10、ARP的工作过程1主机A不知道主机B的MAC地址,以广播方式发出一个含有主机B的IP地址的ARP请求; (2网内所有主机受到ARP请求后,将自己的IP地址与请求中的IP地址相比较,仅有B做出ARP响应,其中含有 自己的MAC地址; (3主机A收到B的ARP响应,将该条IP-MAC映射记录写入ARP缓存中,接着进行通信。 11、ARP欺骗:计算机中维护着一个IP-MAC地址对应表,记录了IP地址和MAC地址之间的对应关系。该表将随着ARP请求及响应包不断更新。通过ARP欺骗,改变表里的对应关系,攻击者可以成为被攻击者与交换机之间的 “中间人” ,使交换式局域网中的所有数据包都流经自己主机的网卡,这样就可以像共享式局域网一样分析数据包了。 12、监听的防御:1通用策略:a、采用安全的网络拓扑结构,网络分段越细,嗅探器能够收集的信息就越少; b、数据加密技术:数据通道加密(SSH、SSL和VPN ;数据内容加密(PGP)。2共享网络下的防监听:检测处于混杂模式的网卡;检测网络通讯丢包率;检测网络带宽反常现象。3交换网络下的防监听:主要要防止ARP欺骗及ARP过载。交换网络下防范监听的措施主要包括:a.不要把网络 安全信任关系建立在单一的IP或MAC基础上,理想的关系应该建立在IP-MAC对应关系的基础上。b.使用静态的ARP或者IP-MAC对应表代替动态的ARP或者IP-MAC对应表,禁止自动更新,使用手动更新。c.定期检查ARP请求,使用ARP监视工具,例如ARPWatch等监视并探测ARP欺骗。d.制定良好的安全管理策略,加强用户安全意识。 |