技能竞赛-信息安全管理与评估-ARP欺骗攻击的检测与防御.pptx

技能竞赛-信息安全管理与评估-

ARP欺骗攻击的检测与防御

版权说明本文档来自张玉清作者的《网络攻击与防御技术》。若作者对本资料使用持有异议，请及时与本网站联系，我们将在第一时间妥善处理。

ARP欺骗攻击的检测与防御如何检测局域网中存在ARP欺骗攻击如何发现正在进行ARP攻击的主机ARP欺骗攻击的防范

如何检测局域网中存在ARP欺骗攻击网络频繁掉线网速突然变慢使用ARP–a命令发现网关的MAC地址与真实的网关MAC地址不相同使用sniffer软件发现局域网内存在大量的ARPreply包

如何发现正在进行ARP攻击的主机 如果你知道正确的网关MAC地址，通过ARP–a命令看到的列出的网关MAC与正确的MAC地址不同，那就是攻击主机的MAC。使用Sniffer软件抓包发现大量的以网关的IP地址发送的ARPreply包，包中指定的MAC就是攻击主机的MAC地址。使用ARP保护程序发现攻击主机的MAC：43/tools/ArpFix.rar

ARP欺骗攻击的防范MAC地址绑定，使网络中每一台计算机的IP地址与硬件地址一一对应，不可更改。使用静态ARP缓存，用手工方法更新缓存中的记录，使ARP欺骗无法进行。使用ARP服务器，通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。使用ARP欺骗防护软件，如ARP防火墙。及时发现正在进行ARP欺骗的主机并将其隔离。

ARP欺骗攻击的防范示例：在Windows下使用静态的ARP表假设我们事先已知网关54的MAC地址为：00-0f-7a-02-00-4b查看主机当前的ARP表，命令为arp–a，可以查看到当前的ARP表中的记录，都是动态的把网关的arp记录设置成静态，命令为arp-s5400-0f-7a-02-00-4b再次用arp–a命令查看ARP表，发现网关的ARP记录已经设置成静态，操作过程见下页

ARP欺骗攻击的防范示例：在Windows下使用静态的ARP表

ARP欺骗攻击的防范示例：ARP防火墙()