《Linux系统安全:纵深防御、安全扫描与入侵检测 》 —2.9 局域网中ARP欺骗的防御
【摘要】 本节书摘来自华章计算机《Linux系统安全:纵深防御、安全扫描与入侵检测》一书中第2章,第2.9节,作者是胥峰。
2.9 局域网中ARP欺骗的防御
在局域网中,ARP(Address Resolution Protocol,地址解析协议)欺骗是需要特别注意的一种攻击模式,笔者在工作中曾多次遇到这种攻击。ARP欺骗攻击的模型如图2-11所示。
图2-11 ARP欺骗攻击的模型
在图2-11中,被欺骗对象(IP地址为192.168.1.2,真实MAC地址为fa:38:4e:c0:fb:02)发送“①ARP请求(广播):IP地址为192.168.1.1的MAC地址是多少?”,该广播包被发送给同局域网内的所有服务器。攻击者(IP地址为192.168.1.3,真实MAC地址为fa:38:4e:c0:fb:03)抢先回复“②欺骗的ARP响应(单播):IP地址为192.168.1.1的MAC地址是fa:38:4e:c0:fb:03”。此时,被欺骗对象的ARP表中会增加一条IP和MAC地址的映射:192.168.1.1映射到fa:38:4e:c0:fb:03。被欺骗对象主动发到局域网外的任何数据都会被攻击者截获嗅探甚至修改。
防御ARP欺骗攻击的方式一般分为以下两种。
使用静态MAC地址绑定。例如,在图2-11中,在被欺骗对象上使用命令行执行以下语句即可:
arp -s 192.168.1.1 fa:38:4e:c0:fb:01
使用Linux下的arptables。例如,在图2-11中,在被欺骗对象上使用命令行执行以下语句即可:
arptables -A INPUT -i eth0 --src-ip 192.168.1.11 --src-mac ! fa:38:4e:c0:fb:01 -j DROP
【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)