本文介绍了一种通过SNMP网络管理来追踪和应对ARP欺骗的方法,包括理解ARP欺骗的工作原理,如何在Cisco交换机上查看MAC地址与端口的关系,以及识别恶意数据流的特征,以定位攻击源头并采取相应措施。
众所周知,ARP欺骗已经是局域网中最令人头疼的一种攻击手段了,可以在一瞬间让整个网络中的所有计算机从Internet上面断开,也可以轻而易举地让Windows 98计算机出现持续的“IP地址冲突”,导致宕机,更有甚者,如果结合Sniffer软件还能够获取局域网中任何一台主机上网时的邮箱密码。
尽管ARP欺骗的危害巨大,但相应的防范措施却并不多,常见的方法一般也就是“VLAN划分”和“MAC地址绑定”两种。“VLAN划分”是将一个大网络划分成若干个小网络,由于ARP不能跨路由攻击,所以这样可以降低ARP欺骗的危害性,但它并不能阻止同一个网段内ARP欺骗的产生。“MAC地址绑定”理论上说的确可以在一定程度上降低ARP欺骗的危害,但实践中的效果却微乎其微,几乎没有几个网管员采用这种方法,因为除了巨大的工作量令网络管理员难以招架外,从网络管理的角度来看,这种方法也极为不科学,大有“高射炮打蚊子”之嫌。
本文中,笔者将和大家共同探讨另外一种管理办法——用SNMP网络管理来对付ARP欺骗,只要轻点一下手中的鼠标,我们就能够查到ARP攻击的源头,并将其踢出局域网,还大家一个清静且安全的网络环境。
为了能够更好说明整个追踪过程,笔者特意构建了一个小型局域网,其拓扑结构如图1所示。 
图1
笔者会从这个拓扑图上采集实验数据,向大家详细介绍如何追踪位于交换机2上面的攻击者的真实IP地址,大家可以对照着这个拓扑图来阅读本文。
追踪原理
局域网中ARP欺骗的一个主要特点就是使用了伪造的IP地址和MAC地址,我们所看到的地址都是由攻击软件精心构造出来的虚假地址,因而无法从捕捉的数据包中识别出攻击者的真正来源。尽管如此,但一个有经验的网络管理员仍然能通过查找交换机的端口来定位攻击者的来源,因为IP地址和MAC地址可以伪造,但攻击者连接到交换机的那个端口却无法伪造,利用“MAC地址-IP地址-PORT”三者之间的联系,我们就可以准确而
最低0.47元/天 解锁文章
扫一扫
05-28
872
872
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
