服務(wù)器的ARP欺騙攻擊的防范     
    這些天我的服務(wù)器幾乎天天都被人ARP欺騙攻擊，網(wǎng)頁被掛木馬，實(shí)在煩死了，深圳的龍崗電信機(jī)房實(shí)在是夠惡心的，不得已，我只好尋找一些防范ARP攻擊的方法，目前發(fā)現(xiàn)可以使用靜態(tài)地址法和使用專用軟件的方法來防范ARP欺騙攻擊。

　　靜態(tài)地址法指的是，在本地服務(wù)器上，將路由器的MAC地址設(shè)置為靜態(tài)的方式來阻止別人對(duì)我的ARP攻擊，如果你也越到了類似的ARP欺騙攻擊，也可以參考這個(gè)方法進(jìn)行設(shè)置。

　　首先，找到路由器真實(shí)的MAC地址，在沒有被攻擊的條件下，輸入命令arp -a 網(wǎng)關(guān)的IP地址，就可以找到，其中Physical Address里就是網(wǎng)關(guān)MAC地址，顯示類似00-07-e9-0a-77-93，其類型Type通常為動(dòng)態(tài)dynamic。我們的目的是要將其設(shè)置為靜態(tài)static。

　　接著， 使用arp -d命令刪除目前的arp列表，再使用arp -s 網(wǎng)關(guān)IP地址 網(wǎng)關(guān)MAC地址，將其設(shè)置為靜態(tài)static。

　　這時(shí)候，系統(tǒng)的ARP就會(huì)變成靜態(tài)了，但是如果服務(wù)器重新啟動(dòng)，這些設(shè)置就消失了，因此，編輯一個(gè)BAT文件，內(nèi)容為以上的arp -s的內(nèi)容，將其加到“啟動(dòng)”菜單中，然后修改Windows注冊(cè)表使得Windows可以自動(dòng)登錄，這樣每次啟動(dòng)都會(huì)自動(dòng)設(shè)置靜態(tài)的ARP了。

　　如果感覺操作起來麻煩，或者使用上面的方法依舊無法阻止ARP攻擊，那么可以使用第二種方法，使用專門的ARP防火墻軟件來阻止別人的ARP攻擊。目前主要的ARP防火墻產(chǎn)品有免費(fèi)的奇虎360antiarp，其他大多都是收費(fèi)的ARP防火墻，根據(jù)我的使用感受，有一個(gè)叫antiarp的商用軟件功能還是比較豐富的，軟件價(jià)格是每臺(tái)服務(wù)器199元。在服務(wù)器上安裝這個(gè)軟件之后，除了可以自動(dòng)預(yù)防ARP攻擊之外，還可以使用這個(gè)ARP防火墻軟件查找出ARP攻擊者的IP地址。知道了攻擊者的IP地址后，大家就可以將其截圖后發(fā)給IDC機(jī)房，要求機(jī)房關(guān)閉那臺(tái)ARP服務(wù)器，通常情況下機(jī)房會(huì)關(guān)閉病毒服務(wù)器，如果機(jī)房不關(guān)閉服務(wù)器，那就去公安局報(bào)案，指控電信機(jī)房散布病毒。

　　對(duì)于那些托管服務(wù)器卻不做好安全設(shè)定的人，我勸他們先學(xué)好計(jì)算機(jī)知識(shí)后再托管服務(wù)器，否則以后肯定會(huì)吃大虧。對(duì)于那些主動(dòng)在服務(wù)器上使用arp病毒工具的人，我鄙視他們，祝他們好自為之。

　　附錄：ARP相關(guān)背景知識(shí)（來自欣向ARP工具）
　　ARP欺騙原理：
　　在局域網(wǎng)中，通信前必須通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址（即MAC地址）。ARP協(xié)議對(duì)網(wǎng)絡(luò)安全具有重要的意義，但是當(dāng)初ARP方式的設(shè)計(jì)沒有考慮到過多的安全問題，給ARP留下很多的隱患，ARP欺騙就是其中一個(gè)例子。而ARP欺騙攻擊就是利用該協(xié)議漏洞，通過偽造MAC地址實(shí)現(xiàn)ARP欺騙的攻擊
技術(shù)。 

　　在同一局域網(wǎng)內(nèi)的電腦都是通過MAC地址進(jìn)行通訊的。方法為，PC和另一臺(tái)設(shè)備通訊，PC會(huì)先尋找對(duì)方的IP地址，然后在通過ARP表（ARP表里面有所以可以通訊IP和IP所對(duì)應(yīng)的MAC地址）調(diào)出相應(yīng)的MAC地址。通過MAC地址與對(duì)方通訊。也就是說在內(nèi)網(wǎng)中各設(shè)備互相尋找和用來通訊的地址是MAC地址，而不是IP地址。

　　網(wǎng)內(nèi)的任何一臺(tái)機(jī)器都可以輕松的發(fā)送ARP廣播，來宣稱自己的IP和自己的MAC.這樣收到的機(jī)器都會(huì)在自己的ARP表格中建立一個(gè)他的ARP項(xiàng)，記錄他的IP和MAC地址。如果這個(gè)廣播是錯(cuò)誤的其他機(jī)器也會(huì)接受。有了這個(gè)方法欺騙者只需要做一個(gè)軟件，就可以在局域網(wǎng)內(nèi)進(jìn)行ARP欺騙攻擊了。

　　ARP的發(fā)現(xiàn)：

　　ARP的通病就是掉線，在掉線的基礎(chǔ)上可以通過以下幾種方式判別，
1.一般情況下不需要處理1分鐘之內(nèi)就可以回復(fù)正常上網(wǎng)。因?yàn)锳RP欺騙是由時(shí)限，過了期限就會(huì)自動(dòng)的回復(fù)正常。而且現(xiàn)在大多數(shù)路由器都會(huì)在很短時(shí)間內(nèi)不停廣播自己的正確ARP，使受騙的機(jī)器回復(fù)正常。但是如果出現(xiàn)攻擊性ARP欺騙（其實(shí)就是時(shí)間很短的量很大的欺騙ARP，1秒有個(gè)幾百上千的），他是不斷的通過非常大量ARP欺騙來阻止內(nèi)網(wǎng)機(jī)器上網(wǎng)，即使路由器不斷廣播正確的包也會(huì)被他大量的錯(cuò)誤信息給淹沒。
2.打開被騙機(jī)器的DOS界面，輸入ARP -A命令會(huì)看到相關(guān)的ARP表，通過看到的網(wǎng)關(guān)的MAC地址可以去判別是否出現(xiàn)ARP欺騙，但是由于時(shí)限性，這個(gè)工作必須在機(jī)器回復(fù)正常之前完成。如果出現(xiàn)欺騙問題，ARP表里面會(huì)出現(xiàn)錯(cuò)誤的網(wǎng)關(guān)MAC地址，和真實(shí)的網(wǎng)關(guān)MAC一對(duì)黑白立分。

最新評(píng)論