ARP欺骗已流畅N久,遇到N次,说过N遍,可目前还是企业网络安全与信息安全的最大威胁来源。今日开贴做下总结,并附上一些工具。希望对各位同行有所帮助。
先讲几个误区:
防御:
看起来防御方法好像有很多,可总归说来,其实只有一个。但可喜的是,这个方法是有效的,并且是一劳永逸的。
不管是用瑞星防火墙、360反ARP还是ARP防火墙,对于ARP欺骗的防御其实不外乎一个绑定而已,只不过不同的产品可能附带一些分析与查找发包源的功能。可话说回来,如果做好了防御,ARP欺骗也不会对网络造成很大影响,所以ARP欺骗重在防御,方法:网关设备与终端计算机进行IP-MAC的双向绑定。
内网计算机访问外网不仅要发包,还得回包,所以在网关设备上对客户端的静态IP地址和MAC地址进行绑定十分重要,具体方法见贵单位网关设备说明书。
终端做绑定格式如下:
----------------------------------------------------
ARP -D
ARP -S 网关IP 网关MAC
EXIT
----------------------------------------------------
保存为BAT文件放到启动项中即可。
问题排除:
一样的,N多工具N多方法,归根结底只有一条:通过抓包软件对数据进行分析,复杂但准确彻底,使用工具简单但准确性无法保证。
具体方法不爽了baidu和google比我懂的多,只推荐一些工具:EtherPeek、SnifferPro、AntiARP等等等等甚至Windows自带的防火墙(详见http://bbs.ikaka.com/showtopic-8430850.aspx)
总结:
明白了ARP欺骗的原理和现象,明确了处理思路,方法就多了去了。不管捣乱者们再怎么变招,那也无需惧怕,反正方法就是要么我不听你骗我、要么你骗不了我、要么我干脆抓到骗子狂殴一顿.....
但还是有需要注意的就是:
有什么新的希望大家能补充,有处理不了的ARP欺骗实例也可贴来讨论,互相帮忙嘛
附上几个小工具:
可到原帖中下载
[阅读全文...]
挖客还挖到了什么 · · · · · ·