不少人反映在公司或网络服务器所在的局域网,经常遭受到一些ARP断网攻击,导致网内其他机器出现IP地址冲突或不能上网的症状。今天我们详细讲下什么是ARP攻击?如何防止ARP断网攻击?
一、什么是ARP
ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(也就是相当于OSI的网络层)地址解析为数据链路层(也就是相当于OSI的数据链路层)的物理地址(此处物理地址并不一定指MAC地址)。
二、什么是ARP攻击
ARP断网攻击仅能在以太网(局域网如:机房、内网、公司网络等)进行,是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且能让网络上特定计算机或所有计算机无法正常连接。
三、ARP攻击的原理
在局域网中如果有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过伪造IP地址和MAC地址实现ARP欺骗,截获所在网络内其它计算机的通信信息,持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击,也就是计算机的通信故障。
四、ARP攻击的现象
ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。如果局域网中是通过身份认证上网的,会突然出现认证通过,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。
一般情况下,受到ARP断网攻击的计算机会出现两种现象:
1、不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。
2、计算机不能正常上网,出现网络中断的症状。
因为这种攻击是利用ARP请求报文进行“欺骗”的,所以防火墙会误以为是正常的请求数据包,不予拦截,因此普通的防火墙很难防止ARP攻击。
五、如何防止ARP攻击
1、给目标电脑或者服务器安装ARP防火墙
如果是一般的电脑用户,安装了百度卫士、360卫士等,一般都会自带有ARP防火墙,可以防护ARP攻击。另外还有像彩影ARP防火墙、360ARP防火墙都是一些专门针对APR攻击开发的软件,如果攻击很厉害,不妨借助此类软件防护。
2、给电脑和网关绑定IP和MAC地址
ARP攻击的原理在于伪装成目标主机接受信息,如果在路由器端设置了IP与MAC表,也就是IP与MAC绑定,使用固定的ARP表,那么这种攻击就没有任何效果了。如果你的电脑安装了360那么直接点击木马防火墙---开启ARP防火墙,然后再局域网防护界面点击手动绑定防火墙,这样可以防止APR攻击。
3、如果是服务器用户,可以安装安全狗等专业的服务器安全软件,里面也具有较为强大的ARP防护能力。
以上关于什么是ARP攻击以及防止ARP断网攻击的解决办法就为大家分享到这里。建议大家根据自己的实际情况选择应对的方法,首次安装ARP防火墙的的时候会有短时间断网,重新连接就可以,希望本文对大家有所帮助。
本文链接:http://so.lmcjl.com/news/1045/