遇到ARP欺骗攻击,咋整?别慌!这3招教制服它!

原创 于 2025-10-25 13:48:31 发布 · 771 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #ddos #ARP

遇到ARP欺骗攻击,咋整?别慌!这3招教制服它!

攻击简介

如图1-1所示,局域网中UserA、UserB、UserC等用户通过Switch接入连接到Gateway访问Internet。

图1-1 ARP欺骗攻击组网

正常情况下,UserA、UserB、UserC上线之后,通过相互之间交互ARP报文,UserA、UserB、UserC和Gateway上都会创建相应的ARP表项。此时,如果有攻击者Attacker通过在广播域内发送伪造的ARP报文,篡改Gateway或者UserA、UserB、UserC上的ARP表项,Attacker可以轻而易举地窃取UserA、UserB、UserC的信息或者阻碍UserA、UserB、UserC正常访问网络。

现象描述

局域网内用户时通时断,无法正常上网。网络设备会经常脱管,网关设备会打印大量地址冲突的告警。

定位思路

定位手段命令适用版本形态
查看日志信息display logbufferV100R006C05版本以及之后版本

交换机做网关,如果攻击源发送假冒网关的ARP报文经过网关交换机时,报文会上送交换机的CPU处理,交换机在检测到网关冲突的同时记录日志.
执行命令display logbuffer查看日志信息。日志信息如下所示,其中MacAddress代表攻击者的MAC地址.

ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING])

根据日志信息记录的攻击者的MAC地址查找MAC地址表,从而获取到攻击源所在的端口,通过网络进一步排查,进一步定位出攻击源,查看是否中毒所致。

交换机做网关,如果攻击源发送假冒网关的ARP报文不经过网关交换机,直接在交换机的下游转发到用户,则需要在下层网络排查。例如,可以在终端上使用报文解析工具(比如wireshark)解析网关回应的ARP报文,如果解析出来的MAC地址不是网关的MAC地址,则代表终端遭遇攻击,其中解析出来的MAC地址即为攻击者MAC地址。如果解析出来的mac是网关的MAC地址,但是IP不是网关IP,则是模拟网关的MAC攻击,接入交换机上应该会有MAC漂移,根据漂移端口排查攻击源。

问题根因

1、终端中毒。

2、攻击者将主机地址设为网关地址。

处理步骤

方法优点缺点
配置黑名单基于黑名单丢弃上送CPU的报文需先查到攻击源
配置黑洞MAC丢弃该攻击源发的所有报文,包括转发的报文需先查到攻击源
配置防网关冲突攻击功能收到具有相同源MAC地址的报文直接丢弃需本设备做网关

方法一: 可以在用户允许的情况下,直接在交换机上配置黑名单过滤攻击源的源MAC地址。

[HUAWEI] acl 4444
[HUAWEI-acl-L2-4444] rule permit l2-protocol arp source-mac 1-1-1
[HUAWEI-acl-L2-4444] quit
[HUAWEI] cpu-defend policy policy1
[HUAWEI-cpu-defend-policy-policy1] blacklist 1 acl 4444

接下来应用防攻击策略policy1,关于防攻击策略的应用,请参见3.1 应用防攻击策略。

方法二: 更严厉的惩罚措施可以将攻击者的MAC配置成黑洞MAC,彻底不让该攻击者上网。

[HUAWEI] mac-address blackhole 1-1-1 vlan 3

方法三: 可以在交换机上配置防网关冲突功能(该功能要求交换机必须做网关),ARP网关冲突防攻击功能使能后,系统生成ARP防攻击表项,在后续一段时间内对收到具有相同源MAC地址的报文直接丢弃,这样可以防止与网关地址冲突的ARP报文在VLAN内广播。

文章来源于网上,如有侵权请联系博主删除

黑客&网络安全如何学习

如果你也对网路安全技术感兴趣,但是又没有合适的学习资源,我可以把私藏的网安学习资料免费共享给你们,来看看有哪些东西。

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我们和网安大厂360共同研发的的网安视频教程,内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识,而且包含了中级的各种渗透技术,并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频,100多本网安电子书,最新学习路线图和工具安装包都有,不用担心学不全。
在这里插入图片描述

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

vlanif实现不同vlan之间的通信
weixin_60415234的博客
10-09 3865
1.实现网络隔离:通过将不同的设备连接到不同的VLAN,可以将它们隔离在不同的虚拟网络中,提高网络的安全性和管理灵活性。2.如果网络上有多个VLAN,则需要给每个VLAN配置一个VLANIF接口,并给每个VLANIF接口配置一个IP地址。4.提供灵活的网络架构:通过使用vlanif接口,可以根据需要进行VLAN之间的通信配置,实现更灵活的网络架构。2.提供逻辑分组:将不同功能的设备分组到不同的VLAN,可以提供更好的逻辑分组,方便管理和配置。3. 接着需要在路由器上配置不同vlan之间的路由。
ARP欺骗技术:ARP欺骗工具介绍_(12).案例分析:ARP欺骗攻击
chenlz2007的博客
11-11 1331
通过上述案例分析,我们可以看到ARP欺骗攻击在局域网内的多种应用和危害。攻击者可以通过ARP欺骗劫持网络流量、进行中间人攻击、DNS缓存投毒、Rogue DHCP服务器设置、SSL剥离以及结合DDoS攻击,严重威胁网络的安全和稳定。因此,采取有效的防御措施至关重要,包括设置静态ARP表、使用ARP防护工具、启用网络设备的安全配置、加密通信、流量监控和限速、以及提高用户的安全意识。希望这些案例能帮助大家更好地理解ARP欺骗攻击,并采取相应的防护措施。
查看局域网内所有设备_局域网内用户时通时断?资深网工告诉你解决办法!
weixin_39548438的博客
12-09 1277
1、故障现象描述网关为华为设备,局域网内用户时通时断,同时设备输出大量地址冲突的告警信息。ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=...
路由实验7777777
kaituozhizzz的博客
11-20 8083
写下地址,写地址,下一跳 <Huawei>sys <Huawei>system-view Enter system view, return user view with Ctrl+Z. [Huawei]sy [Huawei]sysname R1 [R1]inter [R1]interface g0/0/0 [R1-GigabitEthernet0/0/0]ip ad [R1-GigabitEthernet0/0/0]ip address 192.168.1.1 30 No...
ARP欺骗攻击的7种解决方案,你知道几种?
最新发布
bdfcfff77fa的博客
10-25 712
如图 1 所示, Attacker 仿冒 UserA 向 Gateway 发送伪造的 ARP报文,导致Gateway的ARP表中记录了错误的UserA地址映射关系,造成 UserA 接收不到正常的数据报文。为了防御这种欺骗网关攻击,可以在网关设备上部署 ARP 表项固化功能。网关设备在第一次学习到 ARP 以后,不再允许用户更新此 ARP 表项或只能更新此 ARP 表项的部分信息,或者通过发送单播 ARP 请求报文的方式对更新 ARP 条目的报文进行合法性确认。
组网技术(一)
热门推荐
boweno的博客
12-29 1万+
组网技术(一)1.交换路由基础知识2.交换机基本配置实验3.路由器基本配置实验 1.交换路由基础知识 1.1 交换机简介和分类:交换机(Switch)意为“开关”是一种用于光(电)信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。工作于第二层或三层。最常见的交换机是以太网交换机。下图是思科的Huawei S2700系列以太网交换机。 1.2 交换机分类: 1.3 交换机堆叠和级联:形如并联,串联 1.4 交换机典型三级:①接入层交换机,如S2700。②汇聚层交换机,S370
ARP欺骗的几种解决方案
zsq0511的专栏
07-08 4114
ARP欺骗攻击问题,是企业网络的心腹大患。关于这个问题的讨论已经很深入了,对ARP攻击的机理了解的很透彻,各种防范措施也层出不穷。 本文通过具体分析一下普遍流行的四种防范ARP措施,去了解ARP解决方案的优缺点。 一、双绑措施 双绑是在路由器和终端上都进行IP-MAC绑定的措施,它可以对ARP欺骗的两边,伪造网关和截获数据,都具有约束的作用。这是从ARP欺骗原理上进行的防范措施,也是最普遍
ensp加kali实现arp欺骗攻击
04-21
网络安全领域,ARP欺骗是一种常见的攻击手段,它利用了局域网中地址解析协议(ARP)的缺陷。本文将深入探讨如何使用Kali Linux这一专业安全操作系统,配合ENSPI(Ethernet Network Simulation Platform,以太网...
ARP欺骗攻击详细介绍
佛系摆烂
11-16 2476
如果匹配,设备 B 会发送一个 ARP 响应消息,告知请求者其 MAC 地址。攻击者通过伪造虚假的 ARP 响应包,将自己的 MAC 地址伪装成目标设备的 MAC 地址,导致其他设备错误地更新其 ARP 缓存,从而将通信数据流重定向到攻击者或中断通信。当设备(源设备)需要向网络中的某个 IP 地址发送数据时,如果它不知道该 IP 地址对应的 MAC 地址,它会发送一个 ARP 请求。现在,设备 A 就可以根据 ARP 响应中获得的设备 B 的 MAC 地址,直接将数据包发送到设备 B 的 MAC 地址。
ARP是怎么工作的?ARP攻击欺骗又是什么?
01-07 1742
1、什么是ARPARP地址解析协议,为网络层协议,用于将MAC地址与IP地址建立映射关系。 2、ARP怎么工作的? 当发送端知道接收端的IP地址,但是不知道其对应的MAC地址,这个时候就需要请求其接收端MAC地址,于是发送端会广播的发送ARP Request包,所有收到请求数据包的设备都会进行处理,若非目标设备收到请求包后会直接进行丢弃操作,而目标主机不仅会记录发送端的IP地址和MAC地址放入自己的ARP缓存中,并同时进行响应,发送ARP Reply包给发送段,发送...
渗透测试实战之ARP欺骗攻击ARP断网攻击
g90900的博客
11-22 2414
arpspoof 是一款进行arp欺骗的工具,攻击者通过毒化受害者arp缓存,将网关mac替换为攻击者mac,然后攻击者可截获受害者发送和收到的数据包,可获取受害者账户、密码等相关敏感信息。执行ping扫描最简单的方法是使用工具fping,fping使用ICMP ECHO一次请求多个主机,对当前局域网还存在那些主机进行快速扫描,以确定要攻击的主机的ip地址。在kali终端中,输入命令“ifconfig”,查看kali的IP地址与MAC地址,如图所示。2、访问登录网址,输入用户名及密码。
如何防护网络欺骗攻击?方法都有哪些?
oldboyedu1的博客
04-26 1850
网络已经无处不在了,越多越多的企业和个人开始关注网络安全,对于网安从业人员来说,其主要工作任务就是保障网站或app等不受到攻击,能够做到有效防御,那么我们防护网络欺骗攻击的方法都有哪些呢?DNS服务器利用缓存中的记录信息回答查询请求或是DNS服务器通过查询其它服务器获得查询信息并将它发送给客户机,这两种查询方式称为递归查询,这种查询方式容易导致DNS欺骗。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。限制域名服务器做出响应的地址、限制域名服务器做出响应的递归请求地址、限制发出请求的地址。
ARP欺骗攻击的7种解决方案,我最推荐你用这种
07-11 5071
当设备收到ARP报文时,将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较,如果信息匹配,说明发送该 ARP 报文的用户是合法用户,允许此用户的 ARP 报文通过,否则就认为是攻击,丢弃该 ARP 报文。设备就认为该ARP报文是与网关地址冲突的ARP报文,设备将生成ARP攻击表项,并在后续一段时间内丢弃该接口收到的同 VLAN 以及同源 MAC 地址的 ARP报文,这样可以防止与网关地址冲突的ARP报文在VLAN内广播。对于 ARP 请求报文,只检查源 IP 地址。
华为--IA复习静态路由实验
weixin_43774199的博客
11-04 2233
1、实验拓扑 2、实验要求 全网可达 拓扑中所需地址全部基于192.168.0.0/24划分所得 静态路由(不许使用其他动态) R8环回需要汇总 3、实验分析及拓扑处理
ARP欺骗与防御
qq_45455136的博客
05-18 1458
ARP欺骗与防御 ARP欺骗 arpspoof介绍 ARP断网攻击 ARP断网攻击分析 ARP流量分析 urlsnarf介绍 url流量分析 ettercap介绍 命令行运行ettercap ettercap截获用户信息 ARP限制网速攻击 TC工具介绍 限制网速 ARP攻击防御 windows的AR
第一天。。。
m0_57702598的博客
12-30 493
静态路由第一天大实验
企业撞上ARP泛洪攻击,这样处理才丝滑
m0_66326520的博客
05-20 1784
ARP本省不能形成多大的损害,一旦被联系使用,其风险性就不可估量,因为ARP自身的疑问,使得防备ARP攻击很棘手,经常检查当时的网络状况,监控流量对一个站长来说是个很好的风气。
2025年,计算机相关专业还值不值得学和报考?大实话版分析,这5个真相越早知道越好!!
喜欢Python编程的程序员柚柚呀
08-27 1067
从今天起,好好学习,天天向上」
H3C交换机防止ARP欺骗攻击的配置方法
为应对这一威胁,H3C交换机提供了多种内置的安全特性来防御ARP欺骗,主要包括:端口安全(Port Security)、ARP Detection(ARP检测)、DAI(Dynamic ARP Inspection,动态ARP检测)、IP Source Guard(IP源防护)...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值