扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共3页)
首先我们先了解一下ARP协议。ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
我们再来了解一下ARP攻击与ARP欺骗。ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。 一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。
通过对ARP协议的了解,与ARP攻击/欺骗的工作原理的分析,大家可能都很清楚:保持路由器/交换机及PC的ARP表的正确性,保持正确的ARP信息不被修改,是非常重要的,也是彻底解决ARP问题的关键。再次,即时了解网络异常状态,自动隔离感染ARP病毒的PC和恶意的攻击破坏者,这都是每个网络管理者所企盼的。
针对于网络ARP威胁,我们推荐一款利器:正邦科技的NBADsensor——ARP威胁及异常侦测探测器。NBADsensor以实时侦测、即时通知、自动锁定、治疗复原为设计理念,以MAC-IP资料库为基本手段,对网络中的广播、组播及单播封包进行检测,可以解决IPscan侦测、Attack侦测、Anomaly侦测、强制DHCP、主机服务管制、DNS钓鱼侦测、广播风暴阻止……等危害网络安全的常见问题。
NBAD sensor为一个多功能整合型的网络资源暨威胁管理的解决方案产品,以探针的方式学习或探测或管理内网VLAN内部广播异常的封包,它不同于市面上一般布署在网关上的安全产品,可广泛探测网络内部各角落(VLAN)的异常网络行为,以期即早侦测或发现那些尚未被探测出特征的病毒或黑客攻击。NBAD sensor/analyzer 包含有两大可独立运作的部分:(一)NBADsensor - 是可应用于任何网络环境支持IEEE 802.1Q的封包检测器(packet sensor),此设备不仅可以检测骨干网络内各个Layer 2层VLAN内网络是否有异常ARP攻击,并可检查使用者是否有不符合规定的网络行为。(二) NBADmanager plus 为一个独立服务器可集中管理多个NBADsensor,功能包括:中央管理MAC/IP数据库收集、侦测与管理功能,ARP侦测功能 - 侦听、封锁、网络控制。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。