青青子衿, 悠悠我心, 但为君故, 沉吟至今
« Google Earth和Google Maps的近期更新汇总奇虎推出免费ARP防火墙 »

服务器的ARP欺骗攻击的防范

  这些天我的服务器几乎天天都被人ARP欺骗攻击,网页被挂木马,实在烦死了,深圳的龙岗电信机房实在是够恶心的,不得已,我只好寻找一些防范ARP攻击的方法,目前发现可以使用静态地址法和使用专用软件的方法来防范ARP欺骗攻击。

  静态地址法指的是,在本地服务器上,将路由器的MAC地址设置为静态的方式来阻止别人对我的ARP攻击,如果你也越到了类似的ARP欺骗攻击,也可以参考这个方法进行设置。

  首先,找到路由器真实的MAC地址,在没有被攻击的条件下,输入命令arp -a 网关的IP地址,就可以找到,其中Physical Address里就是网关MAC地址,显示类似00-07-e9-0a-77-93,其类型Type通常为动态dynamic。我们的目的是要将其设置为静态static。

  接着, 使用arp -d命令删除目前的arp列表,再使用arp -s 网关IP地址 网关MAC地址,将其设置为静态static。

  这时候,系统的ARP就会变成静态了,但是如果服务器重新启动,这些设置就消失了,因此,编辑一个BAT文件,内容为以上的arp -s的内容,将其加到“启动”菜单中,然后修改Windows注册表使得Windows可以自动登录,这样每次启动都会自动设置静态的ARP了。

  如果感觉操作起来麻烦,或者使用上面的方法依旧无法阻止ARP攻击,那么可以使用第二种方法,使用专门的ARP防火墙软件来阻止别人的ARP攻击。目前主要的ARP防火墙产品有免费的奇虎360antiarp,其他大多都是收费的ARP防火墙,根据我的使用感受,有一个叫antiarp的商用软件功能还是比较丰富的,软件价格是每台服务器199元。在服务器上安装这个软件之后,除了可以自动预防ARP攻击之外,还可以使用这个ARP防火墙软件查找出ARP攻击者的IP地址。知道了攻击者的IP地址后,大家就可以将其截图后发给IDC机房,要求机房关闭那台ARP服务器,通常情况下机房会关闭病毒服务器,如果机房不关闭服务器,那就去公安局报案,指控电信机房散布病毒。

  对于那些托管服务器却不做好安全设定的人,我劝他们先学好计算机知识后再托管服务器,否则以后肯定会吃大亏。对于那些主动在服务器上使用arp病毒工具的人,我鄙视他们,祝他们好自为之。

  附录:ARP相关背景知识(来自欣向ARP工具)

  ARP欺骗原理:

  在局域网中,通信前必须通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)。ARP协议对网络安全具有重要的意义,但是当初ARP方式的设计没有考虑到过多的安全问题,给ARP留下很多的隐患,ARP欺骗就是其中一个例子。而ARP欺骗攻击就是利用该协议漏洞,通过伪造MAC地址实现ARP欺骗的攻击技术。

  在同一局域网内的电脑都是通过MAC地址进行通讯的。方法为,PC和另一台设备通讯,PC会先寻找对方的IP地址,然后在通过ARP表(ARP表里面有所以可以通讯IP和IP所对应的MAC地址)调出相应的MAC地址。通过MAC地址与对方通讯。也就是说在内网中各设备互相寻找和用来通讯的地址是MAC地址,而不是IP地址。

  网内的任何一台机器都可以轻松的发送ARP广播,来宣称自己的IP和自己的MAC.这样收到的机器都会在自己的ARP表格中建立一个他的ARP项,记录他的IP和MAC地址。如果这个广播是错误的其他机器也会接受。有了这个方法欺骗者只需要做一个软件,就可以在局域网内进行ARP欺骗攻击了。

  ARP的发现:

  ARP的通病就是掉线,在掉线的基础上可以通过以下几种方式判别,1.一般情况下不需要处理1分钟之内就可以回复正常上网。因为ARP欺骗是由时限,过了期限就会自动的回复正常。而且现在大多数路由器都会在很短时间内不停广播自己的正确ARP,使受骗的机器回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP,1秒有个几百上千的),他是不断的通过非常大量ARP欺骗来阻止内网机器上网,即使路由器不断广播正确的包也会被他大量的错误信息给淹没。2.打开被骗机器的DOS界面,输入ARP -A命令会看到相关的ARP表,通过看到的网关的MAC地址可以去判别是否出现ARP欺骗,但是由于时限性,这个工作必须在机器回复正常之前完成。如果出现欺骗问题,ARP表里面会出现错误的网关MAC地址,和真实的网关MAC一对黑白立分。



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/1089.html
  • 文章排行:
  • 1.sfadgsfg
  • "发现ARP欺骗,已被成功拦截"是不是说我的电脑已经安全了,有人在不,知道的说下啊!~前不久我的游戏帐号被盗了两次,真是可恶,我现在用的是瑞星安全助手软件!~
  • 2009/1/22 10:40:18   支持(13)反对(5) 回复
  • 2.Gomain
  • 深圳的龙岗电信机房实在是够恶心的,居然这样都不作处理。
  • 2007/10/13 18:05:03   支持(11)反对(5) 回复
  • 3.sfadgsfg
  • 有人在吗??具体说下怎么静态设置好吗!~!~!~!~!~!~!~!~QQ1044173118
  • 2009/1/22 10:41:51   支持(11)反对(5) 回复
  • 4.Heyi
  • 被ARP攻击了,Google的收录也基本上就作废了啊,只好换域名了。
  • 2007/10/12 21:57:03   支持(8)反对(4) 回复
  • 8.小玩
  • 还是沙发!!!希望沙发永远属于我的!!
  • 2007/10/12 19:03:45   支持(6)反对(4) 回复
  • 9.istef
  • 我学校里上个学期受 ARP 骚扰,校园网几乎要挂掉。
    静态绑定 mac 和 IP 是很有效的解决方案,我们最后就是全学校统一用这个方法并分发 NOD32 才把这个问题解决了 -_-b
    antiarp 我用过一款小软件,功能跟你说的那个类似,不过好像是免费的。
    另外,现在新的 360安全卫士里面也有 arp 防火墙。
  • 2007/10/12 21:03:03   支持(8)反对(6) 回复
  • 13.雨豪
  • ARP欺骗并不是很严重的问题,托管的服务器都必须绑定ARP的.就连中国频道这个的服务商也遭到ARP欺骗,只能说管理员的素质低下,别无他言.
  • 2007/10/13 12:41:32   支持(7)反对(8) 回复
  • 15.kake
  • win 2003好像不能用啊
    我也是龙岗电信机房的
    ARP恶心啊!
  • 2007/10/27 9:01:40   支持(6)反对(8) 回复
  • 17.Maya
  • 唉,今天发现在北京的网吧上网要先交上良民证.
  • 2007/10/12 21:48:09   支持(4)反对(8) 回复
  • 18.我是我
  • ARP攻击的确很恶心,机房内部应该做好安全
  • 2007/10/13 15:16:07   支持(7)反对(11) 回复
  • 19.sfadgsfg
  • “首先,找到路由器真实的MAC地址,在没有被攻击的条件下,输入命令arp -a 网关的IP地址,就可以找到,其中Physical Address里就是网关MAC地址,显示类似00-07-e9-0a-77-93,其类型Type通常为动态dynamic。我们的目的是要将其设置为静态static。

      接着, 使用arp -d命令删除目前的arp列表,再使用arp -s 网关IP地址 网关MAC地址,将其设置为静态static。

      这时候,系统的ARP就会变成静态了,但是如果服务器重新启动,这些设置就消失了,因此,编辑一个BAT文件,内容为以上的arp -s的内容,将其加到“启动”菜单中,然后修改Windows注册表使得Windows可以自动登录,这样每次启动都会自动设置静态的ARP了。”
    引自原文。 其中“路由器”什么的不懂啊!~我不是学计算机专业的,不懂这些专业词汇,能不能说的具体点啊!~非常感谢!~
  • 2009/1/22 10:46:59   支持(7)反对(12) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.