在局域網內,ARP***依然佔有很高比例。衆所周知,ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的順利進行。ARP協議的基礎就是信任局域網內所有的人,那麼就很容易實現在以太網上的ARP欺騙。更何況ARP協議是工作在更低於IP協議的協議層,因此它的危害就更加隱蔽。
ARP類型的***最早用於盜取密碼之用,網內中毒電腦可以僞裝成路由器,盜取用戶的密碼, 後來發展成內藏於軟件,擾亂其他局域網用戶正常的網絡通信。
作爲網管的你可能會有此經歷——網絡頻繁掉線,速度變慢,你對此卻無從下手。這可能就是網絡遭受ARP***表現,下面介紹五種簡單方法幫助你快速解決之。
第一、建立MAC數據庫,把網吧內所有網卡的MAC地址記錄下來,每個MAC和IP、地理位置統統裝入數據庫,以便及時查詢備案。
第二、建立DHCP服務器(建議建在網關上,因爲DHCP不佔用多少CPU,而且ARP欺騙***一般總是先***網關,我們就是要讓他先***網關,因爲網關這裏有監控程序的,網關地址建議選擇192.168.10.2 ,把192.168.10.1留空,如果犯罪程序愚蠢的話讓他去***空地址吧),另外所有客戶機的IP地址及其相關主機信息,只能由網關這裏取得,網關這裏開通DHCP服務,但是要給每個網卡,綁定固定唯一IP地址。一定要保持網內的機器IP/MAC一一對應的關係。這樣客戶機雖然是DHCP取地址,但每次開機的IP地址都是一樣的。
第三、網關監聽網絡安全。網關上面使用TCPDUMP程序截取每個ARP程序包,弄一個腳本分析軟件分析這些ARP協議。ARP欺騙***的包一般有以下兩個特點,滿足之一可視爲***包報警:第一以太網數據包頭的源地址、目標地址和ARP數據包的協議地址不匹配。或者,ARP數據包的發送和目標地址不在自己網絡網卡MAC數據庫內,或者與自己網絡MAC數據庫 MAC/IP 不匹配。這些統統第一時間報警,查這些數據包(以太網數據包)的源地址(也有可能僞造),就大致知道那臺機器在發起***了。
第四、網關機器關閉ARP動態刷新的過程,使用靜態路由,這樣的話,即使犯罪嫌疑人使用ARP欺騙***網關的話,這樣對網關也是沒有用的,確保主機安全。
網關建立靜態IP/MAC捆綁的方法是:建立/etc/ethers文件,其中包含正確的IP/MAC對應關係,格式如下:
192.168.2.32 08:00:4E:B0:24:47
然後再/etc/rc.d/rc.local
最後添加:arp -f
生效即可
第五、偷偷摸摸的走到那臺機器,看看使用人是否故意,還是被任放了什麼***程序陷害的。如果後者,不聲不響的找個藉口支開他,拔掉網線(不關機,特別要看看Win98裏的計劃任務),看看機器的當前使用記錄和運行情況,確定是否是在***。
第六、使用防護軟件。ARP防火牆採用系統內核層攔截技術和主動防禦技術,包含六大功能模塊可解決大部分欺騙、ARP***帶來的問題,從而保證通訊安全(保障通訊數據不被網管軟件/惡意軟件監聽和控制)、保證網絡暢通。
第七、具有ARP防護功能的網絡設備。由於ARP形式的***而引發的網絡問題是目前網絡管理,特別是局域網管理中最讓人頭疼的***,他的***技術含量低,隨便一個人都可以通過***軟件來完成ARP欺騙***,同時防範ARP形式的***也沒有什麼特別有效的方法。
目前只能通過被動的亡羊補牢形式的措施了,本文介紹的方法希望對大家有所幫助。