当前,在企事业单位局噎诼跌飙域网中,经常出现ARP断网攻击导致的局域网掉线和断网现象,严重干扰了公司网络的正常运转。那么如何才能有效防止ARP断网攻击呢?
嗑捭蟮阁办法部署专门的ARP攻击防护系统,检测发动ARP攻击的电脑并反击ARP攻击行为
当前国内有专门的反ARP攻击的软件,可以有效应对ARP攻击行为。例如“聚生网管”(百度搜索“聚生网管”直接下载吧)、“大势至内网安全卫士”(百度搜索“大势至内网安全卫士”直接下载吧)等等,不仅可以检测出局域网ARP攻击源主机,让网管员知道究竟是那台电脑发动了ARP攻击,而且还可以发起反击,隔离局域网发动ARP攻击的电脑,使之无法上网,甚至还无法和局域网其他电脑通讯,这样自然ARP攻击行为就会失效。因此,通过专门的网络安全软件是比较有效应对局域网ARP攻击行为的。如下图所示:
图:聚生网管的ARP攻击防护功能
图:大势至内网安全卫士ARP防护功能
此外,“聚生网管”软件还可以有效管理局域网电脑上网行为,可以禁止局域网P2P下载(尤其是可以完全禁止迅雷下载、限制BT下载)、控制局域网网络游戏、限制网购、禁止炒股、限制聊天、控制局域网网速、禁止上班看视频(如PPS、PPlive……)、监控网页访问等功能,可以有效管理员工上网行为,防止员工不适当的上网行为引发的网络安全事件;而“大势至内网安全卫士”则还可以禁止局域网电脑修改IP地址、禁止修改MAC地址、禁止代理上网、限制外来电脑接入(网络准入管理)、禁止私自安装无线路由器、检测局域网手机和平板电脑等功能,从而全面保护局域网网络安全。有兴趣的网友可以下载测试。
方法将局域网电脑进行网关静态绑定,从而可以有效防止ARP断网攻击。
XP、Windows2003等操作系统的网关ARP静态绑定
步骤一:
在能正常上网时,进入MS-DOS窗口(开始-运行-CMD,回车),输入命令:arp-a,查看网关的IP对应的正确MAC地址,并将其记录下来。
注意:如果已经不能上网,则先运行一次命令arp-d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话)。一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp-a。
步骤二:
如果计算机已经有网关的正确MAC地址,在不能上网只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。
要想手工绑定,可在MS-DOS窗口下运行以下命令:
arp-s网关IP网关MAC
例如:假设计算机所处网段的网关为192.168.1.1,本机地址为192.168.1.5,在计算机上运行arp-a后输出如下:
CocumentsandSettings>arp-a
Interface:192.168.1.5---0x2
InternetAddressPhysicalAddressType
192.168.1.100-01-02-03-04-05dynamic
其中,00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址,类型是动态(dynamic)的,因此是可被改变的。
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找该攻击的机器做准备。
手工绑定的命令为:
arp-s192.168.1.100-01-02-03-04-05(注意:不必用手输入,你可以直接复制,DOS命令下复制方法:右键点击,选择标记,然后拖动光标从网关的mac地址直到IP地址,然后右键点击一下即可复制,然后输入arp-s,然后在空格后面右键点击,选择“粘贴”,即可成功复制,回车即可)
绑定完,可再用arp-a查看arp缓存:
CocumentsandSettings>arp-a
Interface:192.168.1.5---0x2
InternetAddressPhysicalAddressType
192.168.1.100-01-02-03-04-05static
这时,类型变为静态(static),就不会再受攻击影响了。
但是,需要说明的是,手工绑定在计算机关机重启后就会失效,需要再次重新绑定。如果想永久绑定,就需要创建一个脚本。打开一个文本文件,复制下面的内容,然后保存为.bat文件,放到开机启动项即可。如下:
@echooff
arp-s192.168.1.100-01-02-03-04-05
end
Windows200Win8系统网关ARP静态绑定的方法
在Windows7操作系统下,如果是非管理员登录操作系统(如user),则运行聚生网管系统需要做网关的ARP静态绑定,否则可能导致运行聚生网管系统的控制机自身无法上网。
在Windows7之前的操作系统,如XP,直接执行arp-s命令即可绑定IP和MAC地址,但是在Win7下会遇到不能运行arp-s进行静态mac绑定的情况,提示“ARP项添加失败:拒绝访问。”(英文版提示:TheARPentryadditionfailed:Accessisdenied.)。
Win7下绑定IP和MAC地址操作和XP有所差别,Win7用户这时候就需要用netsh命令了。具体操作如下:
首先以管理员身份运行CMD打开命令行程序,方法:开始-程序-附件-命令提示符,点击右键选择“以管理员身份运行”)
CMD中输入:netshiishowin(注意:中间都有一个空格)
显示:(电脑中网卡的数量不同,网卡的安装次数会影响以下显示内容)
图1,查看上网连接的Idx序号
然后查询你上网网关的IP和MAC地址,执行ARP–A,回车即可,如下图:
图2:查看上网网关IP和MAC地址
在图1显示的内容中找到你用来上网连接的Idx那个号码,在下面命令中使用(假如你上网的网卡是“本地链接”所以Idx为11)。然后在命令提示符窗口输入以下命令(网关的IP和MAC地址根据图2获得):
netsh-c"ii"addneighbors11"192.168.1.1""00-19-5b-14-f7-40",然后回车
然后在命令提示符输入运行arp-a就可以看到绑定好的网关处于静态了,如下图所示:
图:查看ARP是否绑定成功
如过想解除绑定在CMD命令行程序里输入netshiireset回车就可以,不过需要重启才能生效。
综上所述,企业局域网防止ARP攻击、防范ARP断网攻击的方法很多,比如还有一些人可能会安装ARP防火墙来应对ARP欺骗,也是一种比较有效的方法,但是由于ARP防火墙会不断向路由器发送ARP缓冲报文,这样会无形中加大路由器的负担,因此不建议企业用户局域网使用。