ARP欺骗攻击

什么是ARP欺骗?

由于局域网的网络流通不是根据IP地址进行,而是根据MAC地址进行传输。所以,MAC地址在A上被伪造成一个不存在的MAC地址,这样就会导致网络不通,A不能Ping通C!这就是一个简单的ARP欺骗。

ARP欺骗原理


假设一个网络环境中,网内有三台主机,分别为主机A、B、C。主机详细信息如下描述:

A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA

B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB

C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC

正常情况下A和C之间进行通讯,但是此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A被欺骗了),这时B就伪装成C了。同时,B同样向C发送一个ARP应答,应答包中发送方IP地址四192.168.10.1(A的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA),当C收到B伪造的ARP应答,也会更新本地ARP缓存(C也被欺骗了),这时B就伪装成了A。这样主机A和C都被主机B欺骗,A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么:)。这就是典型的ARP欺骗过程。

实战:

实战环境:
1.WinXP win7 kali三台PC;
2.这三台PC互相能ping通;
3.kali不能识别物理机的虚拟网卡,所以需要在本地连接或者宽带连接条件下进行。

步骤一:得到目标机的IP地址

查看win7的IP

查看WinXP IP:

步骤二:kali作为攻击者欺骗win7和WinXP

在kali打开一个终端

再打开一个终端

再打开一个终端

步骤三:输入命令tcpdump -nn -x -i eth0 icmp

再打开一个终端

用WinXP ping 192.168.0.108

应对方法

1.中毒者:建议使用趋势科技SysClean工具或其他杀毒软件清除病毒;
2.获得路由器的内网的MAC地址(例如网关地址10.10.75.254的MAC地址为0022aa0022aa)。2)编写一个批处理文件AntiArp.bat内容如下:
@echooff
arp -d -s 10.10.75.254 00-22-aa-00-22-aa
pause
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可,计算机重新启动后需要重新进行绑定,因此我们可以将该批处理文件AntiArp.bat文件拖到”windows–开始–程序–启动”中。这样开机时这个批处理就被执行了;
3.使用ARP防火墙(例如AntiArp)软件抵御ARP攻击。

### 配置 Rate-Limit 功能以防止 ARP 欺骗攻击 为了有效应对 ARP 欺骗攻击,可以通过配置 `rate-limit` 功能来限制每秒接收的 ARP 报文数量。这种机制能够减少因恶意或异常 ARP 请求而导致的网络性能下降甚至瘫痪的风险。 --- #### 1. 原理概述 ARP 欺骗攻击通常涉及伪造大量的 ARP 报文,这些报文可能会占用过多的 CPU 资源或者破坏正常的通信流程。通过启用 `rate-limit` 功能,可以限定设备在特定时间内能处理的最大 ARP 报文数。一旦超过设定阈值,多余的数据包会被丢弃或记录以便进一步分析[^1]。 --- #### 2. 具体配置过程 以下是实现基于接口级别的 ARP 报文速率限制的一个通用示例: ```shell # 切换至系统视图 system-view # 进入目标物理接口(假设为GigabitEthernet 1/0/1) interface GigabitEthernet 1/0/1 # 启用针对ARP miss情况下的反攻击速率限制功能 arp-miss anti-attack rate-limit enable # 设定最大允许的ARP请求速率为80条/秒 (可根据实际情况调整) arp-miss anti-attack rate-limit threshold 80 # 对于超出限额的行为定义动作, 此处选择直接丢弃超额数据包 arp-miss anti-attack rate-limit action drop ``` 以上各指令含义分别为: - `arp-miss anti-attack rate-limit enable`: 打开对未命中缓存的ARP查询实施速度管控的功能; - `threshold 80`: 表明该端口每秒钟最多接受80个新的未知MAC地址对应的ARP询问; - `action drop`: 明确指出对于那些违反规定频率上限的新到来自同一源头的ARP请求应当立即舍弃而不做任何回应[^2]。 另外值得注意的是,在某些高端交换产品线里还存在一种叫做Block Mode的操作模式选项可供选用。在这种特殊情形之下,只要发现有任意单一时隙内的实际到达量突破预先声明好的界限值之后便会立刻启动全面封锁机制——即时切断整个链路上的一切形式的ARP通讯直到人为干预解除为止[^3]。 --- #### 3. 效果验证与优化建议 执行完毕上述操作后,管理员应该利用专门设计用于展示实时统计信息的相关命令去核实各项指标是否符合预期计划之内: ```shell display arp anti-attack configuration arpmiss-rate-limit ``` 此命令可以帮助确认目前所应用的各项参数详情及其运行状况。与此同时也要密切留意日常运维过程中是否存在误伤现象发生(比如正常业务往来也被错误判定成了潜在威胁),必要时候适当放宽标准或是引入更加精细粒度的区别对待逻辑来达成更好的平衡效果。 最后强调一点就是尽管单纯依靠调节速率阀值能够在一定程度上缓解压力但是绝不可能彻底根除隐患所在所以最好还是联合采用诸如动态主机配置协议绑定、静态映射维护等多种互补型防御手段一起构筑起全方位立体化的网络安全保障体系架构[^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值