如何防御arp欺骗攻击

神州数码网络公司客户服务中心

ARP欺骗与防御手段

神州数码网络公司

第1页，共15页

神州数码网络公司客户服务中心

目 录

1. ARP欺骗 .................................................................................................................................. 3

1.1. ARP协议工作原理 ...................................................................................................... 3 1.2. ARP协议的缺陷 .......................................................................................................... 3 1.3. ARP协议报文格式 ..............................................................

如何防止arp攻击ARP断网攻击故障

症状：局域网内电脑大面积不能上网，QQ出现掉线

症状解析：这是最常见的ARP病毒攻击方式，如今许多病毒都会利用这种ARP攻击方式影响局域网，例如机器狗病毒等，一旦局域网内有机器被感染后，部分电脑就会出现无法正常上网的情况，而且打开网页时断时续。

局域网内传输文件断断续续无法完成，并出现错误；多台电脑的QQ、MSN等即时通讯工具连续掉线；使用ARP查询的时候会发现不正常的MAC地址，或者是错误的MAC地址，还有就是一个MAC地址对应多个IP地址的情况也会出现。

出现这种情况就是因为ARP病毒在进行欺骗。我们举一个形象的例子：有5只螃蟹，其中2号螃蟹通过电话向企鹅订阅了报纸，企鹅告诉负责交换运输货物的骡子，将货物送到2号螃蟹家。 企鹅给了负责运货的骡子一份家庭地址列表，但是跟2号螃蟹住在一起的5号螃蟹由于感染了ARP病毒，于是它稀里糊涂打电话给骡子说，2号螃蟹的家庭地址已经修改了，这样原本应该送到2号螃蟹家的报纸被骡子送给了冒充螃蟹的松鼠，而2号螃蟹此时还在苦苦等待，看不到报纸。 ARP挂马故障

症状：访问各种网站杀毒软件均提示有病毒

症状解析：出现这种状况通常是局域网内有电脑被黑客入侵，黑客会通过恶意ARP欺骗工

arp攻击原理及防范

arp攻击原理及防范

(2011-03-11 18:02:02)
标签： 网络安全 分类： 计算机类
地址解析协议


基本功能
　　在以太网协议中规定，同一局域网中的一台主机要和另一台主机进行直接通信，必须要知道目标主机的MAC地址。而在TCP/IP协议栈中，网络层和传输层只关心目标主机的IP地址。这就导致在以太网中使用IP协议时，数据链路层的以太网协议接到上层IP协议提供的数据中，只包含目的主机的IP地址。于是需要一种方法，根据目的主机的IP地址，获得其MAC地址。这就是ARP协议要做的事情。所谓地址解析（address
resolution）就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。


　　另外，当发送主机和目的主机不在同一个局域网中时，即便知道目的主机的MAC地址，两者也不能直接通信，必须经过路由转发才可以。所以此时，发送主机通过ARP协议获得的将不是目的主机的真实MAC地址，而是一台可以通往局域网外的路由器的某个端口的MAC地址。于是此后发送主机发往目的主机的所有帧，都将发往该路由器，通过它向外发送。这种情况称为ARP代理（ARP
Proxy）。


工作原理
　　在每台安装有TCP/IP协议的电脑里都有一个ARP缓存

教你使用Anti ARP Sniffer查找ARP攻击者2008-06-09 11:09很多企业网管人员都痛恨ARP攻击，原因是他们需要经常奔波在解决问题于排查问题之间，很多时候都无可奈何。本文介绍了一款第三方ARP防御软件：Anti ARP Sniffer的详细使用方法，希望本文对各位网络管理人员和51CTO广大网友有所帮助。

最近经常接到用户电话抱怨，上网时断时续，反映有时系统还会提示连接受限、根本就无法获得IP，网关交换机无法ping通，而指示灯状态正常。重启交换机后客户机可以上网，但很快又涛声依旧！严重影响了企业网络正常使用，还有可能造成经济损失。

根据用户描述的情形和我们多次处理的经验，可以肯定是ARP攻击（ARP欺骗）所致。知道了问题所在，但如何解决呢？

虽然可以采用在交换机绑定MAC地址和端口、在客户机绑定网关IP和MAC地址的“双绑”办法预防，但由于网管的工作量太大，且不能保证所有的用户都在自己的电脑上绑定网关IP和MAC地址，所以我们采取以下措施来预防和查找ARP攻击。

这里推荐用户在自己的电脑上安装第三方工具软件：ColorSoft开发的ARP防火墙（原名Anti ARP Sniffer）。该软件最大的特点是在系统

IP源地址欺骗攻击

一、概述

IP源地址欺骗：

? 伪造具有虚假源地址的IP数据包进行发送 ? 目的：隐藏攻击者身份、假冒其他计算机

IP源地址欺骗原理：

? 路由转发只是用目标IP地址，不对源做验证 ? 现实世界中的平信

? 通常情况：无法获得响应包

主要攻击手段：假冒ＩＰ攻击（盲攻击blind attack）。 盲攻击原理：

IP源地址欺骗技术的应用场景： 普遍应用场景

拒绝服务攻击：无需或不期望响应包，节省带宽， 隐藏攻击源

网络扫描(nmap -D)：将真正扫描源隐藏于一些 欺骗的源IP地址中

假冒IP攻击场景

对付基于IP地址的身份认证机制 类Unix平台上的主机信任关系

防火墙或服务器中配置的特定IP访问许可

二、实验过程：

１）在宿主机上安装Wireshark软件进行监听。

２）在虚拟机上安装Netwox工具包进行假冒ＩＰ攻击。目标主机为宿主机。

运行netwox之后输入数字５：

输入工具编号41：

在上图中输入命令行：

-j 128 –k 1 –l 172.16.55.130 –m 172.16.55.227 –o 8

其中：Ｋ

第2章 扫描与防御技术

国家计算机网络入侵防范中心张玉清

本章内容安排 2.1 2.2 2.3 2.4 2.5 扫描技术概述 常见的扫描技术 扫描工具赏析 扫描的防御 小结

2013-10-9

网络入侵与防范讲义

2.1 扫描技术概述 什么是扫描器 网络扫描器是一把双刃剑 为什么需要网络扫描器 扫描的重要性 网络扫描器的主要功能 网络扫描器与漏洞的关系 扫描三步曲 一个典型的扫描案例网络入侵与防范讲义 3

2013-10-9

什么是扫描器 扫描器是一种自动检测远程或本地主机安全性 弱点的程序。它集成了常用的各种扫描技术， 能自动发送数据包去探测和攻击远端或本地的 端口和服务，并自动收集和记录目标主机的反 馈信息，从而发现目标主机是否存活、目标网 络内所使用的设备类型与软件版本、服务器或 主机上各TCP/UDP端口的分配、所开放的服 务、所存在的可能被利用的安全漏洞。据此提 供一份可靠的安全性分析报告，报告可能存在 的脆弱性。2013-10-9 网络入侵与防范讲义 4

网络扫描器是一把双刃剑 安全评估工具 系统管理员保障系统安全的有效工具 网络漏洞扫描器 网络入侵者收集信息的重要手段 扫描器是一把“双

ARP防攻击配置

下表列出了本章所包含的内容。

如果您需要……请阅读……

了解ARP地址欺骗防攻击的原理和配置ARP地址欺骗防攻击

了解ARP网关冲突防攻击的原理和配置ARP网关冲突防攻击配置

了解ARP报文防攻击的原理和配置ARP报文防攻击配置

了解ARP协议防攻击综合配置举例ARP防攻击配置举例

3.1 ARP地址欺骗防攻击

3.1.1 ARP地址欺骗防攻击简介

ARP协议缺少安全保障机制，维护起来耗费人力，且极易受到攻击。

对于静态配置IP地址的网络，目前只能通过配置静态ARP方式防止ARP表项被非法修改，但是配置繁琐，需要花费大量人力去维护，极不方便；

对于动态配置IP地址的网络，攻击者通过伪造其他用户发出的ARP报文，篡改网关设备上的用户ARP表项，可以造成其他合法用户的网络中断。

图3-1 ARP地址欺骗攻击示意图

如图3-1所示，A为合法用户，通过交换机G与外界通讯：攻击者B通过伪造A 的ARP报文，使得G设备上A的ARP表项中的相应信息被修改，导致A与G的通讯失败。

对于动态ARP地址欺骗攻击方式，S9500系列交换机可通过以下方法进行防御。

1 / 1

1. 固定MAC地址

1 / 1

对于动态ARP的配置方式，交换机第一次学习到ARP表项之后就不再允许通

案例分析总结

文档编号：65wangt200705242 文档名称：锐捷全网防ARP欺骗配置案例 替代文档：（根据资料库是否有需要替换的内容填写） 附 件：（有附件的，请填写文档编号） 编制区域：华东区 编 制 人：王涛 发布时间：（最终发布时由林晋填写） 总页数：11 正文页数：10 内容提要： S21推出支持DHCP relay跨管理vlan relay版本，S3760推出支持arp cheak版本，S86推出支持DAI（动态arp检测）功能后，锐捷已经在全球率先推出了全网防arp欺骗的解决方案。 文档类型： ● T—文本文件 ○ I一图像文件 ○ G—图形文件 ○ V一影像文件 ○ A—声音文件 ○ O—超媒体链结文件 ○ P—程序文件 ○ D—数据文件 公布对象：●公司内部 ○用户 审 核 人：

技术类模版：

评语： 锐捷全网防ARP欺骗配置案例 产品类型/所使S2100G V1.68 (1a3)支持 标题 用版本 内容提要： 编写日期 编写人 发布对象 RG-S3760 V 4.1

西安电子科技大学

本科生实验报告

姓名:王东林 学院:计算机科学院 专业:信息安全 班级:13级本科班

实验课程名称:网络攻击与防御 实验日期:2015年10月15日 指导教师及职称:金涛 实验成绩:

开课时间： 2016-2017 学年 第一学期

实验题目 网络攻击与防御 小组合作 否 姓名 王东林 班级 13级信息安全本科班 学号 201383030115 一、实验目的 1.了解网络连通测试的方法和工作原理。 2.掌握ping命令的用法。 3.了解网络扫描技术的基本原理。 4.掌握xscan工具的使用方法和各项功能。 5.通过使用xscan工具，对网络中的主机安全漏洞信息等进行探测。 6.掌握针对网络扫描技术的防御方法。 7.了解路由的概念和工作原理。 8.掌握探测路由的工具的使用方法和各项功能，如tracert等。 9.通过使用tracert工具，对网络中的路由信息等进行探测，学会排查网络故障。 10.了解网络扫描技术的基本原理。 11.掌握nmap工具的使用方法和各项功能。 12.通过使用nmap工具，对网络中的主机信息等进行探测。 13.掌握针对网络扫描技术的防御方法。 14．掌握Linux帐号口令破解技术的基本原理、常用方法及

西安电子科技大学

本科生实验报告

姓名:王东林 学院:计算机科学院 专业:信息安全 班级:13级本科班

实验课程名称:网络攻击与防御 实验日期:2015年10月15日 指导教师及职称:金涛 实验成绩:

开课时间： 2016-2017 学年 第一学期

实验题目 网络攻击与防御 小组合作 否 姓名 王东林 班级 13级信息安全本科班 学号 201383030115 一、实验目的 1.了解网络连通测试的方法和工作原理。 2.掌握ping命令的用法。 3.了解网络扫描技术的基本原理。 4.掌握xscan工具的使用方法和各项功能。 5.通过使用xscan工具，对网络中的主机安全漏洞信息等进行探测。 6.掌握针对网络扫描技术的防御方法。 7.了解路由的概念和工作原理。 8.掌握探测路由的工具的使用方法和各项功能，如tracert等。 9.通过使用tracert工具，对网络中的路由信息等进行探测，学会排查网络故障。 10.了解网络扫描技术的基本原理。 11.掌握nmap工具的使用方法和各项功能。 12.通过使用nmap工具，对网络中的主机信息等进行探测。 13.掌握针对网络扫描技术的防御方法。 14．掌握Linux帐号口令破解技术的基本原理、常用方法及