现在很多学校的校园网经常出现掉线、IP冲突、大面积断网等状况, 这些问题的根源都是ARP欺骗攻击的结果。 在没有ARP欺骗之前, 数据流向是:网关<—>本机;ARP欺骗之后, 数据流向是:网关<—>攻击者(“网管”)<—>本机, 本机与网关之间的所有通讯数据都将流经攻击者(“网管”), “任人宰割”就难免了。
ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址, 可以保障数据流向正确, 不经过第三者, 从而保证通讯数据安全、网络畅通、通讯数据不受第三者控制, 从而完美地解决问题。
使用ARP防火墙查杀ARP病毒的使用方法为:ARP拦截到本机外对的ARP攻击时, 点击进入显示详细数据的页面, PID即发送攻击数据的进程ID号, 双击此数据即可查看进程的详细信息。 或者选中数据后右击, 选择“查看进程详细信息”选项。
防御措施
ARP协议的安全漏洞来源于协议自身设计上的不足, ARP协议被设计成一种可信任协议, 缺乏合法性验证手段。 从网络管理的角度上分析, 主要的防御方法有:
1.不要把你的网络安全信任关系建立在IP基础上或MAC基础上, 理想的关系应该建立在IP+MAC基础上。 主机的IP→MAC地址对应表手工维护, 输入之后不再动态更新, 显然可以避免ARP攻击, 大多数三层交换机都支持这种方法。
2.设置静态ARP缓存。 采用静态缓存, 主机在与其他计算机通信时, 只要在自己的静态缓存中根据对方IP地址找到相应的MAC地址, 然后直接发送给对方。 攻击者若向主机发送ARP应答, 目标主机也不会刷新ARP缓存, 从而避免了ARP欺骗的发生。
3.关闭ARP动态更新功能。 除非很有必要, 否则停止使用ARP, 将ARP作为永久条目保存在对应表中。
4.使用ARP服务器。 即指定局域网内部的一台机器作为ARP服务器, 专门保存并且维护可信范围内的所有主机的IP地址与MAC地址映射记录。 该服务器通过查阅自己缓存的静态记录并以被查询主机的名义响应ARP局域网内部的请求。 确保这台ARP服务器不被黑。
5.使用“proxy”代理IP的传输。
6.使用硬件屏蔽主机。 设置好路由, 确保IP地址能到达合法的路径(静态配置路由ARP条目)。 注意, 使用交换集线器和网桥无法阻止ARP欺骗。
7.管理员定期用响应的IP包中获得一个rarp请求, 然后检查ARP响应的真实性。
8.管理员定期轮询, 检查主机上的ARP缓存。
9.使用防火墙连续监控网络。 注意有使用SNMP的情况下, ARP的欺骗有可能导致陷阱包丢失。
……