如何实现ARP协议的欺骗技术和相应的对策

本文介绍了ARP协议欺骗技术的工作原理及其实现步骤,并提出了一系列针对ARP欺骗的防范措施,包括建立静态ARP表和禁止网络接口做ARP解析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1,ARP协议欺骗技术

当我们设定一个目标进行ARP欺骗时,也就是把MAC地址通过一主机A发送到主机B上的数据包都变成发送给主机C的了,如果C能够接收到A发送的数据包后,第一步属于嗅探成功了,而对于主机A来目前是不可能意识到这一点,主机C接收到主机A发送给主机B的数据包可没有转交给B。当进行ARP重定向。打开主机C的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。但是这就是ARP协议欺骗真正的一步,假如主机C进行发送ICMP重定向的话就麻烦了,因为他可以直接进行整个包的修改转发,捕获到主机A发送给的数据包,全部进行修改后再转发给主机B,而主机B接收到的数据包完全认为是从主机A发送来的。这样就是主机C进行ARP协议欺骗技术,对于网络安全来是很重要的。当然还可以通过MAC地址进行欺骗的。

2,ARP协议欺骗技术相应对策

各种网络安全的对策都是相对的,主要要看网管平时对网络安全的重视性了。下面介始一些相应的对策:

1) 在系统中建立静态ARP表 ,建立后对本身自已系统影响不大的,对网络影响较大,破坏了动态ARP解析过程。静态ARP协议表不会过期的,我们用“arp -d”命令清除ARP表,即手动删除。但是有的系统的静态ARP表项可以被动态刷新,如Solaris系统,那样的话依靠静态ARP表项并不能对抗ARP欺骗攻击,相反纵容了ARP欺骗攻击,因为虚假的静态ARP表项不会自动超时消失。当然, 可以考虑利用cron机制补救之。(增加一个crontab) 为了对抗ARP欺骗攻击,对于Solaris系统来说,应该结合"禁止相应网络接口做ARP解 析"和"使用静态ARP表"的设置  

2)在相对系统中禁止某个网络接口做ARP解析(对抗ARP欺骗攻击),可以做静态ARP协议设置(因为对方不会响应ARP请求报文) 如:arp -s XXX.XXX.XX.X 08-00-20-a8-2e-ac  
在绝大多数操作系统如:Unix,BSD,NT等,都可以结合"禁止相应网络 接口做ARP解析"和"使用静态ARP表"的设置来对抗ARP欺骗攻击。而Linux系统,其静态ARP表项不会被动态刷新,所以不需要"禁止相应网络接口做ARP解析"即可对抗ARP欺骗攻击。
 

评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值