APP神圣官网

  1. APP神圣官网  > 计划生活  > 正文

防护攻击协议ARP(故障攻击网关方法欺骗)「防御arp攻击」

阅读

防护攻击协议ARP(故障攻击网关方法欺骗)

上篇文章我们讲了针对ARP攻击解决方案,但在实际网络应用中仍然会存在ARP安全的一些问题,那么都有哪些现象可以初步判断遭受到ARP攻击,以及如何快速排查找到ARP攻击源呢?本文我们就针对常见的ARP安全问题进行分析。
常见ARP安全问题伴随现象用户上网慢或者不能上网。
重启电脑后网络恢复正常,但通常过一段时间故障又会出现。
(或者终端清除ARP表项后网络能够正常一段时间)频繁出现地址冲突现象,但是实际排查发现并无地址冲突网关设备CUP利用率持续在80%以上。
如何查找到攻击源还是老说辞,不同场景,不同故障现象,不同故障类型查找方法不一样。
故障排查方法故障排查的关键步骤故障排除方法很多,运维人员可以自主选择不同故障检测与排除方法,但是这些方法在解决网络故障时效率不尽相同。
就像练武之人,只要不是武侠小说天选之子,意外获得武术秘籍,意外打通任督二脉,大部分都是规规矩矩从套路练起。
网络工程师想要灵活运用故障检测与排除,基本的套路招式不可避免,在使用过程中,保持清晰的头脑,按照基本的理论依据进行排查可达到事半功倍的效果。
基本方法:运维人员在收到故障报告后,第一步就是要能够快速的分了解客户故障现象到底是什么,即要搜集信息。
有很多时候因为客户不是这个专业,对于故障问题说不清楚,比如,客户说不能上网了,你火急火燎的赶过去了,发现是网线没有插。
很多时候故障不是我们网络运维人员自带杀气,到了现场故障莫名其妙的好了,大多时候使用人员不知道和不会基本的排查手段导致网络玄学发生。
第二步明确故障检查与排除目标,搜集故障相关信息。
搜集信息的目的是为了更清晰了解故障,包括故障范围、故障特性(是否有周期性,是否是物理环境因素)等。
第三步就是查找故障源,排除潜在故障原因。
以及为了排查故障源将会采用的手段,并对该故障产生的一些手段会有哪些范围影响进行评估,同时想好替换及候补方案。
常见的故障排查手段以上关键步骤,都是为了排除潜在故障原因,在实际操作过程中有一些常用的方法缩小潜在故障范围。
可以根据OSI参考模型可以采用方法:如来神掌(自顶向下)和猴子偷桃(自下向上),分解掌(分段管理);还有根据流量路径跟踪,对比分类和组建替换法。
ARP欺骗攻击源查找方法根据ARP欺骗的原理,主要是欺骗者通过不停发送欺骗数据包,影响主机或网关学习到正确的ARP信息,导致通信失败,所以,当确定ARP欺骗故障后,可以通过查看终端和网关学习到ARP信息是否符合被攻击者MAC地址是否一致。
终端查看ARP信息学习状态终端可以通过arp -a查看主机在局域网中学习到的所有ARP表项。
如果怀疑是ARP欺骗,可以采用arp -d 删除ARP表项,使终端重新学习ARP表,如果清除ARP表项后可以正常上网,基本可以判断是ARP欺骗。
也可以通过登录网关设备,查看网关设备学习到的用户ARP信息,是否一个MAC对应多个IP地址。
备注:如果是使用非管理员身份操作,执行arp -d会提示“ARP 项删除失败: 请求的操作需要提升。
”查看网关或终端的ARP重新学习的表项。
删除ARP表项后,如果可以正常上网,重新执行arp -a查看正确的arp表项,网关清除ARP表项命令:clear arp 或者 reset arp-cache。
但是在网关上清除arp表项是一项危险操作,清除全部ARP表项会导致所有终端重新学习arp导致网络中断;尤其是在网络比较大和用网高峰期不建议执行该操作。
查找ARP攻击源通过执行清除原有设备学习到ARP表项,可以正常使用,但是攻击仍然存在,寻找攻击源揪出隐藏者才是最终目的。
查找ARP欺骗攻击源可以通过以下手段。
对比方法选择同一网段内的任意两台电脑,通过arp -a命令查看ARP表项,除了网关的ARP映射关系外,如果两台电脑都有相同的IP对应的mac地址(两台MAC地址不一样),基可以判断在这两台电脑都有映射关系的IP且MAC不一样的电脑是攻击源。
基于判断依据:正常情况下,终端电脑只会和网关通信,所以大部分情况下,一台主机只有网关的arp缓存信息,即使中间受攻击电脑和“攻击者”(嫌疑人)有过通信,动态ARP环境下,ARP的老化机制也会把不在活动的ARP表项清除掉。
如果想要进一步判断,可以执行arp -d清除ARP表项后,当出现arp病毒发作,再次查看两台电脑是否有非网关的电脑IP和MAC地址映射关系存在,如果还有其他电脑的arp关系映射存在,毋庸怀疑先抓了再说。
以上是针对主机的欺骗采用的方法之一,针对网关的欺骗可以通过命令或者网关查看ARP表项与MAC表项,因为ARP欺骗攻击如果攻击者不修改发送攻击文件头部的mac地址信息,是比较容易对比出来arp表项学习到的MAC信息与MAC地址表项的诧异(交换机上)。
以上方法比较费时费力,还有一种方法就是sniffer抓包。
该方法不论是主机欺骗还是网关欺骗,原理都是伪造arp表项更改的数据报。
所以通过抓包可以更快分析出来arp表项中arp表项内容真实性。
同时攻击者为了保证攻击效率,会不停的发送数据包,通过抓包比较容易判断。
ARP洪泛攻击源查找方法ARP洪泛攻击比较容易排查,攻击者持续发包行为,尤其是广播报文,无论是网关设备还是终端都会持续不断收到攻击者的报文,通过ARP欺骗上述手段一样快速找到攻击源。
以上的方法是针对没有安全设备或者安全方法环境下提供查找攻击源的一些方法,针对可以网关或者存在安全设备(软件)环境下,无论是ARP欺骗还是ARP攻击都可以通过安全日志或者命令快速定位出来攻击源。
关于ARP和ARP安全问题已经讲述完成,里面不尽内容,还望各位大神留言评论。
ARP 故障
自己的技能翻译提高(翻译自己的提高语言你可以)
上一篇
搭建音乐库打造教程音乐NAS(搭建音乐库音乐刮削打造)
下一篇

相关推荐

0 评论

gravatar
验证码
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

联系我们

在线咨询:点击这里给我发消息