小心哦!校園有沒有潛伏arp 攻擊黑客?
相信大多數大學生在用校園網路的時候,都會遇到突然斷網,或者網速異常緩慢的問題,更甚者,電腦會自己下載一些流氓軟體和遊戲。可能大多數人都只是抱怨一下「網路真渣」,但小心哦,你可能被ARP攻擊了!
在介紹ARP攻擊之前呢,先帶大家了解一下什麼是arp?
一、ARP簡介:
地址解析協議,即ARP(Address Resolution Protocol),是根據IP地址獲取物理地址的一個TCP/IP協議。主機發送信息時將包含目標IP地址的ARP請求廣播到網路上的所有主機,並接收返回消息,以此確定目標的物理地址;收到返回消息後將該IP地址和物理地址存入本機ARP緩存中並保留一定時間,下次請求時直接查詢ARP緩存以節約資源。
如圖:PC1(192.168.1.1)想要ping PC2(192.168.1.2),數據要完成數據封裝,網路層打包,封裝源IP(自己的IP地址),目的IP(即ping 後面加的目的IP地址,pc1也是直接知道的),完成封裝。再到鏈路層,封裝源Mac(pc1自己的Mac),目的Mac(pc2的Mac地址)。問題來了,pc1並不知道pc2的Mac地址,完成不了鏈路層封裝,怎麼辦呢?
這時候pc1會廣播arp-request請求報文,去詢問192.168.1.2的mac地址;192.168.1.2 接收之後,會回復arp-reply 回應報文,回復自己的Mac地址信息。這就是arp的作用!
PC連網後可以在cmd里用 「arp -a」命令查看本機學習到的arp緩存表。
二、ARP欺騙攻擊
圖2-1
ARP欺騙攻擊建立在區域網主機間相互信任的基礎上的。
當A發廣播詢問:我想知道IP是192.168.0.3的硬體地址是多少?此時B當然會回話:我是IP 192.168.0.3我的硬體地址是mac-b,可是此時IP地址是192.168.0.4的C也非法回應:我是IP 192.168.0.3,我的硬體地址是mac-c。而且是大量的。所以A就會誤信192.168.0.3的硬體地址是mac-c,而且動態更新自己本地緩存表。這樣主機C就劫持了主機A發送給主機B的數據,這就是ARP欺騙的過程。
假如C直接冒充網關,此時主機C會不停的發送ARP欺騙廣播,大聲說:我的IP是192.168.0.1,我的硬體地址是mac-c,此時區域網內所有主機都被欺騙,更改自己的緩存表,此時C將會監聽到整個區域網發送給互聯網的數據報文。
Arp欺騙攻擊時會導致間接性斷網和網速過慢等問題,一但攻擊成功,用戶的數據流量會被控制,數據通信也會被黑客竊取,包括個人重要的賬號和密碼信息! 更甚者,現在的arp攻擊都會攜帶一些病毒和木馬,給用戶系統造成嚴重威脅!
圖2-2
三、 ARP欺騙攻擊的防禦
1.ARP雙向綁定
在pc端上 IP+mac 綁定
在網路設備(交換路由)上 採用ip+mac+埠綁定
網關也進行IP和mac的靜態綁定
2.採用支持ARP過濾的防火牆
3.建立DHCP伺服器
ARP攻擊一般先攻擊網關,將DHCP伺服器建立在網關上
4.劃分安全區域
ARP廣播包是不能跨子網或網段傳播的,網段可以隔離廣播包。VLAN就是一個邏輯廣播域,通過VLAN技術可以在區域網中創建多個子網,就在區域網中隔離了廣播,縮小感染範圍。但是,安全域劃分太細會使區域網的管理和資源共享不方便。
※Linux進程管理的相關命令
※華為交換機配置通過VPN實例轉發流量
TAG:王海軍老師 |