校园网ARP攻击的防御
2013年5月21日下午至5月22日,ARP攻击校园网,导致全校大面积不了上网,领导急,压力大,整理下文章.
由于ARP欺骗攻击,利用了ARP协议的设计缺陷,光靠包过滤、IP+MAC+端口绑定等传统办法是比较难解决的。
通过对ARP欺骗攻击原理的剖析,如果要防御该类型攻击,最理想的办法是在接入层对ARP报文进行内容有效性检查,对于没有通过检查的报文进行丢弃处理。在接入层交换机上采取的这种技术,我们称为ARP入侵检测
# ARP –a
查看本机ARP缓存,正常情况下第一栏打印本机IP地址,第二栏返回当前网关的IP地址和MAC地址。
正常模式:网络中只有一个网关,客户机arp -a 只有一条arp记录,并且这条记录是当前网关的IP --> MAC 的映射。
混杂模式:当ARP缓存中arp有多条IP -->MAC 的记录,说明当前为混杂模式,网的网关不是唯一的.
ARP入侵检测
ARP攻击检测方案
1. 尝试使用"arp -a"命令查看本地ARP缓存表,查找重复MAC地址或错误的网关地址。
2. 尝试使用nbtscan.exe工具扫描分析网内IP地址与MAC地址。
3. 尝试使用"ping"命令测试本机与其他内网主机的延迟时间,延迟高则可疑。
4. 尝试使用金山贝壳ARP防火墙拦截ARP攻击数据包,根据攻击拦截日志进行判断。
5. 尝试使用"彩影ARP防火墙(原AntiARPSniffer)"分析流量,查找可疑攻击源。
6. 尝试使用"WireShark"、"科来网络分析系统"、"Sniffer Pro"等嗅探分析软件对网络数据进 行抓包检测,查找发布大量Broadcast类数据包源主机及其他无请求响应类ARP数据包发送源,或根据ARP包头源MAC地址与二层以太网数据帧SA字段进行比较,查看其是否一致来判断是否遭受ARP病毒攻击。
7. 开启“诺顿企业版防护软件”网络威胁保护一项中的“防御MAC地址欺骗”功能。 [其他杀毒软件亦同]
8. 尝试使用"折半法"(每次切断一半主机的网络连接)分析判断病毒源主机物理位置。
9. 尝试登陆路由器,检查DHCP分配日志信息与ARP缓存表,再做IP/MAC地址绑定。
10. 尝试登陆交换机,查看MAC地址表,查找可疑MAC对应物理端口号,确定主机位置。 或开启"端口镜像"技术使用其他PC做旁侧流量的分析判断。
11. 根据交换机数据传输状态指示灯闪烁频率,判断病毒源,频次高则可疑。
12. 检测路由器是否开启了Proxy ARP造成网络中存在大量ARP广播风暴或ARP扫描类数据 包,从而导致相关软件报告攻击。
校园网ARP攻击的防御相关推荐
- 基于RouterOS的ARP攻击与防御
文章目录 什么是ARP协议 ARP欺骗的危害 实际测试 防御过程 基于routeros防御 总结 什么是ARP协议 ARP协议是"Address Resolution Protocol&qu ...
- ARP攻击和防御实验
准备知识: ARP数据包格式: 用wireshark抓取一个ARP广播包,内容如下: 以太网层目的MAC地址全f,代表广播,网络层ARP包目的MAC全0代表目的MAC未知. wireshark抓取一个 ...
- 局域网arp攻击_网络安全基础之ARP攻击和防御
本文转载于 SegmentFault 社区 作者:吴小风 前言 在看这篇文章之前,请大家先看下交换机的工作原理,不知大家有没有想过数据链路层中头部协议数据帧的目的MAC地址是如何获取的呢?这就是今天的 ...
- ARP协议详解以及arp攻击与防御
目录 什么是ARP ? 为什么既要有IP地址又要有MAC地址? ARP协议属于网络层还是链路层? ARP帧格式 ARP协议工作原理 ARP命令和缓存表 代理ARP和免费ARP ARP协议攻击 ARP协 ...
- ARP协议/ARP攻击与防御
ARP协议 目录 ARP协议 1.ARP协议概述 2.ARP协议作用: 3.ARP协议原理: 1)发送ARP广播请求 2)接受ARP单播应答 4.ARP的工作过程 5.ARP代理 6.ARP攻击或 ...
- java arp 攻击_网络安全基础之ARP攻击和防御
前言 在看这篇文章之前,请大家先看下交换机的工作原理,不知大家有没有想过数据链路层中头部协议数据帧的目的MAC地址是如何获取的呢?这就是今天的主角ARP协议,通过广播来获取IP地址对应的MAC地址. ...
- day14、4 - ARP攻击防御
一.ARP攻击的防御 1.易于被ARP攻击的原因 我们的主机在默认情况下是没有防御ARP攻击的能力的,原因在于PC在收到ARP报文后(无论单播或广播)都会学习在自己的ARP缓存中,且没有验证机制,无法 ...
- ARP攻击原理简析及防御措施
0x1 简介 网络欺骗攻击作为一种非常专业化的攻击手段,给网络安全管理者,带来严峻的考验.网络安全的战场已经从互联网蔓延到用户内部的网络, 特别是局域网.目前利用ARP欺骗的木马病毒在局域网中广泛传 ...
- 局域网arp攻击_图解ARP协议(三)ARP防御篇-如何揪出“内鬼”并“优雅的还手”...
一.ARP防御概述 通过之前的文章,我们已经了解了ARP攻击的危害,黑客采用ARP软件进行扫描并发送欺骗应答,同处一个局域网的普通用户就可能遭受断网攻击.流量被限.账号被窃的危险.由于攻击门槛非常低, ...
最新文章
- Django模型层Meta内部类详解
- matlab 人群仿真,用simulink如何实现人群搜索算法的pid参数整定
- Java Thread.join()详解
- linux pyside2 安装包,Qt for Python 5.12发布下载,附PySide2和Shiboken2介绍
- Six Basic Functional Areas of Spring
- React 相关的优秀资源
- javascript练习----复选框全选,全不选,反选
- 【POJ - 1961】Period(KMP,循环节问题)
- Timer lock
- mysql 执行计时_ps-top 用于MySQL的数据库top工具
- Spider引擎分布式数据库解决方案(最全的spider教程)
- MVC模式在游戏开发的应用
- 【前端】jQuery事件处理
- win10计算机文件夹隐藏,详细教您win10如何隐藏文件夹
- Android电视清理系统应用,【教程】无需root!卸载小米电视/盒子内置应用竟如此简单...
- numpy 学习汇总18 - 数学运算 (集合,复数)( 基础学习 tcy)
- 大数据入门第零天——总体课程体系概述
- 算法-时间频度 时间复杂度 空间复杂度
- 通过bat批处理命令进行adb push和adb pull批量拉取文件
- 【扫盲】什么是回程网络(backhaul network )、计算图优化