戰(zhàn)術攻防之近距離搏擊篇(ARP)攻擊(6)

對于局域網(wǎng)絡的欺騙攻擊隱秘性的攻擊行為，如何才能保證信息的相對安全和隱私權的私屬性呢？經(jīng)過ARP欺騙攻擊行為的分析，如下措施可以較好的抵御這種可恥的偷竊行為。

1、 在本地計算機使用靜態(tài)ARP映像記錄，特別本地網(wǎng)關記錄應該是靜態(tài)的。使用arp -s添加靜態(tài)映射列表。抑制ARP的幻存中毒更新。(但對于大型網(wǎng)絡，維護這樣的MAC/IP表使非常困難的，如果某臺機器的網(wǎng)卡壞了，調(diào)整MAC/IP的映射是及其煩瑣的)

2、 使用反向ARP解析，找出同一MAC地址IP的來源(即使用RARP反向解析MAC為IP地址)。

3、 在交換機中使用Port/Mac的綁定功能，比如使能Port Security特性，每個端口只允許一個MAC映射，防止多個MAC地址對一個交換端口的映射，從而減少嗅嘆的可能性。

4、使用ARPWATCH工具監(jiān)測IP/MAC地址表的變化。其記錄日志于/var/log/messages，形式為：

Sep 1 16:26:04 hostB arpwatch: changed ethernet address 192.168.1.3
04.04.04.04.04.04 (03.03.03.03.03.03)

表示MAC從原來的03.03.03.03.03.03變更為04.04.04.04.04.04，這意味著ARP攻擊的征兆，需要引起高度注意。

5、 避免使用DHCP服務器進行網(wǎng)絡的動態(tài)分址管理，因為在這樣的環(huán)境中使用ARP欺騙攻擊是很難被發(fā)現(xiàn)的。

6、 在基于安全會話的通信過程中，不要使用有安全漏洞的軟件。

7、 安裝snort入侵檢測系統(tǒng)，通過使用arp欺騙預處理器偵測欺騙行為并發(fā)送郵件警告通知arp/ip的改變。

8、尋找Arp攻擊主機，以Redhat為例：

nmap -sP {your local network}
arp -an | awk '{print $2 $4}' | sort | uniq -c | grep -v '1'

在DNS記錄中查看其主機地址找出攻擊者，制止攻擊行為。

六、 小結

使用ARP協(xié)議漏洞所產(chǎn)生的攻擊方式是非常隱蔽的，這種攻擊所造成的危害卻是非常巨大的，任何在網(wǎng)絡流通的數(shù)據(jù)資料將被攻擊者一覽無余，而受害者卻可能根本不知道自己已經(jīng)受到了嚴重的窺視。由于協(xié)議而使網(wǎng)絡本身具有的脆弱性，因此在時刻警惕網(wǎng)絡的同時，最全面的做法在于改進協(xié)議的安全特性并不斷提高人的修養(yǎng)素質(zhì)，使網(wǎng)絡的文明升級為一個資源共享，信息自由和尊重隱私的時代    

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]