?
一、名詞解釋
ARP日志,記錄ARP攻擊時的相關信息
ARP攻擊---英文原義:Address resoulution protocol
? ? ? ? ? ? ?? 中文釋義:地址解析協議
ARP協議的基本功能就是通過目標設置的IP地址,查詢目標設備的MAC地址以保證通信的順利進行。
?
二、如何使用
?
?
ARP的攻擊主要有以下幾種方式???
1.簡單的欺騙攻擊?
這是比較常見的攻擊,通過發(fā)送偽造的ARP包來欺騙路由和目標主機,讓目標主機認為這是一個合法的主機.便完成了欺騙.這種欺騙多發(fā)生在同一網段內.
2.交換環(huán)境的嗅探?
在最初的小型局域網中我們使用HUB來進行互連,這是一種廣播的方式,每個包都會經過網內的每臺主機,通過使用軟件,就可以嗅談到整個局域網的數據.現在的網絡多是交換環(huán)境,網絡內數據的傳輸被鎖定的特定目標.既已確定的目標通信主機.在ARP欺騙的基礎之上,可以把自己的主機偽造成一個中間轉發(fā)站來監(jiān)聽兩臺主機之間的通信.???
3.MAC?Flooding?
這是一個比較危險的攻擊,可以溢出交換機的ARP表,使整個網絡不能正常通信
4.基于ARP的DOS
這是新出現的一種攻擊方式,D.O.S又稱拒絕服務攻擊,當大量的連接請求被發(fā)送到一臺主機時,由于主機的處理能力有限,不能為正常用戶提供服務,便出現拒絕服務.這個過程中如果使用ARP來隱藏自己,在被攻擊主機的日志上就不會出現真實的IP.攻擊的同時,也不會影響到本機.?
防護方法:?
1.?IP+MAC訪問控制.?
單純依靠IP或MAC來建立信任關系是不安全,理想的安全關系建立在IP+MAC的基礎上.這也是我們校園網上網必須綁定IP和MAC的原因之一.?
2.?靜態(tài)ARP緩存表.?
每臺主機都有一個臨時存放IP-MAC的對應表ARP攻擊就通過更改這個緩存來達到欺騙的目的,使用靜態(tài)的ARP來綁定正確的MAC是一個有效的方法.在命令行下使用arp?-a可以查看當前的ARP緩存表.以下是本機的ARP表?C:Documents?and?Settingscnqing>arp?-a?
Interface:?210.31.197.81?on?Interface?0x1000003?Internet?Address?Physical?Address?Type?210.31.197.94?00-03-6b-7f-ed-02?dynamic?
其中"dynamic"?代表動態(tài)緩存,即收到一個相關ARP包就會修改這項.如果是個非法的含有不正確的網關的ARP包,這個表就會自動更改.這樣我們就不能找到正確的網關MAC,就不能正常和其他主機通信.靜態(tài)表的建立用ARP?-S?IP?MAC.?執(zhí)行"arp?-s?210.31.197.94?
00-03-6b-7f-ed-02"后,我們再次查看ARP緩存表.?C:Documents?and?Settingscnqing>arp?-a?
Interface:?210.31.197.81?on?Interface?0x1000003?Internet?Address?Physical?Address?Type?
210.31.197.94?00-03-6b-7f-ed-02?static?
此時"TYPE"項變成了"static",靜態(tài)類型.這個狀態(tài)下,是不會在接受到ARP包時改變本地緩存的.從而有效的防止ARP攻擊.靜態(tài)的ARP條目在每次重啟后都要消失需要重新設置.
3.?ARP?高速緩存超時設置?
在ARP高速緩存中的表項一般都要設置超時值,縮短這個這個超時值可以有效的防止ARP表的溢出.
4.?主動查詢?
在某個正常的時刻,做一個IP和MAC對應的數據庫,以后定期檢查當前的IP和MAC對應關系是否正常.定期檢測交換機的流量列表,查看丟包率.?
總結:ARP本身不能造成多大的危害,一旦被結合利用,其危險性就不可估量了.由于ARP本身的問題.使得防范ARP的攻擊很棘手,經常查看當前的網絡狀態(tài),監(jiān)控流量對一個網管員來說是個很好的習慣。
?
三、ARP問題處理思路
1、什么是ARP欺騙
ARP欺騙(英語:ARP spoofing),又稱ARP毒化(ARP poisoning,網上上多譯為ARP病毒)或ARP攻擊,是針對以太網地址解析協議(ARP)的一種攻擊技術,通過欺騙局域網內訪問者PC的網關MAC地址,使訪問者PC錯以為攻擊者更改后的MAC地址是網關的MAC,導致網絡不通。此種攻擊可讓攻擊者獲取局域網上的數據包甚至可篡改數據包,且可讓網上上特定計算機或所有計算機無法正常連線。最早探討ARP欺騙的文章是由Yuri Volobuev所寫的《ARP與ICMP轉向游戲》(ARP and ICMP redirection games)。
來自百度百科:
https://baike.baidu.com/item/ARP%E6%AC%BA%E9%AA%97
?
2、ARP欺騙的癥狀
??? (1)網絡時斷時通;
??? (2)網絡中斷,重啟網關設備,網絡短暫連通
??? (3)內網通訊正常、網關不通;
??? (4)頻繁提示IP地址沖突;
??? (5)硬件設備正常,局域網不通;
??? (6)特定IP網絡不通,更換IP地址,網絡正常;
??? (7)禁用-啟用網卡,網絡短暫連通;
??? (8)網頁被重定向。
?
3、如何解決ARP日志中出現的ARP攻擊記錄
ARP欺騙基于愛快ARP日志分為兩種情況
第一種情況:
ARP沖突(內網雙終端使用相同IP地址與路由通信)
解決辦法:
如果mac地址熟知是哪個終端,直接到對應終端的IPV4上查詢是
否使用靜態(tài)IP地址,故意造成沖突存在(解決辦法:修改非沖突
IP或者使用愛快自動獲取即可)。
如果mac地址不熟知,那么可以把IP沖突的兩個設備的Mac地址添加到Mac訪問控制里,禁止這兩個使用相同IP的終端上網,等待不能上網的人員聯系你就OK了哈;或者從物理架構上逐一排查,從一級交換到二級交換逐層拔掉網線,驗證拔到哪里時候ARP日志不再次出現,即發(fā)現設備,順網線找到設備核準上述問題情況或者檢查內網是否有其他DHCP服務端,未校驗分配狀態(tài),導致雙DHCP工作條件下的IP重復分發(fā)(解決辦法:關閉其他DHCP服務,同局域網標準僅允許一個DHCP服務)
第二種情況:
ARP欺騙(一般代指網關沖突,如愛快使用1.1,內網其他終端也在使用1.1),沖突與欺騙分別對應的是所處位置的看法(一般說使用者,也就是上網終端去理解)。對于使用相同IP的雙終端本身而言,他們之間就是ARP沖突;對于網關有多臺設備出現,這個就是對自己的欺騙。
解決辦法:
(1 ) 在網關沖突但是內網沒有其他DHCP服務器沖突的條件時:
簡單處理方式:必須找到對應也使用愛快路由器lan口,即網關地址的設備,
修改其使用IP地址,與局域網真實網關不同。
復雜處理方式:在無法找到或者無法修改,請直接修改愛快路由器的lan口IP
并伴隨修改愛快DHCP服務。
(2) 如果在愛快路由器上檢測有網關沖突并且內網還有其他DHCP服務器的時候:
簡單處理方式:找到對應也使用愛快路由器lan口,即網關地址的設備,修改其使
用IP地址,與局域網真實網關不同。關閉其DHCP服務。
復雜處理方式:直接修改愛快路由器的lan口IP并伴隨修改愛快DHCP服務。
并且在接入的交換機上啟用DHCPsnooping,接終端的網
口設為不信任口,接上級路由器的網口設為信任口;確保客戶端
從合法的DHCPServer獲取IP地址。
(3)如果上述方法沒有辦法實際操作,可以采用支持端口隔離功能的的交換機,在交
換機上開啟端口隔離功能實現此功能。不過端口隔離技術也有缺點,就是計算機之間不能實現互訪和共享。
?
?
三、常見問題
問:日志中心相關【用戶日志、功能日志、系統(tǒng)日志】的日志可以記錄多久?
答:日志中心是根據條數來循環(huán)的最大記錄條數如下;
sys_event? ? ? ? ? ? ? ? ? ? ? ? ?=5000,? ? ? ? ? ? ? ? ? ? ? ?系統(tǒng)日志
Pppd? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? =5000,? ? ? ? ? ? ? ? ? ? ? ?認證日志
Arp? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? =20000,? ? ? ? ? ? ? ? ? ? ? ARP日志
Pppauth? ? ? ? ? ? ? ? ? ? ? ? ? ?=20000,? ? ? ? ? ? ? ? ? ? ? 認證日志
ik_dhcpd? ? ? ?? ? ? ? ? ? ? ? ? ?=20000,? ? ? ? ? ? ? ? ? ? ? DHCP日志
Ddns? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? =5000,? ? ? ? ? ? ? ? ? ? ? ?動態(tài)域名日志
Webadmin? ? ? ? ? ? ? ? ? ? ? ? =5000,? ? ? ? ? ? ? ? ? ? ? ? 操作日志
Wanpppoe? ? ? ? ? ? ? ? ? ? ? ? =5000,? ? ? ? ? ? ? ? ? ? ? ? 外網撥號日志
PPPoe_server? ? ? ? ? ? ? ? ? ? =500,? ? ? ? ? ? ? ? ? ? ? ? ? 推送通知日志
ap_action? ? ? ? ? ? ? ? ? ? ? ? ?=10000,? ? ? ? ? ? ? ? ? ? ? ?無線終端日志
rt_collect_event? ? ? ? ? ? ? ? =20000,? ? ? ? ? ? ? ? ? ? ? ?告警信息
