作为攻击源的主机伪造一个ARP响应包, 此ARP响应包中的IP与MAC地址对与真实的IP与MAC对应关系不同, 此伪造的ARP响应包广播出去后, 网内其它主机ARP缓存被更新, 被欺骗主机ARP缓存中特定IP被关联到错误的MAC地址, 被欺骗主机访问特定IP的数据包将不能被发送到真实的目的主机, 目的主机不能被正常访问。
四、 ARP欺骗的症状
网络时断时通
网络中断, 重启网关设备, 网络短暂连通
内网通讯正常、网关不通;
频繁提示IP地址冲突;
硬件设备正常, 局域网不通;
特定IP网络不通, 更换IP地址, 网络正常;
禁用-启用网卡, 网络短暂连通;
网页被重定向。
……………………
五、 ARP欺骗解决方案:
方案A:IP-MAC绑定
通过双向IP-MAC绑定可以抵御ARP欺骗, 解决由于ARP欺骗造成的网络掉线、IP冲突等问题, 保证网络畅通。
1、客户机绑定网关IP-MAC:在客户机设置网关IP与MAC为静态映射,
将如下内容复制到记事本中并保存为staticarp.reg, (网关IP、网关MAC根据实际情况填写, 例:"staticarp"="arp –s 192.168.0.1 00-01-02-03-04-05")
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"staticarp"="arp –s 网关IP 网关MAC "
将如下内容复制到记事本并保存到与staticarp.reg相同的文件夹位置, 文件名为run.bat, (网关IP、网关MAC根据实际情况填写, 例:"staticarp"="arp –s 192.168.0.1 00-01-02-03-04-05")
@each off regedit /s .\runstaticarp.reg
arp -s网关IP 网关MAC
双击运行run.bat
2、利用APC的软件分发功能给客户机分发IP-MAC绑定程序
将staticarp.reg、run.bat保存到同一文件夹下, 登录Ahnlab Plicy Center Admin, 服务器管理—登录分发软件—添加, <要分发的文件夹>选中保存staticarp.reg、run.bat的文件夹, <执行压缩文件名>中输入对所选择的文件夹压缩后生成的压缩文件的名称, <登录包名称>中输入应用程序名称, <说明>中输入简单说明, <解压缩后执行文件>中输入run.bat, 单击<确定>。
Ahnlab Plicy Center Admin—策略管理中选中需要分发的群组或客户机, 点右键, 紧急安全指令-分发, 选中<一般软件>, 选中要分发的软件, 点击<确认>。
3、网关绑定客户机IP-MAC:使用支持IP/MAC绑定的网关设备, 在网关设备中设置客户机的静态IP-MAC列表。
注:方案A可以抵御ARP欺骗, 保证网络正常运行, 但不能定位及清除ARP攻击源。
方案B:利用ARP命令及nbtscan定位ARP攻击源
1、确定ARP攻击源MAC地址
ARP欺骗发作时, 在受到ARP欺骗的计算机命令提示符下输入arp –a, APP缓存中网关IP对应的MAC地址如果不是真实的网关MAC地址, 则为ARP攻击源的MAC地址, 一个MAC地址对应多个IP地址的为ARP攻击源的MAC地址;在网关ARP缓存中一个MAC对应多个IP的为ARP攻击源的MAC地址。
2、定位ARP攻击源计算机
已全网面署APC2.5的环境:在Policy Center Admin 2.5中, 查找agent, 查找ARP攻击源的MAC地址, 定位攻击源计算机。
未布署APC2.5的环境:运行Nbtscan MAC扫描器gui.exe, 输入局域网IP地址范围, 点击开始, 显示局域网内IP、计算机名与MAC对应关系, 查找ARP攻击源MAC对应的IP地址及计算机名, 根据IP地址及计算机名定位攻击源计算机。