|
|
发表于 2010-3-1 16:32:48
|
显示全部楼层
1.首先看arp在我们的局域网中起到什么作用?
帮助我们将IP地址转换成对应的MAC地址,因为二层的交换是靠mac的而不是IP。
2.我们是不是每次发送数据都需要发送arp请求?
当然不需要因为这样的话我们中的广播流量太大,而且对于广播每个设备都需要去花时间去处理。在我们的本地可以保存这样的arp解析结果,我们可以通过arp -a的命令来查看。
3.那么arp的攻击是怎么来实现的呢?
如果说我们在本地保存着正确的arp条目,那么按照道理来讲我们就不会受到arp攻击的影响了,但是arp有一个很大的问题是,在一个设备主动发送arp响应的时候,他会根据响应的内容把自己的arp表修改掉,这也就是为什么arp对于局域网的影响这么大。
4.那么我们如何发现和保护网络不受到arp攻击的干扰呢?
首先我们是否可以保证我们不会被arp的响应,修改自己本地的arp表,答案是可以的我们可以通过静态绑定的形式来实现,但是这样多也会存在一些问题,如果我们的客户端非常的多,那么这种操作的工作量太大了,再有如果我们的网关是可以自动切换以保证冗余性的,那么这样的做法无疑会在切换的时候,使我们的网络通讯中断,那么是否我们可以在交换机这样的设备本身上实现这个功能呢,我们可以在配置交换机的时候确定什么样的接口发送的arp是可信的,什么接口是不可信的,这样就可以通过源头解决问题,在cisco的交换机上存在这样的功能,称之为arp inspection功能,如果我们的环境容许的话,建议部署上。
5.那么如果我现在已经受到了arp的攻击而需要马上定位攻击源,是网络恢复正常应该怎么做?
我们可以通过sniffer这样的工具在结合网络设备上的命令来查找攻击源。首先我们先登录到网关设备,查看正确的mac地址,然后再上受影响的主机看arp的信息是否正确,如果不正确记录下错误的mac地址信息,然后通过snifer来查看网络中的arp信息,同时在交换机的mac地址表中找到错误mac地址对应的端口号,同时将其切断,看问题是否可以解决。
这只是个基本的排错思路,如果你遇到的arp病毒通过随机的形式发送arp的错误响应的话,那么就要具体情况具体处理。 |
|
