本帖最后由 莫冷 于 2022-9-26 07:19 编辑
哈喽,大家好,纯洁的小莫冷又来给大家科普啦 今天给大家带来的是ARP欺骗原理及防护手段
以下是百度百科内容ARP欺骗(ARP spoofing),又称ARP毒化(ARP poisoning,网络上多译为ARP病毒)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网络上特定计算机或所有计算机无法正常连线。最早探讨ARP欺骗的文章是由Yuri Volobuev所写的《ARP与ICMP转向游戏》(ARPand ICMP redirection games)。
跟大家谈谈我的理解吧,在我看来,ARP欺骗的目的其实很简单,就是发送大量的网关地址与自身MAC的广播包,让终端误以为此物理地址就是网关的真实地址,以此来达到欺骗的效果,ARP欺骗不仅仅是破坏网络,同时还可以达到窃取数据,监听数据等,只要是网络流量它都可以监听到。
而ARP欺骗的防御方式有以下几种 1. 终端&网关双向绑定
即终端绑定网关的MAC地址,网关同时绑定终端的MAC地址,此方式最为有效,可以说100%防御ARP攻击,但是终端太多的网络中绑定特别吃力 2. AF做网关开启ARP防御
AF是有ARP防御选项的,开启后可以定期发送ARP广播以便终端可以学习到真实的网关物理地址,但是此方法仅能够在AF作为网关时使用,若AF不是网关则无效果。
3. 交换机开启DHCP Snooping,结合DAI或者 IPSG实现ARP欺骗防御
此方式主要是利用DHCP Snooping的绑定表来防御ARP欺骗的,当设备收到ARP报文时,将此ARP报文对应的源IP,源MAC,VLAN以及接口信息和绑定表的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该报文
使能了DHCP Snooping的设备将用户(DHCP客户端)的DHCP请求报文通过信任接口发送给合法的DHCP服务器。之后设备根据DHCP服务器回应的DHCP ACK报文信息生成DHCP Snooping绑定表。后续设备再从使能了DHCP Snooping的接口接收用户发来的DHCP报文时,会进行匹配检查,能够有效防范非法用户的攻击。
好了,今天的分享就到这里了,走过路过不要错过,点个赞再走呗。 |