品,企业、学校、医院等大量网络,仍然在早期采购的时候,用的是比较基础版本的交换机。当然,随着网络与安全市场的激烈竞争和网络安全意识的增强,以后会越来越好。

  另外,交换机能识别IP地址信息吗?

  从现在的网络技术来看,分层界限越来越模糊,融合式的网络设备才是主流,现在的接入交换机基本能被Telnet/SSH/Web管理,更专业的交换机同时支持动态ARP监测(dai)、IP源防护(ipsg)、DHCP侦听(dhcp snooping)、端口安全、AAA、802.1x等局域网安全技术,已经超越了原有二层交换机的定义。

  所以,交换机能读三层甚至七层的数据包已经不是什么新鲜事了,不要被"交换机就是二层设备"给束缚了,这只是纸面上的定义。

  最后一个问题,DAI检测表是如何生成的?

  在上面图解中,我们看到交换机查看的表已经不是原来的CAM表了,内容也不太一样,CAM表的内容主要是MAC和Port的映射,而DAI检测表则是Port、MAC、IP三个信息映射。

  目前这张表支持两种方式来生成=>

  第一种方式就是手工静态绑定:即用户接入网络之后,管理员根据此用户电脑的MAC和IP地址,然后在接口上绑死,缺点就是用户数太多的话,手工绑定管不过来。

  第二种方式就是目前最主流的做法,即在交换机上开启DHCP侦听技术,当用户第一次通过DHCP获取到地址的时候,交换机就把用户电脑的IP、MAC、Port信息记录在DHCP侦听表,后面ARP检测直接调用这张DHCP侦听表即可。

  

中了arp攻击怎么办?如何破解arp攻击?

 

  关于中了arp攻击怎么办以及如何破解arp攻击就为大家介绍到这里,上面介绍的arp攻击破解方法都是目前比较常用的,如果您正在遭受arp攻击可以依照上面的方法进行尝试。如果自己无法解决,也可以向安全狗咨询技术支持,我们会安排专业的技术人员为您解决。