战术攻防之近距离搏击篇(ARP)攻击(6)

对于局域网络的欺骗攻击隐秘性的攻击行为，如何才能保证信息的相对安全和隐私权的私属性呢？经过ARP欺骗攻击行为的分析，如下措施可以较好的抵御这种可耻的偷窃行为。

1、 在本地计算机使用静态ARP映像记录，特别本地网关记录应该是静态的。使用arp -s添加静态映射列表。抑制ARP的幻存中毒更新。(但对于大型网络，维护这样的MAC/IP表使非常困难的，如果某台机器的网卡坏了，调整MAC/IP的映射是及其烦琐的)

2、 使用反向ARP解析，找出同一MAC地址IP的来源(即使用RARP反向解析MAC为IP地址)。

3、 在交换机中使用Port/Mac的绑定功能，比如使能Port Security特性，每个端口只允许一个MAC映射，防止多个MAC地址对一个交换端口的映射，从而减少嗅叹的可能性。

4、使用ARPWATCH工具监测IP/MAC地址表的变化。其记录日志于/var/log/messages，形式为：

Sep 1 16:26:04 hostB arpwatch: changed ethernet address 192.168.1.3
04.04.04.04.04.04 (03.03.03.03.03.03)

表示MAC从原来的03.03.03.03.03.03变更为04.04.04.04.04.04，这意味着ARP攻击的征兆，需要引起高度注意。

5、 避免使用DHCP服务器进行网络的动态分址管理，因为在这样的环境中使用ARP欺骗攻击是很难被发现的。

6、 在基于安全会话的通信过程中，不要使用有安全漏洞的软件。

7、 安装snort入侵检测系统，通过使用arp欺骗预处理器侦测欺骗行为并发送邮件警告通知arp/ip的改变。

8、寻找Arp攻击主机，以Redhat为例：

nmap -sP {your local network}
arp -an | awk '{print $2 $4}' | sort | uniq -c | grep -v '1'

在DNS记录中查看其主机地址找出攻击者，制止攻击行为。

六、 小结

使用ARP协议漏洞所产生的攻击方式是非常隐蔽的，这种攻击所造成的危害却是非常巨大的，任何在网络流通的数据资料将被攻击者一览无余，而受害者却可能根本不知道自己已经受到了严重的窥视。由于协议而使网络本身具有的脆弱性，因此在时刻警惕网络的同时，最全面的做法在于改进协议的安全特性并不断提高人的修养素质，使网络的文明升级为一个资源共享，信息自由和尊重隐私的时代    

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]