局域網(wǎng)下基于ARP欺騙的中間人攻擊與防御

玉露清雨 2013-11-20

展開全文

摘　要：本文旨在探討局域網(wǎng)中如何發(fā)起基于ARP欺騙的中間人攻擊及其防御方法,。文中詳細(xì)介紹了在局域網(wǎng)中如何借助特定工具發(fā)起中間人攻擊的過程，揭示了局域網(wǎng)潛在的一類安全威脅,，并通過在具有代表性的網(wǎng)絡(luò)設(shè)備上部署和配置防御策略以應(yīng)對此類安全威脅,。

關(guān)鍵詞：局域網(wǎng)；攻防,；ARP欺騙,；中間人攻擊（MITM）

1.ARP欺騙與中間人攻擊
　　1.1 ARP欺騙
　　常見的ARP欺騙的方法有兩種，一種是通過修改遠(yuǎn)程計(jì)算機(jī)ARP緩存表中的網(wǎng)關(guān)MAC地址為一個(gè)虛假或不存在的地址,，使得受到欺騙的計(jì)算機(jī)無法上網(wǎng),；另一種方法是通過修改遠(yuǎn)程計(jì)算機(jī)中ARP緩存的網(wǎng)關(guān)地址為攻擊者的MAC地址，同時(shí)修改網(wǎng)關(guān)設(shè)備上ARP緩存中遠(yuǎn)程計(jì)算機(jī)的MAC地址為攻擊者的MAC地址,，從而使二者的流量都流經(jīng)攻擊者機(jī)器,。后一種方法常用于中間人攻擊之中。
　　1.2 中間人攻擊

中間人攻擊（Man-in-the-Middle Attack,，簡稱“MITM攻擊”）是一種“間接”的入侵攻擊,，這種攻擊模式是通過各種技術(shù)手段將受入侵者控制的一臺(tái)計(jì)算機(jī)虛擬放置在網(wǎng)絡(luò)連接中的兩臺(tái)通信計(jì)算機(jī)之間，這臺(tái)計(jì)算機(jī)就稱為“中間人”,。

2.發(fā)起中間人攻擊
　　在日的常網(wǎng)絡(luò)管理過程中,，Telnet是網(wǎng)管人員常用的遠(yuǎn)程管理工具。下面,，筆者通過實(shí)施一次針對于Telnet的中間人攻擊以捕獲Telnet密碼,，并根據(jù)自己在網(wǎng)絡(luò)管理中的一些經(jīng)驗(yàn)，談?wù)勅绾畏烙祟惞簟?BR>　　本文以由思科2960交換機(jī)互連組成的局域網(wǎng)為例作介紹,。設(shè)置攻擊機(jī)器IP地址為192.168.100.10,，Linux操作系統(tǒng)，其上運(yùn)行ettercap軟件,，此軟件可在其官網(wǎng)下載,，其主頁鏈接為http://ettercap.，網(wǎng)絡(luò)管理員機(jī)器（受害者）IP地址為192.168.100.51,，網(wǎng)關(guān)設(shè)備IP地址為192.168.100.254,，攻擊機(jī)器通過ARP欺騙來獲取網(wǎng)管人員輸入的Telnet密碼。需要說明的是，使用交換機(jī)或路由器對本次演示效果沒有影響,。

3.幾種防御方法
　　3.1 在PC機(jī)上的防御方法
　　在PC機(jī)上一般采用將IP地址和MAC地址靜態(tài)綁定的方法來防止ARP緩存條目被篡改,。例如將本文中網(wǎng)關(guān)設(shè)備的IP地址和MAC地址綁定的命令為：arp -s 192.168.100.254 00-22-90-B0-28-68。

3.2 在交換機(jī)上的防御方法
　　在交換機(jī)上防御此類攻擊,，可在需要防護(hù)ARP攻擊的vlan（以vlan 1 為例）上啟用Dynamic Arp Inspection,，以本文中的Catalyst 3560交換機(jī)為例，關(guān)鍵配置命令如下：
　　Ip arp inspection vlan 1   //對VLAN1啟用DAI探測
　　Int f0/2                 //進(jìn)入信任端口
　　Ip arp inspection trust   //信任此端口,，不進(jìn)行DAI探測
　　通過以上配置,，交換機(jī)可以輕易探測出攻擊者所在端口，并將端口置于error-disable狀態(tài),，能阻止中間人攻擊的發(fā)生,。

3.3 在路由器上的防御方法
　　實(shí)施防御的最佳策略是部署SSH。以思科路由器為例,，全局模式下配置SSH的關(guān)鍵命令如下：
　　Username test password test   //配置用戶名密碼
　　Ip domain-name test.com      //設(shè)定域名
　　Crypto key generate rsa      //產(chǎn)生RSA密鑰
　　1024                         //位數(shù)為1024位
　　Line vty 0 4                //進(jìn)入虛擬終端線路
　　Transport input ssh         //采用SSH登入
　　Login local     //使用本地?cái)?shù)據(jù)庫驗(yàn)證
　　完成SSH部署后,，攻擊者嗅探到的內(nèi)容為亂碼。

總結(jié)：以上3種方法能較好的防御局域網(wǎng)中由ARP欺騙引發(fā)的中間人攻擊,，然而局域網(wǎng)中的攻擊和安全威脅遠(yuǎn)遠(yuǎn)不止于此,，在做好技術(shù)層面的防御的同時(shí)，業(yè)要重視安全教育,，雙管齊下,。

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布,，不代表本站觀點(diǎn),。請注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息,，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,，請點(diǎn)擊一鍵舉報(bào),。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自：玉露清雨 > 《電腦辦公》

舉報(bào)/認(rèn)領(lǐng)