关于arp欺骗原理及防范(原创)
最近不少朋友及客户的服务器遇到arp欺骗攻击,造成站点被挂木马.由于是采用ARP技术欺骗,所以主机并没入侵,在服务器里查看网页源码也
是没任何挂马代码,但是网站在访问时候却全部被挂马!
开始我也不懂这就是网络传说中的ARP欺骗,后来查了下资料才知道这
就是ARP欺骗.ARP欺骗我们要先从ARP工作原理讲起.
我们先熟悉下ARP,大学计算机网络基础课学过,ARP就是地址解析协议.
OSI参考模型里将整个网络通信的功能划分为七个层次.由低到高分别是:
物理层、链路层、网络层、传输层、会议层、表示层、应用层.第四层到
第七层主要负责互操作性,第一层到三层则用于创造两个网络设备间的物
理连接.
而ARP欺骗就是一种用于会话劫持攻击中的常见手法。地址解析协议(ARP)
利用第2层物理MAC地址来映射第3层逻辑IP地址,如果设备知道了IP地址,
但不知道被请求主机的MAC地址,它就会发送ARP请求。ARP请求通常以广播
形式发送,以便所有主机都能收到.
在电信一般接终端的交换机都是2层交换机,交换原理是通过ip寻找对应
的mac网卡地址,由于TCP/IP协议决定了只会通过mac寻址到对应的交换机的
物理端口,所以才会遭到arp欺骗攻击.
现在我们做下比方,更能形象点解释ARP欺骗过程及原理:
[color=magenta] 假设有肉鸡A,被ARP欺骗的主机B。肉鸡A不断告诉主机B它是网关,结果
主机B也认为它是网关,于是把连接数据发送给它.肉鸡A再做一个连接的角色,
把主机B的信息包加上木马发到真正的网关,结果用户得到的信息都是带了木
马的网页,而主机B本身没木马.[/color]
目前IDC机房可以将类似思科2950及华为3026之类以上的交换机并启动ARP
广播屏蔽功能的话,应该可以阻止ARP欺骗.
另外,我们根据解析协议(ARP)的工作原理,将网关IP和MAC地址绑定成静态
不可修改,这样就不会出现arp欺骗了,因为地址解析协议(ARP)是利用第2层物
理MAC地址来映射第3层逻辑IP地址,也就是mac寻址来实现的.当然在我们每一个
主机上也要绑定网关的mac和ip,命令很简单,
如: arp -s 58.66.176.29 00-aa-00-62-c6-09
关于arp欺骗原理及防范就先写到这吧,我本人是从事网络服务器安全的,对
计算机网络物理工作原理了解并不多,只是大学课本学过点,所以写这篇文章时
查了不少资料,期待高手们的指正及讲解!
[[i] 本帖最后由 晨曦旋风 于 2007-4-13 22:40 编辑 [/i]] 如何防止ARP欺骗呢?
1、不要把你的网络安全信任关系建立在ip基础上或mac基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在ip+mac基础上。
2、设置静态的mac-->ip对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
5、使用"proxy"代理ip的传输。
6、使用硬件屏蔽主机。设置好你的路由,确保ip地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的ip包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢
失。
如果是网页被加恶意代码,就依个删除代码
如果是iis加载不明dll,就卸载
还有就是系统中毒,要升级病毒库后查杀病毒,
如果您重做系统后,问题依然存在
落伍兄弟请联系QQ:1624110 负责协助解决
页:
[1]