什么是ARP攻击(2)?
OK,我们继续!面对ARP攻击,其实,我们很无赖!这是协议BUG,没办法防御,网上很多防御措施,但,在ARP洪水攻击下,网络质量都会大大下降!防御ARP攻击最有效的方式还是IP—MAC的三向绑定!
1、主机端静态绑定
2、网关端静态绑定
3、交换机静态绑定
ARP攻击者一样可以改写网关的MAC缓冲池,导致网关转发数据包时,出现错误!交换机中也有MAC缓冲池,所以一样要静态绑定!平时的那些ARP防火墙,在实际应用中,偶尔会导致正常应用出现问题!有条件的朋友,一定要要求IDC托管商进行交换机绑定。Toad在CSNA找了两个ARP攻击的sniffer结果,对了,还得说一下,对于初学者做sniffer实验时,最好选用HUB不要用SWITCH,原因,我们以后解释。请看下图:
这个例子,不是真正意义上的ARP攻击!只是作者自己用软件模拟的“ARP广播风暴”式攻击!为什么叫“广播式”呢?大家看,这些ARP攻击包的目标MAC全为:FFFF-FFFF-FFFF(二层广播地址),交换机接到这种ARP包,会转发给交换机上所有电口所接的主机!主机接到这种ARP广播包,链路层是不会直接删除的!
我们来说说,正常的ARP请求包该是个什么样子。正常ARP请求包目的MAC也为:FFFF-FFFF-FFFF,但目的IP是为空的,为什么呢?原因很简单,如果已然知晓对方IP,就没有理由再发出ARP请求包了!大家看看这些ARP攻击包是什么样子:
目标IP不为空,而且,每个ARP包中的目标IP都不一样,这一点,只有大家自己用“科来”打开Sniffer包看一下了!后面,Toad会上传的!
如果你的网段中,出现以下现象:
1、ARP请求包的包量大
2、ARP请求包的目的MAC全为FFFF-FFFF-FFFF
3、ARP请求包中的目的IP不为空,而且,动态变化
不用怀疑,ARP攻击来了!
ARP广播风暴抓包实例:点击下载
文章来源于>>TCP/IP协议分析博客 转载请注明:Toad的博客
.text:''):(d.getSelection?d.getSelection():'');void(keyit=window.open('http://my.poco.cn/fav/storeIt.php?t='+escape(d.title)+'&u='+escape(d.location.href)+'&c='+escape(t)+'&img=http://www.h-strong.com/blog/logo.gif','keyit','scrollbars=no,width=475,height=575,status=no,resizable=yes'));keyit.focus(); "添加到POCO网摘"){kind=logo}
