第3章分析ARP攻击与欺骗.docxVIP

第3章 分析ARP攻击与欺骗如上图所示，路由器的IP地址为：192.168.1.1，也是两台主机A、B的网关；交换机只需开启端口，不做任何设置；主机A作为攻击者，桥接到虚拟机windowsXP，IP地址为：192.168.1.2，安装网络执法官软件；主机B作为被攻击者，桥接到虚拟机Windows Server 2003，IP地址为：192.168.1.3，安装arp防火墙，然后再安装sniffer抓包工具，查看在开启arp防火墙之前，遭到攻击时抓到的包和开启防火墙之后的包有什么不同。具体步骤：在路由器的F0/0接口配置IP地址。如图所示：开启交换机所使用的接口。如图所示：主机A已经桥接到一台虚拟机XP，配置一个同网段的IP地址：192.168.1.2，网关指向路由器。如图所示：主机B已经桥接到一台虚拟机Server 2003，配置一个同网段的IP地址：192.168.1.3，网关指向路由器。如图所示：在XP上安装网络执法官软件。安装成功后，双击打开，会弹出如下所示的窗口，选择监控的IP地址段。在选择之前，此软件会自动扫描到与本机同网段的IP地址段，只需点击“添加/修改”。如果不想监控和自己同网段的IP地址段，可以自行修改，在点击“添加”。如图所示：上图操作完成之后，软件将自动扫描指定IP网段范围内的主机，并以列表的形式显示这些主机的MAC地址、IP地址、主机名称、主机状态等，如图所示：右击需要管理的主机，在弹出的快捷菜单中选择“手工管理”，弹出如下图所示的“手工管理”对话框。对主机的管理方式有三种，分别如下：IP冲突如果选择此项，被控主机屏幕的右下角将会提示IP冲突。禁止与关键主机组进行TCP/IP连接如果选择此项，被控主机将无法访问关键主机组中的成员禁止与所有主机进行TCP/IP连接如果选择此项，被控主机将和所有主机失去连接。点击上图中的“设置”按钮，在弹出的对话框中填写192.168.1.1（网关的IP地址），如下图所示，然后点击“全部保存”按钮。如图所示，选择“第1组”之后任意给定一个管理频率，点击“开始”摁扭。此时在被控主机的桌面右下键会一直显示IP地址冲突的警告信息。如图所示：然后再使用“ping”命令去访问网关时，就会出现如下图所示的结果。而且，使用“arp -a”命令时，会看到网关的MAC地址是虚假的。但是和其他主机还能通信。如图所示：处理ARP故障解决ARP故障的方法有三种，分别如下：第一种解决办法处理ARP欺骗攻击最一般的方法就是IP-MAC绑定，如下图所示，可以在客户端主机和网关路由器上双向绑定IP-MAC来避免ARP欺骗导致无法上网的问题。1）在主机上绑定网关路由器的IP和MAC，可以通过之前学习的“arp -s”命令实现。2)在网关路由器上绑定主机的IP和MAC，可以通过如下命令实现。如果要查看配置结果，可以通过命令“show iparp”。3）这时网络中如果有ARP病毒发作，或者用户非法使用类似网络执法官等软件便无法欺骗局域网中的主机了。另外，大部分ARP病毒或类似的欺骗软件都使用虚假的IP和MAC地址发送欺骗报文，所以，可在交换机上配置IP-MAC-Port的绑定，使交换机丢弃这些欺骗报文，从而防止其在全网泛滥。如下所示：Switch（config）# arp192.168.1.1 cc01.1370.0000 arpaf0/0Switch（config）# arp192.168.1.2 000c.29f9.323a arpa f0/1Switch（config）# arp192.168.1.3 000c.294c.3ca0 arpaf0/2第二种解决办法使用arp防火墙，自动抵御arp欺骗和arp攻击在被控主机（Server 2003）上安装arp防火墙并启用，在被控主机桌面的右下角会立刻弹出arp攻击并拦截的警告信息。如图所示：再使用“ping”命令访问网关时，结果如下所示：使用命令“arp -a”再次查看网关的MAC地址，能发现现在的网关MAC地址已经是真实的。ARP防火墙原理分析可以看出主动防御有三种模式：停用：关闭主动防御功能警戒：当受到攻击时启用主动防御，平时处于关闭状态始终启用：一直处于主动防御开启状态名词解释主动防御：ARP防火墙特有的功能，即定期向所有主机（同一网段内）发送ARP请求。默认情况下，该项处于警戒状态，速度为8个/秒。第三种解决办法在宽带路由器上绑定ARP注意：使用DHCP服务器分配地址时，可能造成同一台主机不同时间使用不同的IP地址。如果配置了静态ARP绑定，将造成该主机无法访问网络。使用Sniffer Pro捕获数据包注意：安装sniffer抓包工具的时候有如图所示几个地方需要注意，其他地方可以随便填写：安装并启动sniffer后，点击下图中标有红框的按