戰(zhàn)術(shù)攻防之近距離搏擊篇(ARP)攻擊(6)

對于局域網(wǎng)絡(luò)的欺騙攻擊隱秘性的攻擊行為，如何才能保證信息的相對安全和隱私權(quán)的私屬性呢？經(jīng)過ARP欺騙攻擊行為的分析，如下措施可以較好的抵御這種可恥的偷竊行為。

1、 在本地計(jì)算機(jī)使用靜態(tài)ARP映像記錄，特別本地網(wǎng)關(guān)記錄應(yīng)該是靜態(tài)的。使用arp -s添加靜態(tài)映射列表。抑制ARP的幻存中毒更新。(但對于大型網(wǎng)絡(luò)，維護(hù)這樣的MAC/IP表使非常困難的，如果某臺機(jī)器的網(wǎng)卡壞了，調(diào)整MAC/IP的映射是及其煩瑣的)

2、 使用反向ARP解析，找出同一MAC地址IP的來源(即使用RARP反向解析MAC為IP地址)。

3、 在交換機(jī)中使用Port/Mac的綁定功能，比如使能Port Security特性，每個(gè)端口只允許一個(gè)MAC映射，防止多個(gè)MAC地址對一個(gè)交換端口的映射，從而減少嗅嘆的可能性。

4、使用ARPWATCH工具監(jiān)測IP/MAC地址表的變化。其記錄日志于/var/log/messages，形式為：

Sep 1 16:26:04 hostB arpwatch: changed ethernet address 192.168.1.3
04.04.04.04.04.04 (03.03.03.03.03.03)

表示MAC從原來的03.03.03.03.03.03變更為04.04.04.04.04.04，這意味著ARP攻擊的征兆，需要引起高度注意。

5、 避免使用DHCP服務(wù)器進(jìn)行網(wǎng)絡(luò)的動(dòng)態(tài)分址管理，因?yàn)樵谶@樣的環(huán)境中使用ARP欺騙攻擊是很難被發(fā)現(xiàn)的。

6、 在基于安全會話的通信過程中，不要使用有安全漏洞的軟件。

7、 安裝snort入侵檢測系統(tǒng)，通過使用arp欺騙預(yù)處理器偵測欺騙行為并發(fā)送郵件警告通知arp/ip的改變。

8、尋找Arp攻擊主機(jī)，以Redhat為例：

nmap -sP {your local network}
arp -an | awk '{print $2 $4}' | sort | uniq -c | grep -v '1'

在DNS記錄中查看其主機(jī)地址找出攻擊者，制止攻擊行為。

六、 小結(jié)

使用ARP協(xié)議漏洞所產(chǎn)生的攻擊方式是非常隱蔽的，這種攻擊所造成的危害卻是非常巨大的，任何在網(wǎng)絡(luò)流通的數(shù)據(jù)資料將被攻擊者一覽無余，而受害者卻可能根本不知道自己已經(jīng)受到了嚴(yán)重的窺視。由于協(xié)議而使網(wǎng)絡(luò)本身具有的脆弱性，因此在時(shí)刻警惕網(wǎng)絡(luò)的同時(shí)，最全面的做法在于改進(jìn)協(xié)議的安全特性并不斷提高人的修養(yǎng)素質(zhì)，使網(wǎng)絡(luò)的文明升級為一個(gè)資源共享，信息自由和尊重隱私的時(shí)代    

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]