企業可以通過發布網絡管理制度來禁止ARP欺騙問題的發生,發現有欺騙者和獎金等效益掛鉤。但是網吧不同于企業,來使用計算機和網絡的都是顧客,也就是“上帝”,我們不可能對他們的行為做過多的約束,所以唯一能做的就是從技術上盡最大可能約束和檢查ARP欺騙的來源。
一 sniffer檢測法:
sniffer是網絡管理的好工具,網絡中傳輸的所有數據包都可以通過sn iffer來檢測。同樣arp欺騙數據包也逃不出sniffer的監測范圍。
一般來說ARP欺騙數據包沒有留下發送虛假信息的主機地址,但是承載這個ARP包的ethernet幀卻包含了他的源地址。而且正常情況下ethernet數據幀中,幀頭里的MAC源地址/目標地址應該和幀數據包中ARP信息配對,這樣的ARP包才算是正確的。
如果不正確,肯定是假冒的包,當然如果匹配的話,我們也不能過于放松,一樣不能代表是正確的,另外通過檢測到的數據包再結合網關這里擁有的本網段所有MAC地址網卡數據庫,看看哪個和Mac數據庫中數據不匹配,這樣就可以找到假冒的ARP數據包,并進一步找到兇手了。
關于MAC地址網卡數據庫可以在第一次裝系統的時候進行記錄,將網吧座位號與MAC地址等信息做一個對應表格。查看MAC地址的方法是通過“開始->運行”,進入命令提示窗口,然后輸入ipconfig /all。在physical address的右邊就是相應網卡的MAC地址。
二,DHCP結合靜態捆綁法:
要想徹底避免ARP欺騙的發生,我們需要讓各個計算機的MAC地址與IP地址唯一且相對應。雖然我們可以通過為每臺計算機設置IP地址的方法來管理網絡,但是遇到那些通過ARP欺騙非法攻擊的用戶來說,他可以事先自己手動更改IP地址,這樣檢查起來就更加復雜了,所以說保證每臺計算機的MAC地址與IP地址唯一是避免ARP欺騙現象發生的前提。
(1)建立DHCP服務器保證MAC地址與IP地址唯一性:
首先我們可以在windows 2000 server或其他服務器版操作系統上啟用DHCP服務,為網吧建立一個DHCP服務器,一般來說建議在網關上搭建。因為DHCP不占用多少CPU,而且ARP欺騙攻擊一般總是先攻擊網關,攻擊網關的同時由于網關這里有監控程序,所以可以在第一時間發現攻擊行為。當然為了減少攻擊的發生機率我們也可以把網關地址設置為網段的第二個地址,例如192.168.1.2,把
192.168.1.1
另外所有客戶機的IP地址及其相關主機信息,只能由網關這里取得,網關這里開通DHCP服務,但是要給每個網卡,綁定固定唯一IP地址。一定要保持網內的機器IP/MAC一一對應的關系。這樣客戶機雖然是DHCP取地址,但每次開機的IP地址都是一樣的。
以上這些綁定關系可以通過DHCP的地址池來解決,或者將客戶端獲得IP等網絡參數信息的租約設置為一個非常長的時間,例如一年或者無限時間,這樣在此時間段里只要MAC地址不變,客戶端獲得的IP地址也是不變的。
(2)建立MAC地址數據庫:
把網吧內所有網卡的MAC地址記錄下來,每個MAC和IP、地理位置統統裝入數據庫,以便及時查詢備案。可以以EXCEL表格的形式,也可是保存成數據庫文件。
(3)禁止ARP動態更新:
為了防止網關被隨意攻擊,我們還需要在網關機器上關閉ARP動態刷新功能,這樣的話,即使非法用戶使用ARP欺騙攻擊網關的話,對網關是無效的,從而確保主機安全。在網關上建立靜態IP/MAC捆綁的方法如下。
第一步:建立/etc/ethers文件,其中包含正確的IP/MAC對應關系,格式為192.168.2.32 08:00:4E:B0:24:47。
第二步:然后在/etc/rc.d/rc.local最后添加arp -f生效即可。
上面這個禁止ARP動態更新的方法是針對Linux系統而言的。
(4)網關監測:
在網關上面使用TCPDUMP程序截取每個ARP程序包,弄一個腳本分析軟件分析這些ARP協議。ARP欺騙攻擊的包一般有以下兩個特點,滿足之一就可以視為攻擊包報警,第一是以太網數據包頭的源地址、目標地址和ARP數據包的協議地址不匹配。第二是ARP數據包的發送和目標地址不在自己網絡網卡MAC數據庫內,或者與自己網絡MAC數據庫MAC/IP不匹配。我們也可以通過腳本分析軟件實現自動報警功能,最后查這些數據包(以太網數據包)的源地址就大致知道那臺機器在發起攻擊了。
三,總結:
ARP欺騙是目前網絡管理,特別是局域網管理中最讓人頭疼的攻擊,他的攻擊技術含量低,隨便一個人都可以通過攻擊軟件來完成ARP欺騙攻擊。同時防范ARP欺騙也沒有什么特別有效的方法。
目前只能通過被動的亡羊補牢形式的措施了。本文介紹的兩個方法都是針對ARP欺騙防范的,希望對讀者有所幫助。當然很多網絡管理軟件開發公司都推出了自己的防范ARP欺騙的產品,這些產品良莠不齊,大家選擇時更要仔細。
