关于ARP攻击的防护措施

我们首先要知道以太网内主机通信是靠MAC地址来确定目标的.arp协议又称"地址解析协议",它负责通知电脑要连接的目标的地址,这里说的地址在以太网中就是MAC地址,简单说来就是通过IP地址来查询目标主机的MAC地址.一旦这个环节出错,我们就不能正常和目标主机进行通信,甚至使整个网络瘫痪.
      ARP的攻击主要有以下几种方式

一.简单的欺骗攻击
      这是比较常见的攻击,通过发送伪造的ARP包来欺骗路由和目标主机,让目标主机认为这是一个合法的主机.便完成了欺骗.这种欺骗多发生在同一网段内,因为路由不会把本网段的包向外转发,当然实现不同网段的攻击也有方法,便要通过ICMP协议来告诉[url=]路由器[/url]重新选择路由.

二.交换环境的嗅探
      在最初的小型局域网中我们使用HUB来进行互连,这是一种广播的方式,每个包都会经过网内的每台主机,通过使用软件,就可以嗅谈到整个局域网的数据.现在的网络多是交换环境,网络内数据的传输被锁定的特定目标.既已确定的目标通信主机.在ARP欺骗的基础之上,可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信.

三.MAC Flooding
      这是一个比较危险的攻击,可以溢出交换机的ARP表,使整个网络不能正常通信

四.基于ARP的DOS
      这是新出现的一种攻击方式,D.O.S又称拒绝服务攻击,当大量的连接请求被发送到一台主机时,由于主机的处理能力有限,不能为正常用户提供服务,便出现拒绝服务.这个过程中如果使用ARP来隐藏自己,在被攻击主机的日志上就不会出现真实的IP.攻击的同时,也不会影响到本机.

  防护方法:
      1.IP+MAC访问控制.
单纯依靠IP或MAC来建立信任关系是不安全,理想的安全关系建立在IP+MAC的基础上.这也是我们上网必须绑定IP和MAC的原因之一.

      2.静态ARP缓存表.
      每台主机都有一个临时存放IP-MAC的对应表ARP攻击就通过更改这个缓存来达到欺骗的目的,使用静态的ARP来绑定正确的MAC是一个有效的方法.在命令行下使用arp -a可以查看当前的ARP缓存表.以下是本机的ARP表
C:\Documents and Settings\cnqing>arp -a
Interface: 210.31.197.81 on Interface 0x1000003
Internet Address Physical Address Type
210.31.197.94 00-03-6b-7f-ed-02 dynamic
      其中"dynamic" 代表动态缓存,即收到一个相关ARP包就会修改这项.如果是个非法的含有不正确的网关的ARP包,这个表就会自动更改.这样我们就不能找到正确的网关MAC,就不能正常和其他主机通信.静态表的建立用ARP -S IP MAC.
      执行"arp -s 210.31.197.94 00-03-6b-7f-ed-02"后,我们再次查看ARP缓存表.
C:\Documents and Settings\cnqing>arp -a
Interface: 210.31.197.81 on Interface 0x1000003
Internet Address Physical Address Type
210.31.197.94 00-03-6b-7f-ed-02 static
      此时"TYPE"项变成了"static",静态类型.这个状态下,是不会在接受到ARP包时改变本地缓存的.从而有效的防止ARP攻击.静态的ARP条目在每次重启后都要消失需要重新设置.

     3.ARP 高速缓存超时设置
在ARP高速缓存中的表项一般都要设置超时值,缩短这个这个超时值可以有效的防止ARP表的溢出.

      4.主动查询
      在某个正常的时刻,做一个IP和MAC对应的数据库,以后定期检查当前的IP和MAC对应关系是否正常.定期检测交换机的流量列表,查看丢包率.
      ARP本身不会造成多大的危害,但是一旦被结合利用,其危险性就不可估量了.由于ARP本身的问题.使得防范ARP的攻击很棘手,经常查看当前的网络状态,监控流量对一个网管员来说是个很好的习惯，如果网吧的路由器本身不能够支持ARP防御功能，可以选择一台具有ARP防范功能的NatShell路由器，从而彻底解决ARP问题。

      NatShell[url=]路由器[/url]对ARP的病毒防御主要通过以下几种手段解决：
1、    主动广播正确的网关地址，有很多[url=]路由器[/url]一接到网络上，就无法正常访问，这种情况一般是因为内网中有一台机器在伪造网关，不信的向内网其他机器发送虚假网关信息，NatShell路由器支持广播正确网关地址的功能，只需勾取此功能，即可对以上第一种ARP欺骗进行防范。
2、    提供IP地址和MAC地址双向绑定的功能，双向绑定能够彻底解决ARP病毒欺骗的问题。目前在市面上宣      传有此功能的厂家不少，但是在实际测试过程中发现一般有以下几个问题：
1）    有些品牌的路由器不提供自动扫描功能，这样需使用其他软件扫描后，再将对应的IP／MAC绑定表复制到路由器中，操作起来非常麻烦，且容易出错，一般人员无法进行。2）    有些品牌的路由器产品虽然提供了自动扫描功能，但其对所扫描的MAC地址不做判断，导致所扫描出来的MAC地址本身就有很多是重复的，同样解决不了ARP欺骗的问题。
3）    一般的路由器在做双向绑定到100条左右路由器就会崩溃，出现频繁的掉线，重启等现象，这是因为软件算法不同造成的，而NatShell的[url=]路由器[/url]在实际工作中绑定了300条以上照样非常稳定的工作。
3、    病毒隔离功能。常见的宽带[url=]路由器[/url]并无此防范功能，NatShell的“病毒隔离”智能将内网“中毒”主机自动进行隔离免疫，有效的防止“一台机器中毒，整个网络遭殃”的局面出现。
4、    内网广播风暴抑制，synFlooding，UDPFlooding的防御，外网的synFlooding、DDOS攻击防御
5、    使用NatShell路由器，支持自动扫描，并且能够对扫描的MAC地址进行判断，不会出现误扫的情况，因为NatShell路由器软件算法优秀，在实际使用过程中，绑定到300个以上的IP／MAC地址，同时做了300个以上的主机流控，仍然非常稳定的运行。
  综上所述，使用NatShell路由器，能够完全彻底的解决因为ARP问题所带来的“掉线问题。

要多少字要多少字。。。