欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

服务器的ARP欺骗攻击的防范的两种解决方法

程序员文章站 2022-06-20 20:54:07
服务器的arp欺骗攻击的防范          这些天我的服务器几乎天天都被人ar...
服务器的arp欺骗攻击的防范     
    这些天我的服务器几乎天天都被人arp欺骗攻击,网页被挂木马,实在烦死了,深圳的龙岗电信机房实在是够恶心的,不得已,我只好寻找一些防范arp攻击的方法,目前发现可以使用静态地址法和使用专用软件的方法来防范arp欺骗攻击。

  静态地址法指的是,在本地服务器上,将路由器的mac地址设置为静态的方式来阻止别人对我的arp攻击,如果你也越到了类似的arp欺骗攻击,也可以参考这个方法进行设置。

  首先,找到路由器真实的mac地址,在没有被攻击的条件下,输入命令arp -a 网关的ip地址,就可以找到,其中physical address里就是网关mac地址,显示类似00-07-e9-0a-77-93,其类型type通常为动态dynamic。我们的目的是要将其设置为静态static。

  接着, 使用arp -d命令删除目前的arp列表,再使用arp -s 网关ip地址 网关mac地址,将其设置为静态static。

  这时候,系统的arp就会变成静态了,但是如果服务器重新启动,这些设置就消失了,因此,编辑一个bat文件,内容为以上的arp -s的内容,将其加到“启动”菜单中,然后修改windows注册表使得windows可以自动登录,这样每次启动都会自动设置静态的arp了。

  如果感觉操作起来麻烦,或者使用上面的方法依旧无法阻止arp攻击,那么可以使用第二种方法,使用专门的arp防火墙软件来阻止别人的arp攻击。目前主要的arp防火墙产品有免费的奇虎360antiarp,其他大多都是收费的arp防火墙,根据我的使用感受,有一个叫antiarp的商用软件功能还是比较丰富的,软件价格是每台服务器199元。在服务器上安装这个软件之后,除了可以自动预防arp攻击之外,还可以使用这个arp防火墙软件查找出arp攻击者的ip地址。知道了攻击者的ip地址后,大家就可以将其截图后发给idc机房,要求机房关闭那台arp服务器,通常情况下机房会关闭病毒服务器,如果机房不关闭服务器,那就去*局报案,指控电信机房散布病毒。

  对于那些托管服务器却不做好安全设定的人,我劝他们先学好计算机知识后再托管服务器,否则以后肯定会吃大亏。对于那些主动在服务器上使用arp病毒工具的人,我鄙视他们,祝他们好自为之。

  附录:arp相关背景知识(来自欣向arp工具)
  arp欺骗原理:
  在局域网中,通信前必须通过arp协议来完成ip地址转换为第二层物理地址(即mac地址)。arp协议对网络安全具有重要的意义,但是当初arp方式的设计没有考虑到过多的安全问题,给arp留下很多的隐患,arp欺骗就是其中一个例子。而arp欺骗攻击就是利用该协议漏洞,通过伪造mac地址实现arp欺骗的攻击
技术。 

  在同一局域网内的电脑都是通过mac地址进行通讯的。方法为,pc和另一台设备通讯,pc会先寻找对方的ip地址,然后在通过arp表(arp表里面有所以可以通讯ip和ip所对应的mac地址)调出相应的mac地址。通过mac地址与对方通讯。也就是说在内网中各设备互相寻找和用来通讯的地址是mac地址,而不是ip地址。

  网内的任何一台机器都可以轻松的发送arp广播,来宣称自己的ip和自己的mac.这样收到的机器都会在自己的arp表格中建立一个他的arp项,记录他的ip和mac地址。如果这个广播是错误的其他机器也会接受。有了这个方法欺骗者只需要做一个软件,就可以在局域网内进行arp欺骗攻击了。

  arp的发现:

  arp的通病就是掉线,在掉线的基础上可以通过以下几种方式判别,
1.一般情况下不需要处理1分钟之内就可以回复正常上网。因为arp欺骗是由时限,过了期限就会自动的回复正常。而且现在大多数路由器都会在很短时间内不停广播自己的正确arp,使受骗的机器回复正常。但是如果出现攻击性arp欺骗(其实就是时间很短的量很大的欺骗arp,1秒有个几百上千的),他是不断的通过非常大量arp欺骗来阻止内网机器上网,即使路由器不断广播正确的包也会被他大量的错误信息给淹没。
2.打开被骗机器的dos界面,输入arp -a命令会看到相关的arp表,通过看到的网关的mac地址可以去判别是否出现arp欺骗,但是由于时限性,这个工作必须在机器回复正常之前完成。如果出现欺骗问题,arp表里面会出现错误的网关mac地址,和真实的网关mac一对黑白立分。