怎么在局域网检测ARP的确良欺骗
\u5982\u4f55\u67e5\u770b\u5c40\u57df\u7f51\u5185\u662f\u5426\u6709arp\u653b\u51fb\u3001\u6b3a\u9a97\uff1f360\u53ef\u4ee5\u5417\uff1f\u53ef\u4ee5\u554a\uff0c360\u6709\u4e2aARP\u9632\u706b\u5899\u5427\uff0c\u5176\u5b9e\u73b0\u5728\u5f88\u591a\u68c0\u6d4bARP\u653b\u51fb\u7684\u5de5\u5177\uff0c\u4f60\u767e\u5ea6\u4e00\u4e0b\u4e00\u5927\u628a\u7684\uff0c\u73b0\u5728\u4e3b\u6d41\u7684\u9632\u706b\u5899\u4e5f\u90fd\u5e26\u8fd9\u4e2a\u529f\u80fd\uff0c\u63a8\u8350360\u5427\uff0c\u6bd5\u7adf\u514d\u8d39\u7684\uff0c\u54c8\u54c8
ARP\uff08Address Resolution Protocol\uff09\u662fTCP/IP\u534f\u8bae\u4e2d\u7528\u6765\u89e3\u6790\u7f51\u7edc\u8282\u70b9\u5730\u5740\u7684\u5e95\u5c42\u534f\u8bae\u3002\u7f51\u7edc\u4e2d\u6d41\u4f20\u7684ARP\u75c5\u6bd2\u6216\u6076\u610f\u8f6f\u4ef6\u5229\u7528ARP\u673a\u5236\u8fdb\u884c\u5730\u5740\u6b3a\u9a97\u3002\u6700\u5e38\u89c1\u7684ARP\u95ee\u9898\u53ef\u4ee5\u5206\u4e3a\u5982\u4e0b\u4e09\u79cd\u7c7b\u578b\uff1a
1) \u7f51\u5173\u6216\u670d\u52a1\u5668IP\u6b3a\u9a97\uff1a\u5229\u7528ARP\u673a\u5236\uff0c\u5192\u7528\u5c40\u57df\u7f51\u4e2d\u7684\u7f51\u5173\u6216\u5176\u4ed6\u670d\u52a1\u5668IP\u5730\u5740\uff0c\u628a\u6b63\u5e38\u5e94\u8be5\u4f20\u7ed9\u7f51\u5173\u6216\u670d\u52a1\u5668\u7684\u6570\u636e\u6d41\u5f15\u5411\u8fdb\u884cARP\u6b3a\u9a97\u7684\u8ba1\u7b97\u673a\uff0c\u4ece\u800c\u9020\u6210\u7f51\u7edc\u4e2d\u65ad\u6216\u65f6\u65ad\u65f6\u7eed\uff0c\u6216\u6570\u636e\u4e22\u5931\u3002
2) \u9690\u853d\u76d7\u7528IP\uff1a\u5229\u7528ARP\u673a\u5236\uff0c\u5728\u5bf9\u65b9\u4e0d\u77e5\u60c5\u7684\u60c5\u51b5\u4e0b\u76d7\u7528\u4ed6\u4ebaIP\uff0c\u8fdb\u884c\u6076\u610f\u7f51\u7edc\u6d3b\u52a8\uff0c\u7531\u6b64\u53ef\u8fdb\u884c\u5404\u79cd\u4fb5\u6743\u64cd\u4f5c\u3002
3) \u5f3a\u884c\u5360\u7528IP\uff1a\u5229\u7528ARP\u673a\u5236\uff0c\u653b\u51fb\u4ed6\u4ebaIP\uff0c\u6700\u7ec8\u8fbe\u5230\u5360\u7528\u4ed6\u4ebaIP\uff0c\u7531\u6b64\u8fdb\u884c\u5404\u79cd\u6076\u610f\u6216\u4fb5\u6743\u64cd\u4f5c\u3002
ARP\u514b\u661f\u5728\u5168\u7f51\u5185\u5efa\u7acb\u771f\u5b9e\u7684\u5730\u5740\u89e3\u6790\u8868\u5e76\u5206\u53d1\u5230\u6bcf\u4e00\u4e2a\u88ab\u7ba1\u7406\u7684\u7f51\u7edc\u8282\u70b9\u3002\u5728\u7f51\u5361\u9a71\u52a8\u5c42\u8fc7\u6ee4\u6bcf\u4e00\u4e2a\u6570\u636e\u5305\uff0c\u5b83\u4e0d\u4ec5\u80fd\u591f\u8bc6\u522b\u548c\u7981\u6b62ARP\u6b3a\u9a97\uff0c\u66f4\u80fd\u51c6\u786e\u7684\u5b9a\u4f4d\u54ea\u4e2aIP\u8282\u70b9\u3001\u8fdb\u7a0b\u548c\u767b\u5f55\u8d26\u53f7\u662fARP\u6b3a\u9a97\u7684\u6e90\u5934\uff0c\u4ece\u800c\u5f7b\u5e95\u89e3\u51b3ARP\u653b\u51fb\u7684\u95ee\u9898\u3002
\u667a\u80fd\u7f51\u5168\u2014\u2014ARP\u514b\u661f\u89e3\u51b3\u65b9\u6848\uff1a
1. \u62e6\u622aARP\u653b\u51fb\uff1a
A. \u5728\u7cfb\u7edf\u5185\u6838\u5c42\u62e6\u622a\u5916\u90e8\u865a\u5047ARP\u6570\u636e\u5305\uff0c\u4fdd\u969c\u7cfb\u7edf\u4e0d\u53d7ARP\u6b3a\u9a97\u3001ARP\u653b\u51fb\u5f71\u54cd\uff0c\u4fdd\u6301\u7f51\u7edc\u7545\u901a\u53ca\u901a\u8baf\u5b89\u5168\uff1b
B. \u5728\u7cfb\u7edf\u5185\u6838\u5c42\u62e6\u622a\u672c\u673a\u5bf9\u5916\u7684ARP\u653b\u51fb\u6570\u636e\u5305\uff0c\u4ee5\u51cf\u5c11\u611f\u67d3\u6076\u610f\u7a0b\u5e8f\u540e\u5bf9\u5916\u653b\u51fb\u7ed9\u7528\u6237\u5e26\u6765\u7684\u9ebb\u70e6\u3002
2. \u62e6\u622aIP\u51b2\u7a81\u3002\u5728\u7cfb\u7edf\u5185\u6838\u5c42\u62e6\u622aIP\u51b2\u7a81\u6570\u636e\u5305\uff0c\u4fdd\u969c\u7cfb\u7edf\u4e0d\u53d7IP\u51b2\u7a81\u653b\u51fb\u7684\u5f71\u54cd\uff1b
3. \u5b89\u5168\u6a21\u5f0f\u3002\u9664\u4e86\u7f51\u5173\u548c\u5b89\u88c5\u5ba2\u6237\u7aef\u63a5\u53d7\u4fdd\u62a4\u7684\u8282\u70b9\u5916\uff0c\u4e0d\u54cd\u5e94\u5176\u5b83\u673a\u5668\u53d1\u9001\u7684ARP Request\uff0c\u8fbe\u5230\u9690\u8eab\u6548\u679c\uff0c\u51cf\u5c11\u53d7\u5230ARP\u653b\u51fb\u7684\u51e0\u7387\uff1b
4. ARP\u6570\u636e\u5206\u6790\u3002\u5206\u6790\u672c\u673a\u63a5\u6536\u5230\u7684\u6240\u6709ARP\u6570\u636e\u5305\uff0c\u638c\u63e1\u7f51\u7edc\u52a8\u6001\uff0c\u627e\u51fa\u6f5c\u5728\u7684\u653b\u51fb\u8005\u6216\u4e2d\u6bd2\u7684\u673a\u5668\uff1b
5. \u8ffd\u8e2a\u653b\u51fb\u8005\u3002\u53d1\u73b0\u653b\u51fb\u884c\u4e3a\u540e\uff0c\u81ea\u52a8\u5feb\u901f\u9501\u5b9a\u653b\u51fb\u8005IP\u5730\u5740\uff1b
6. ARP\u75c5\u6bd2\u7cbe\u786e\u5b9a\u4f4d\u3002\u53d1\u73b0\u672c\u673a\u6709\u5bf9\u5916\u653b\u51fb\u884c\u4e3a\u65f6\uff0c\u81ea\u52a8\u5b9a\u4f4d\u672c\u673a\u611f\u67d3\u7684\u6076\u610f\u7a0b\u5e8f\u3001\u75c5\u6bd2\u7a0b\u5e8f\uff1b
7. ARP\u7f13\u5b58\u4fdd\u62a4\u3002\u9632\u6b62\u6076\u610f\u7a0b\u5e8f\u7be1\u6539\u672c\u673aARP\u7f13\u5b58\u3002
8. \u81ea\u8eab\u8fdb\u7a0b\u4fdd\u62a4\u3002\u9632\u6b62\u88ab\u6076\u610f\u8f6f\u4ef6\u7ec8\u6b62\u3002
\u7f51\u5740\uff1a
http://www.gscinfo.com.cn/ARPpro.jsp
http://www.gscinfo.com.cn/ARPpro.jsp
\u53c2\u8003 http://zhidao.baidu.com/question/34280155.html?si=10
\u522b\u6392\u9664\u662f\u75c5\u6bd2\u4e86
ARP\u75c5\u6bd2
ARP\u75c5\u6bd2
\u4f20\u5947\u5916\u6302\u643a\u5e26\u7684ARP\u6728\u9a6c\u653b\u51fb,\u5f53\u5c40\u57df\u7f51\u5185\u4f7f\u7528\u5916\u6302\u65f6\uff0c\u5916\u6302\u643a\u5e26\u7684\u75c5\u6bd2\u4f1a\u5c06\u8be5\u673a\u5668\u7684MAC\u5730\u5740\u6620\u5c04\u5230\u7f51\u5173\u7684IP\u5730\u5740\u4e0a\uff0c\u5411\u5c40\u57df\u7f51\u5185\u5927\u91cf\u53d1\u9001ARP\u5305\uff0c\u81f4\u540c\u4e00\u7f51\u6bb5\u5730\u5740\u5185\u7684\u5176\u5b83\u673a\u5668\u8bef\u5c06\u5176\u4f5c\u4e3a\u7f51\u5173\uff0c\u6389\u7ebf\u65f6\u5185\u7f51\u662f\u4e92\u901a\u7684\uff0c\u8ba1\u7b97\u673a\u5374\u4e0d\u80fd\u4e0a\u7f51\u3002\u65b9\u6cd5\u662f\u5728\u80fd\u4e0a\u7f51\u65f6\uff0c\u8fdb\u5165MS-DOS\u7a97\u53e3\uff0c\u8f93\u5165\u547d\u4ee4\uff1aarp \u2013a\u67e5\u770b\u7f51\u5173IP\u5bf9\u5e94\u7684\u6b63\u786eMAC\u5730\u5740\uff0c\u5c06\u5176\u8bb0\u5f55\uff0c\u5982\u679c\u5df2\u4e0d\u80fd\u4e0a\u7f51\uff0c\u5219\u5148\u8fd0\u884c\u4e00\u6b21\u547d\u4ee4arp \u2013d\u5c06arp\u7f13\u5b58\u4e2d\u7684\u5185\u5bb9\u5220\u7a7a\uff0c\u8ba1\u7b97\u673a\u53ef\u6682\u65f6\u6062\u590d\u4e0a\u7f51\uff0c\u4e00\u65e6\u80fd\u4e0a\u7f51\u5c31\u7acb\u5373\u5c06\u7f51\u7edc\u65ad\u6389\uff0c\u7981\u7528\u7f51\u5361\u6216\u62d4\u6389\u7f51\u7ebf\uff0c\u518d\u8fd0\u884carp \u2013a\u3002
\u5982\u5df2\u6709\u7f51\u5173\u7684\u6b63\u786eMAC\u5730\u5740\uff0c\u5728\u4e0d\u80fd\u4e0a\u7f51\u65f6\uff0c\u624b\u5de5\u5c06\u7f51\u5173IP\u548c\u6b63\u786eMAC\u7ed1\u5b9a\uff0c\u53ef\u786e\u4fdd\u8ba1\u7b97\u673a\u4e0d\u518d\u88ab\u653b\u51fb\u5f71\u54cd\u3002\u53ef\u5728MS-DOS\u7a97\u53e3\u4e0b\u8fd0\u884c\u4ee5\u4e0b\u547d\u4ee4\uff1aarp \u2013s \u7f51\u5173IP \u7f51\u5173MAC\u3002\u5982\u88ab\u653b\u51fb\uff0c\u7528\u8be5\u547d\u4ee4\u67e5\u770b\uff0c\u4f1a\u53d1\u73b0\u8be5MAC\u5df2\u7ecf\u88ab\u66ff\u6362\u6210\u653b\u51fb\u673a\u5668\u7684MAC\uff0c\u5c06\u8be5MAC\u8bb0\u5f55\uff0c\u4ee5\u5907\u67e5\u627e\u3002\u627e\u51fa\u75c5\u6bd2\u8ba1\u7b97\u673a\uff1a\u5982\u679c\u5df2\u6709\u75c5\u6bd2\u8ba1\u7b97\u673a\u7684MAC\u5730\u5740\uff0c\u53ef\u4f7f\u7528NBTSCAN\u8f6f\u4ef6\u627e\u51fa\u7f51\u6bb5\u5185\u4e0e\u8be5MAC\u5730\u5740\u5bf9\u5e94\u7684IP\uff0c\u5373\u75c5\u6bd2\u8ba1\u7b97\u673a\u7684IP\u5730\u5740\u3002
\u3007\u6545\u969c\u539f\u56e0
\u4e3b\u8981\u539f\u56e0\u662f\u5728\u5c40\u57df\u7f51\u4e2d\u6709\u4eba\u4f7f\u7528\u4e86ARP\u6b3a\u9a97\u7684\u6728\u9a6c\u7a0b\u5e8f,\u6bd4\u5982\u4e00\u4e9b\u76d7\u53f7\u7684\u8f6f\u4ef6\u3002
\u3007\u6545\u969c\u73b0\u8c61
\u5f53\u5c40\u57df\u7f51\u5185\u6709\u67d0\u53f0\u7535\u8111\u8fd0\u884c\u4e86\u6b64\u7c7bARP\u6b3a\u9a97\u7684\u6728\u9a6c\u7684\u65f6\u5019\uff0c\u5176\u4ed6\u7528\u6237\u539f\u6765\u76f4\u63a5\u901a\u8fc7\u8def\u7531\u5668\u4e0a\u7f51\u73b0\u5728\u8f6c\u7531\u901a\u8fc7\u75c5\u6bd2\u4e3b\u673a\u4e0a\u7f51\uff0c\u5207\u6362\u7684\u65f6\u5019\u7528\u6237\u4f1a\u65ad\u4e00\u6b21\u7ebf\u3002
\u5207\u6362\u5230\u75c5\u6bd2\u4e3b\u673a\u4e0a\u7f51\u540e\uff0c\u5982\u679c\u7528\u6237\u5df2\u7ecf\u767b\u9646\u4e86\u4f20\u5947\u670d\u52a1\u5668\uff0c\u90a3\u4e48\u75c5\u6bd2\u4e3b\u673a\u5c31\u4f1a\u7ecf\u5e38\u4f2a\u9020\u65ad\u7ebf\u7684\u5047\u50cf\uff0c\u90a3\u4e48\u7528\u6237\u5c31\u5f97\u91cd\u65b0\u767b\u5f55\u4f20\u5947\u670d\u52a1\u5668\uff0c\u8fd9\u6837\u75c5\u6bd2\u4e3b\u673a\u5c31\u53ef\u4ee5\u76d7\u53f7\u4e86\u3002
\u7531\u4e8eARP\u6b3a\u9a97\u7684\u6728\u9a6c\u53d1\u4f5c\u7684\u65f6\u5019\u4f1a\u53d1\u51fa\u5927\u91cf\u7684\u6570\u636e\u5305\u5bfc\u81f4\u5c40\u57df\u7f51\u901a\u8baf\u62e5\u585e\uff0c\u7528\u6237\u4f1a\u611f\u89c9\u4e0a\u7f51\u901f\u5ea6\u8d8a\u6765\u8d8a\u6162\u3002\u5f53\u6728\u9a6c\u7a0b\u5e8f\u505c\u6b62\u8fd0\u884c\u65f6\uff0c\u7528\u6237\u4f1a\u6062\u590d\u4ece\u8def\u7531\u5668\u4e0a\u7f51\uff0c\u5207\u6362\u4e2d\u7528\u6237\u4f1a\u518d\u65ad\u4e00\u6b21\u7ebf\u3002
\u3007\u89e3\u51b3\u601d\u8def
\u4e0d\u8981\u628a\u4f60\u7684\u7f51\u7edc\u5b89\u5168\u4fe1\u4efb\u5173\u7cfb\u5efa\u7acb\u5728IP\u57fa\u7840\u4e0a\u6216MAC\u57fa\u7840\u4e0a\u3002
\u8bbe\u7f6e\u9759\u6001\u7684MAC-->IP\u5bf9\u5e94\u8868\uff0c\u4e0d\u8981\u8ba9\u4e3b\u673a\u5237\u65b0\u4f60\u8bbe\u5b9a\u597d\u7684\u8f6c\u6362\u8868\u3002
\u9664\u975e\u5fc5\u8981\uff0c\u5426\u5219\u505c\u6b62ARP\u4f7f\u7528\uff0c\u628aARP\u505a\u4e3a\u6c38\u4e45\u6761\u76ee\u4fdd\u5b58\u5728\u5bf9\u5e94\u8868\u4e2d\u3002
\u4f7f\u7528ARP\u670d\u52a1\u5668\u3002\u786e\u4fdd\u8fd9\u53f0ARP\u670d\u52a1\u5668\u4e0d\u88ab\u9ed1\u3002
\u4f7f\u7528"proxy"\u4ee3\u7406IP\u4f20\u8f93\u3002
\u4f7f\u7528\u786c\u4ef6\u5c4f\u853d\u4e3b\u673a\u3002
\u5b9a\u671f\u7528\u54cd\u5e94\u7684IP\u5305\u4e2d\u83b7\u5f97\u4e00\u4e2ararp\u8bf7\u6c42\uff0c\u68c0\u67e5ARP\u54cd\u5e94\u7684\u771f\u5b9e\u6027\u3002
\u5b9a\u671f\u8f6e\u8be2\uff0c\u68c0\u67e5\u4e3b\u673a\u4e0a\u7684ARP
\u53c2\u8003\u8d44\u6599\uff1abba127d3abb9d8b4
包分析、另一种是直接到到三层交换机上查询ARP表,这两种方法各有优缺点,具体分析如下:
1、抓包分析
方法——使用抓包软件(如windump、sniffer pro等)在局域网内抓ARP的reply包,以windump为
例,使用windump -i 2 -n arp and host 192.168.0.1(192.168.0.1是您的网关地址)抓下来
的包我们只分析包含有reply字符的,格式如下:
18:25:15.706335 arp reply 192.168.0.1 is-at 00:07:ec:e1:c8:c3
如果最后的mac不是您网关的真实mac的话,那就说明有ARP欺骗存在,而这个mac就是那台进行
ARP欺骗主机的mac。
优点——简单易行,无需特别权限设置,所有用户都可以做,误判率较小!
缺点——必须在局域网内部(广播域内部)听包才有效。
2、三层交换机上查询ARP缓存表
方法——登陆局域网的上联三层交换机,并查看交换机的ARP缓存表(各种品牌的交换机命令有差异)
如果在ARP表中存在一个MAC对应多个端口(请注意是一个MAC对应多个端口,而不是一个端口上
存在多个MAC)的情况,那么就表明存在ARP欺骗攻击,而这个MAC就是欺骗主机的MAC。
优点——可以远程操作,无需到局域网内部,可以通过脚本来自动分析。
缺点——需要特殊权限,普通用户无法进行操作。
ARP欺骗的控制方法
1、主机静态绑定网关MAC
方法——使用arp命令静态绑定网关MAC,格式如下:
arp -s 网关IP 网关MAC
如果觉得每次手动输入比较复杂,您可以编写一个简单的批处理文件然后让它每次开机时自动运行,
批处理文件如下:
-----------------------------------
@echo off
echo "arp set"
arp -d
arp -s 网关IP 网关MAC
exit
------------------------------------
优点——简单易行,普通用户都能操作
缺点——只能单向绑定。需要跟网关绑定MAC结合使用。
2、网关使用IP+MAC绑定模式
方法——交换机启用静态ARP绑定功能,将用户的IP与MAC进行静态绑定,防止ARP欺骗发生。
优点——效果明显
缺点——操作复杂,工作量巨大。无法保证主机端不被欺骗,需要与主机端绑定网关MAC结合使用。
3、使用ARP服务器
方法——在局域网内架设ARP服务器,替代主机应答ARP包。
优点——效果明显
缺点——配置复杂,需要改变客户端设置。成本高,需要大量的服务器。
4、使用防ARP攻击的软件
方法——下载和使用防ARP攻击的软件,如ARPFix或者是AntiARP等。
优点——简单易行
缺点——需要用户端都安装,无法保证网关不被欺骗。
总结:因为ARP欺骗利用的是ARP协议本身的缺陷,所以到目前为止,我们依然没有一个十分有效
的方法去控制这种攻击。目前难点主要集中在网关交换机上,我们还没有找到一个很有效
的方法来防范网关上的ARP列表不被欺骗修改。所以当前最有效的办法还是迅速阻断这种攻击的来源。
这就要求能够快速检测到攻击并定位出攻击主机位置后加以处理.
绛旓細妫娴婣RP娆洪獥鏀诲嚮姣旇緝鏈夋晥鐨勬柟娉曚富瑕佹湁涓ょ锛涓绉嶆槸鍦ㄥ眬鍩熺綉鍐呴儴浣跨敤鎶撳寘杞欢杩涜鎶 鍖呭垎鏋愩佸彟涓绉嶆槸鐩存帴鍒板埌涓夊眰浜ゆ崲鏈轰笂鏌ヨARP琛锛岃繖涓ょ鏂规硶鍚勬湁浼樼己鐐癸紝鍏蜂綋鍒嗘瀽濡備笅锛1銆佹姄鍖呭垎鏋 鏂规硶鈥斺斾娇鐢ㄦ姄鍖呰蒋浠讹紙濡倃indump銆乻niffer pro绛夛級鍦ㄥ眬鍩熺綉鍐呮姄ARP鐨剅eply鍖咃紝浠indump涓 渚嬶紝浣跨敤windump -i 2 -...
