ARP欺骗攻击与防御策略
工作目的
理解交换式局域网监听原理,掌握ARP欺骗过程和动态ARP检测
任务分析
ARP用于将目标IP地址转换为物理地址。常用于局域网内部主机之间基于MAC地址通信,源主机发送信息时将包含主机IP地址ARP请求广播发送网络中所有主机,并接受返回信息,将IP地址和MAC地址存入ARP缓存表
环境拓扑
基本配置
system-view
[Huawei]sysname AR1
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip ad 192.1.1.254 24
[AR1-GigabitEthernet0/0/0]q
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip ad 192.168.1.254 24
[AR1-GigabitEthernet0/0/1]q
各主机联通情况
查看ARP缓存
入侵实战
修改pc3的IP地址为pc1的IP地址
使用pc3进行ping
再次查看arp缓存
修改回pc3的地址
使其它pc进行ping
查看arp缓存
防范策略
绑定接口和mac地址
[AR1]user-bind static ip-address 192.168.1.1 mac-address 5489-9827-394D
pc3进行ping
查看arp缓存
重新改回192.168.1.3 pc3的地址,进行ping
任务总结
- 为防范ARP攻击,如果管理员没有开启动态ARP检测,在客户机上手动绑定网关IP和MAC地址关系
- ARP欺骗劫持不属于病毒木马,不能通过安装防病毒软件达到防范效果