如何避免ARP中毒?
许多网络攻击都是利用网络中的弱点进行的。 ARP 中毒也是一种这样的网络攻击。它利用地址解析协议 (ARP) 来攻击网络流量。在深入了解ARP中毒的概念之前,让我们先了解一下ARP协议。
ARP 协议:
在计算机网络的早期,地址解析协议 (ARP) 被广泛使用,因为它支持分层方法。在分层方法中,不同的层彼此独立工作。
ARP 在 MAC 地址和 IP 地址之间进行转换。 MAC 地址存在于数据链路层,IP 地址存在于网络层。通过这种方式,联网设备可以知道当前分配了当前 IP 地址的其他设备。此映射也可以对网络的其余部分公开。此外,为了保持效率,设备缓存所有响应以保留当前时刻的 MAC-IP 映射列表。
ARP中毒:
如前所述,此攻击利用 ARP 协议中存在的弱点来破坏网络上存在的映射。 ARP 协议于 1982 年推出,当时安全性不是问题。因此,没有设计用于验证 ARP 消息的身份验证机制。这样,即使是恶意设备也可以响应 ARP 请求。这是 ARP 协议的一个主要漏洞,因为它为恶意用户毒害其他设备的缓存留下了巨大的空间。如果发生这种情况,那么 ARP 缓存将被不正确的条目填充。
ARP中毒攻击涉及的一般步骤:
ARP 中毒攻击的步骤可以改变,但通常有以下步骤:
- 选择受害者:首先,选择一个目标。根据攻击的意图,它可以是单台机器或一组机器。此外,攻击者可以通过网络选择单个端点或一组端点。然而,最有吸引力的目标是路由器,因为这可能会破坏整个网络。
- 启动工具和发起攻击:要进行 ARP 中毒攻击,我们可以使用多种工具。选择特定工具后,配置设置,攻击者已准备好开始攻击。攻击者可以选择广播 ARP 消息或等待请求。
- 干预流量:破坏网络中的机器后,攻击者可以执行任何类型的恶意活动。他们可以更改、检查或永久阻止数据到达目的地。
各种ARP中毒攻击:
以下是几种主要的 ARP 中毒攻击类型:
- Man-in-the-Middle Attack :也缩写为 MiTM,这是一种攻击,其中第三人伪装成真实的一方进入画面。这是一种非常危险的攻击,中间人可以通过网络向其他设备发送虚假数据。此外,这会导致受害者机器被攻击设备的 MAC 地址而不是本地路由器的 MAC 地址的 ARP 缓存填充。受到攻击的机器会错误地将流量转发给攻击者。
- 拒绝服务攻击:也缩写为 DoS,它是一种旨在拒绝受害者访问网络的攻击。当 ARP 出现时,攻击者可以错误地将数千个 IP 地址映射到单个 MAC。这也称为 ARP 泛洪,它会影响整个网络的性能。
- 会话劫持:这些有点类似于中间人攻击。唯一存在的区别是攻击者不会恶意转发流量。相反,他接管了真正的 TCP 序列号来获取受害者的身份。
ARP中毒攻击的预防:
以下是避免 ARP 中毒攻击的五种方法:
1.静态ARP表:如果我们能确定MAC地址到IP地址的正确映射,问题就解决了一半。这可以做到,但对行政部门来说是沉重的。 ARP 表记录所有映射,并且在这些表中手动更新任何网络更改。现在,手动更新所有主机的 ARP 表对于组织来说是不可行的。
2. 交换机安全性:大多数以太网交换机都具有有助于缓解 ARP 中毒攻击的功能。这些功能也称为动态 ARP 检查 (DAI),有助于验证 ARP 消息并丢弃显示任何类型的恶意活动的数据包。这也允许限制 ARP 消息通过交换机的速率。
DAI 和其他此类功能现在不仅可用于高端网络设备,还可用于所有商业级交换机。通常,DAI 在所有端口上启用,但连接到其他交换机的端口除外。交换机上的端口安全有助于减少 ARP 缓存中毒攻击。在使用端口安全性时,攻击者不可能通过网络获取多个身份。这是因为,使用端口安全性,可以在交换机端口上配置单个 MAC 地址。
3. 物理安全:缓解 ARP 中毒攻击的一个非常简单的方法是控制业务的物理空间。 ARP 消息的路由仅发生在本地网络中。因此,可能的攻击者在物理上接近受害者的网络。此外,在无线系统的情况下,攻击者可能出现在街道或停车场。使用 802.1x 等技术有助于消除对设备和网络的任何威胁。
4. 网络隔离:由于ARP报文的范围不大于本地子网,所以一个分割良好的网络比一个正常的网络要好。这样,即使发生攻击,也只会影响网络的一部分,而其他部分是安全的。一个子网中的攻击不会影响任何其他子网中的设备。因此,可以将重要资源放置在具有高安全性的专用段中。
5. 加密:加密无助于防止 ARP 中毒,但它确实有助于减轻攻击时可能发生的损害。与中间人攻击的情况一样,登录凭据从网络中被盗。然而,使用 SSL 和 TLS 等技术,加密形式的数据可能会被盗,但可以被攻击者读取,从而使其对攻击者毫无用处。