ARP攻击的原理,现象,和解决方法
ARP(Address Resolution Protocol)即地址解析协议,是一种将IP地址转化成物理地址的协议。
具体说来就是将网络层(IP地址,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。
ARP欺骗有两种攻击可能
1.对路由器ARP表的欺骗
2.对内网电脑ARP表的欺骗
当然也可能两种攻击同时进行。不管怎么样,欺骗发送后,电脑和路由器之间发送的数据可能就被送到错误的MAC地址上,从表面上来看,就是“上不了网”,“访问不了路由器”,“路由器死机了”,因为一重启路由器,ARP表会重建,如果ARP攻击不是一直存在,就会表现为网络正常,所以用户更加确定是路由器“死机”了,而不会想到其他原因。
欺骗形式有欺骗路由器ARP表和欺骗电脑ARP两种,我们的防护当然也是两个方面的(即双向绑定)
首先在路由器上进行设置,来防止路由器的ARP表被恶意的ARP数据包更改;
其次,我们也会在电脑上进行一下设置,来防止电脑的ARP表受恶意更改。
两个方面的设置都是必须的,不然,如果您只设置了路由器的防止ARP欺骗功能而没有设置电脑,电脑被欺骗后就不会把数据包发送到路由器上,而是发送到一个错误的地方,当然无法上网和访问路由器了。
一、设置前准备
1、给电脑手动设定静态IP地址,关掉DHCP功能
2、给电脑手工指定IP地址、网关、DNS服务器地址,获得IP和MAC对应信息。
二、设置路由器防止ARP欺骗
填入电脑的MAC地址与对应的IP地址,就实现了IP与MAC地址绑定。
三、设置电脑防止ARP欺骗
路由器端已经设置了ARP绑定功能,接下来我们就来设置电脑端的ARP绑定了。
Windows中在命令行提示符下,
arp –s 路由器IP+路由器MAC
这一条命令来实现对路由器的ARP条目的静态绑定,例如输入:arp –s 192.168.1.1 00-0a-eb-d5-60-80
arp -a 命令可以看到我们刚才添加的条目,Type类型为static表示是静态添加的。
至此,我们也已经设置了电脑的静态ARP条目,这样电脑发送到路由器的数据包就不会发送到错误的地方去了。
如果使用上面的方法,电脑每次在重启后都需要输入上面的命令来实现防止ARP欺骗,有没有更简单的方法自动来完成,不用手工输入呢?有!
我们可以新建一个批处理文件如static_arp.bat,注意后缀名为bat。编辑它,在里面加入我们刚才的命令,保存,把它放置到系统的启动目录下来实现启动时自己执行。“开始”→“程序”,双击“启动”打开启动的文件夹目录,把刚才建立的static_arp.bat复制到里面去。