Question

ARP攻击怎样防御？

Answer 1

Arp
攻击最近一段时间不知道什么原因特别流行。
被攻击者会出现IP冲突或者掉线（ARP只能在内网有效）
常见的防御方法有以下几种
1.Arp防火墙，一般这种软件是通过从网络上获得ARP包进行分析来防御的，不过这种防御效果一般不是很好。
2.Arp
驱动级防火墙，比如360安全卫士的
Anti-Arp
防火墙就是这个原理，通过一个过滤驱动来过滤掉
Arp
包，不过同样也需要安装第三方软件但是防御效果比较好。
3.手动固化ARP缓存表。这个指对ARP攻击造成的掉线有效。方法如下
C:\>arp
-a
Interface:
192.168.1.5
---
0x20003
Internet
Address
Physical
Address
Type
192.168.1.1
08-10-17-cc-36-84
dynamic
C:\>arp
-s
192.168.1.1
08-10-17-cc-36-84
C:\>arp
-a...Arp
攻击最近一段时间不知道什么原因特别流行。
被攻击者会出现IP冲突或者掉线（ARP只能在内网有效）
常见的防御方法有以下几种
1.Arp防火墙，一般这种软件是通过从网络上获得ARP包进行分析来防御的，不过这种防御效果一般不是很好。
2.Arp
驱动级防火墙，比如360安全卫士的
Anti-Arp
防火墙就是这个原理，通过一个过滤驱动来过滤掉
Arp
包，不过同样也需要安装第三方软件但是防御效果比较好。
3.手动固化ARP缓存表。这个指对ARP攻击造成的掉线有效。方法如下
C:\>arp
-a
Interface:
192.168.1.5
---
0x20003
Internet
Address
Physical
Address
Type
192.168.1.1
08-10-17-cc-36-84
dynamic
C:\>arp
-s
192.168.1.1
08-10-17-cc-36-84
C:\>arp
-a
Interface:
192.168.1.5
---
0x20003
Internet
Address
Physical
Address
Type
192.168.1.1
08-10-17-cc-36-84
static
192.168.1.41
00-e0-e4-02-e3-e0
dynamic
C:\>
可以看到先显示的网关
192.168.1.1
的项目是
dynamic（动态）
这种动态的每隔一段时间会自动更新一次，所以攻击者就是通过伪造ARP包来更新对方的网关MAC到一个不存在的MAC上来实现ARP掉线攻击效果,而参数
“-s”
可以手动固化项目，所以第二次查就是
static（静态）
这样他的对应MAC就不会变了，也就不会掉线了不过对于IP冲突这个方法没法防御。