服務器的ARP欺騙攻擊的防范的兩種解決方法

更新時間：2008年01月10日 11:59:11 作者：

服務器的ARP欺騙攻擊的防范
這些天我的服務器幾乎天天都被人ARP欺騙攻擊，網(wǎng)頁被掛木馬，實在煩死了，深圳的龍崗電信機房實在是夠惡心的，不得已，我只好尋找一些防范ARP攻擊的方法，目前發(fā)現(xiàn)可以使用靜態(tài)地址法和使用專用軟件的方法來防范ARP欺騙攻擊。

　　靜態(tài)地址法指的是，在本地服務器上，將路由器的MAC地址設(shè)置為靜態(tài)的方式來阻止別人對我的ARP攻擊，如果你也越到了類似的ARP欺騙攻擊，也可以參考這個方法進行設(shè)置。

　　首先，找到路由器真實的MAC地址，在沒有被攻擊的條件下，輸入命令arp -a 網(wǎng)關(guān)的IP地址，就可以找到，其中Physical Address里就是網(wǎng)關(guān)MAC地址，顯示類似00-07-e9-0a-77-93，其類型Type通常為動態(tài)dynamic。我們的目的是要將其設(shè)置為靜態(tài)static。

　　接著，使用arp -d命令刪除目前的arp列表，再使用arp -s 網(wǎng)關(guān)IP地址網(wǎng)關(guān)MAC地址，將其設(shè)置為靜態(tài)static。

　　這時候，系統(tǒng)的ARP就會變成靜態(tài)了，但是如果服務器重新啟動，這些設(shè)置就消失了，因此，編輯一個BAT文件，內(nèi)容為以上的arp -s的內(nèi)容，將其加到“啟動”菜單中，然后修改Windows注冊表使得Windows可以自動登錄，這樣每次啟動都會自動設(shè)置靜態(tài)的ARP了。

　　如果感覺操作起來麻煩，或者使用上面的方法依舊無法阻止ARP攻擊，那么可以使用第二種方法，使用專門的ARP防火墻軟件來阻止別人的ARP攻擊。目前主要的ARP防火墻產(chǎn)品有免費的奇虎360antiarp，其他大多都是收費的ARP防火墻，根據(jù)我的使用感受，有一個叫antiarp的商用軟件功能還是比較豐富的，軟件價格是每臺服務器199元。在服務器上安裝這個軟件之后，除了可以自動預防ARP攻擊之外，還可以使用這個ARP防火墻軟件查找出ARP攻擊者的IP地址。知道了攻擊者的IP地址后，大家就可以將其截圖后發(fā)給IDC機房，要求機房關(guān)閉那臺ARP服務器，通常情況下機房會關(guān)閉病毒服務器，如果機房不關(guān)閉服務器，那就去公安局報案，指控電信機房散布病毒。

　　對于那些托管服務器卻不做好安全設(shè)定的人，我勸他們先學好計算機知識后再托管服務器，否則以后肯定會吃大虧。對于那些主動在服務器上使用arp病毒工具的人，我鄙視他們，祝他們好自為之。

　　附錄：ARP相關(guān)背景知識（來自欣向ARP工具）
　　ARP欺騙原理：
　　在局域網(wǎng)中，通信前必須通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址（即MAC地址）。ARP協(xié)議對網(wǎng)絡(luò)安全具有重要的意義，但是當初ARP方式的設(shè)計沒有考慮到過多的安全問題，給ARP留下很多的隱患，ARP欺騙就是其中一個例子。而ARP欺騙攻擊就是利用該協(xié)議漏洞，通過偽造MAC地址實現(xiàn)ARP欺騙的攻擊
技術(shù)。

　　在同一局域網(wǎng)內(nèi)的電腦都是通過MAC地址進行通訊的。方法為，PC和另一臺設(shè)備通訊，PC會先尋找對方的IP地址，然后在通過ARP表（ARP表里面有所以可以通訊IP和IP所對應的MAC地址）調(diào)出相應的MAC地址。通過MAC地址與對方通訊。也就是說在內(nèi)網(wǎng)中各設(shè)備互相尋找和用來通訊的地址是MAC地址，而不是IP地址。

　　網(wǎng)內(nèi)的任何一臺機器都可以輕松的發(fā)送ARP廣播，來宣稱自己的IP和自己的MAC.這樣收到的機器都會在自己的ARP表格中建立一個他的ARP項，記錄他的IP和MAC地址。如果這個廣播是錯誤的其他機器也會接受。有了這個方法欺騙者只需要做一個軟件，就可以在局域網(wǎng)內(nèi)進行ARP欺騙攻擊了。

　　ARP的發(fā)現(xiàn)：

　　ARP的通病就是掉線，在掉線的基礎(chǔ)上可以通過以下幾種方式判別，
1.一般情況下不需要處理1分鐘之內(nèi)就可以回復正常上網(wǎng)。因為ARP欺騙是由時限，過了期限就會自動的回復正常。而且現(xiàn)在大多數(shù)路由器都會在很短時間內(nèi)不停廣播自己的正確ARP，使受騙的機器回復正常。但是如果出現(xiàn)攻擊性ARP欺騙（其實就是時間很短的量很大的欺騙ARP，1秒有個幾百上千的），他是不斷的通過非常大量ARP欺騙來阻止內(nèi)網(wǎng)機器上網(wǎng)，即使路由器不斷廣播正確的包也會被他大量的錯誤信息給淹沒。
2.打開被騙機器的DOS界面，輸入ARP -A命令會看到相關(guān)的ARP表，通過看到的網(wǎng)關(guān)的MAC地址可以去判別是否出現(xiàn)ARP欺騙，但是由于時限性，這個工作必須在機器回復正常之前完成。如果出現(xiàn)欺騙問題，ARP表里面會出現(xiàn)錯誤的網(wǎng)關(guān)MAC地址，和真實的網(wǎng)關(guān)MAC一對黑白立分。

您可能感興趣的文章: