首先一点防arp攻击,ARP是只有二层MAC地址的广播包,如果有ARP攻击,也是连接在二层交换网络的主机所为,如果是企业网,也是内部员工干的,有时甚至是出问题的网卡触发的。这种ARP广播只要show interface summary 类似得命令,会看到每个接口 in/out unicast ,multicast ,broadcast 的统计,每10秒刷新一次,再 show一下就可以看到接口统计得变化,只要关心in方向的broadcast 增加最大得接口。那个接口就是肇事接口。如果是有线网络,如果交换机上有这个feature:arp inspection,可以很快发现这种行为,一般交换机接一个host,或host + IP电话,一个接口最多两个地址足够了,如果发现异常情况,可以直接触发error disable ,关掉接口。如果交换机下接Hub,可能会有多个主机,多个MAC,这种很难跟踪,因为HUB就是一个集线器,无从知道哪个端口发出来的。这个问题又牵扯到企业网的安全认证了,无论有线、无线,都需要认证,先802.1x认证,对应企业员工;MAC认证:打印机、不支持802.1x 的设备;web认证:临时访客,分配单独VLAN,分配最低权限,即只能访问Internet的权限。所有交换机、AP都启用这个安全认证,这样一旦发生攻击 可以很快定位某台交换机某个端口,可以找到惹事的个人,有证据在,不怕抵赖。
遭受ARP攻击,已拦截到底是什么意思啊?怎样阻止?
已成功拦截ARP攻击是指计算机拦截到了伪造IP地址和MAC地址实现ARP欺骗。 ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。 ARP攻击主要表现为:
1、局域网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp-d后,又可恢复上网。
2、个人电脑则表现在网速变慢,经常掉线,通讯信息被截取。 ARP攻击防御措施: 1、对于ARP的防御现在很多防火墙都已经集成这种功能,开启这项功能即可。 2、对于局域网来说最好的防止ARP攻击的办法就是使用“静态ARP”。
防范ARP攻击的最有效的方法是什么?
防护原理
防止ARP攻击是比较困难的,修改协议也是不大可能。但是有一些工作是可以提高本地网络的安全性。
首先,如果一个错误的记录被插入ARP或者IP route表,可以用两种方式来删除。
a. 使用arp –d host_entry
b. 自动过期,由系统删除
这样,可以采用以下的一些方法:
1). 减少过期时间
#ndd –set /dev/arp arp_cleanup_interval 60000
#ndd -set /dev/ip ip_ire_flush_interval 60000
60000=60000毫秒 默认是300000
加快过期时间,并不能避免攻击,但是使得攻击更加困难,带来的影响是在网络中会大量的出现ARP请求和回复,请不要在繁忙的网络上使用。
2). 建立静态ARP表
这是一种很有效的方法,而且对系统影响不大。缺点是破坏了动态ARP协议。可以建立如下的文件。
test. nsfocus .com 08:00:20:ba:a1:f2
user. nsfocus . com 08:00:20:ee:de:1f
使用arp –f filename加载进去,这样的ARP映射将不会过期和被新的ARP数据刷新,除非使用arp –d才能删除。但是一旦合法主机的网卡硬件地址改变,就必须手工刷新这个arp文件。这个方法,不适合于经常变动的网络环境。