ARP協定分析與攻擊防護（二）

• 一、ARP攻擊防禦
• • 1.1）靜态ARP綁定
  • 1.2）ARP防火牆
  • 1.3）硬體級ARP防禦

😐 uthor:朋小鋒

一、ARP攻擊防禦

1.1）靜态ARP綁定

手工綁定/雙向綁定

😐從上節課我們得知，當windows客戶機想要通訊時，需要向網關發送ARP廣播請求封包，網關收到ARP請求後會向客戶機發送ARP單點傳播應答封包，當客戶機收到應答後會在ARP快取記錄中添加一條網關的動态ARP緩存。

動态ARP緩存優先級：同一IP位址的後者Mac位址會覆寫前者Mac位址

靜态ARP緩存：手動配置IP位址對應的Mac位址（精準性）

靜态ARP緩存優先級＞動态ARP緩存優先級

💯 進而可以看出，靜态ARP緩存比動态ARP緩存更為安全!

😐朋小鋒：什麼？你讓我實操給你看？不了不了，君子動口不動手嘛~

windows客戶機上配置：

arp -s IP位址 MAC位址   #靜态綁定

arp -a     #檢視ARP快取記錄

😧王小慧：原來我離安全隻差“一配之隔”

👽 網關：萬一壞蛋ARP攻擊我怎麼辦，嘤嘤嘤~

😐朋小鋒：有我在，沒意外！你配嗎？

👽 網關：我不配！

🐜 ARP攻擊：你配嗎？

👽 網關：我配我配~

路由器上靜态綁定：

Router(config)#arp IP位址 MAC位址 arpa 端口号

😧王小慧：我我終于安全啦~

😐朋小鋒：其實靜态ARP綁定還是有缺點的。

😧王小慧：。。。。。。

優點：配置簡單

缺點：工作量大，維護量大

1.2）ARP防火牆

😐朋小鋒：@ARP防火牆 當你比Hacker更霸道時，你就能超越Hacker~

🚑ARP防火牆：不要問我為什麼知道網關是誰，天生滴！

自動綁定靜态ARP

🚑ARP防火牆：網關兄~我是朋小鋒，我是朋小鋒，我是朋小鋒，我是朋小鋒，我是朋小鋒，我是朋小鋒，我是朋小鋒…×N

👽 網關：你是複讀機嗎，我知道你是朋小鋒！

主動防禦

🐜 ARP攻擊：我是朋小鋒~

🚑ARP防火牆：我是朋小鋒，我是朋小鋒~

🐜 ARP攻擊：我是朋小鋒，我是朋小鋒，我是朋小鋒~

👽💢 網關：???

ARP防火牆會給網關帶來沉重的負擔

🐜 ARP攻擊：他真是個嘴強王者，不攻擊了，溜了溜了~~

🚑ARP防火牆渾然不知：警告警告，外敵入侵~

🚑一千個ARP防火牆：網關，我是朋小鋒，我是朋小鋒，我是朋小鋒~

👽💢 網關：你TM，我要瘋啦！！！！

優點：簡單易用

缺點：當開啟人數較多時，會增大網絡負擔

1.3）硬體級ARP防禦

😐朋小鋒：@管理型交換機 大哥請求支援！

👼 管理型交換機：來了老弟~

🐜 ARP攻擊：@DHCP伺服器 給勞資來個IP位址

😄DHCP伺服器：10.1.1.1拿去拿去

🐜 ARP攻擊：@網關兄，我是10.1.1.2

👼 管理型交換機：想騙網關兄，先過我這關~ho！

管理型交換機支援“端口”做動态ARP綁定（配合DHCP伺服器）

或做靜态ARP綁定

😐朋小鋒：你學會了嗎？啥？沒學會不要緊指令在此！

conf t

ip dhcp snooping  #開啟DHCP監聽功能

注:前提是交換機支援該指令！

😧王小慧：我48口的交換機，心累~

😐朋小鋒：有指令你還嫌累？行吧~安排！

int range f0/1 - 48

switch(config-range-if)#

😐最後朋小鋒回答上節課留下的問題：如果公司有人在做ARP欺騙，該如何找到此人？

答：畫個圈圈詛…不不不~你應該用nbtscan工具掃描全網段的IP位址和MAC位址，然後與全公司的MAC位址一一對應，就可以找出此人啦

啥？你連nbtscan工具都不會用，莫的怕，關注我，帶你認識不一樣的網絡安全