¿Cómo podemos resolver eficazmente el problema de los ataques LAN arp?
El cartel puede usar el firewall ARP Actualmente, los firewalls APR más útiles son los siguientes:
1. Firewall ARP de Kingsoft
Firewall ARP 2.360 (recomendado). , 360 Security Guard viene con él y el efecto es mejor cuando se usan juntos)
Por cierto, hablemos del contenido relacionado con ARP:
Prevenir virus de suplantación de direcciones ARP
Qué es el protocolo ARP
Para comprender el principio de los ataques de suplantación de identidad ARP, primero debe comprender qué es el protocolo ARP. ARP es la abreviatura en inglés de Address Translation Protocol. Es un protocolo de capa de enlace que funciona en la segunda capa del modelo OSI. Se comunica entre esta capa y la interfaz de hardware y al mismo tiempo proporciona servicios para la capa superior (red). capa).
Sabemos que los equipos de conmutación Ethernet de capa 2 no reconocen direcciones IP de 32 bits. Transmiten paquetes de datos Ethernet con direcciones Ethernet de 48 bits (lo que solemos llamar direcciones MAC). Por lo tanto, debe existir una relación correspondiente entre la dirección IP y la dirección MAC, y el protocolo ARP es el protocolo utilizado para determinar esta relación correspondiente.
Cuando ARP funciona, primero solicita al host que envíe un paquete de transmisión Ethernet que contiene la dirección IP deseada, y luego el propietario de la IP de destino responde con un paquete que contiene un par de direcciones IP y MAC. . De esta manera, el host solicitante puede obtener la dirección MAC correspondiente a la dirección IP a alcanzar. Al mismo tiempo, el host solicitante almacenará en caché este par de direcciones en su propia tabla ARP para evitar comunicaciones ARP innecesarias. La tabla de caché ARP adopta un mecanismo de caducidad. Si una fila de la tabla no se utiliza dentro de un período de tiempo (este tiempo es de 2 minutos para sistemas Windows y 5 minutos para enrutadores Cisco), se eliminará. A través del siguiente ejemplo podemos ver claramente el mecanismo de funcionamiento de ARP.
Supongamos que existen hosts o dispositivos de red con las siguientes cinco direcciones IP, que son:
Host A 192.168.1.2
Host B 192.168.1.3
Host B 192.168.1.3
p>
Puerta de enlace C 192.168.1.1
Host D 10.1.1.2
Puerta de enlace E 10.1 .1.1
Si el host A quiere comunicarse con el host B, primero verificará si hay una dirección MAC correspondiente a la dirección 192.168.1.3 en su caché ARP. Si no, enviará una solicitud ARP. paquete a la dirección de transmisión de la LAN Básicamente, ¿cuál es la dirección MAC de 192.168.1.3? Dígame 192.168.1.2 y la dirección de transmisión transmitirá este paquete de solicitud a todos los hosts de la LAN, pero solo al host 192.168. .1.3 responderá a este paquete de solicitud. Responderá a un paquete ARP de 192.168.1.2, que aproximadamente significa 192.168. La dirección MAC de .1.3 es 02-02-02-02-02-02. En este caso, el host A obtendrá la dirección MAC del host B y almacenará esta relación correspondiente en su propia tabla de caché ARP. Posteriormente, la comunicación entre el host A y el host B se basa en las direcciones MAC en las tablas de caché de los dos. Esta correspondencia no se eliminará de la tabla hasta 2 minutos después de que se detenga la comunicación.
Veamos el proceso de comunicación dentro de una red que no es LAN. Si el host A necesita comunicarse con el host D, primero encontrará que la dirección IP del host D no está en el mismo segmento de red que él, por lo que debe reenviarse a través de la puerta de enlace. En este caso, verificará si existe. es uno en su tabla de caché ARP. Si la dirección MAC correspondiente a la puerta de enlace 192.168.1.1 no está disponible, se obtiene a través de la solicitud ARP. Si está disponible, se comunica directamente con la puerta de enlace C. puerta de enlace E a través del enrutamiento Después de recibir el paquete de datos, la puerta de enlace E descubre que se envió al host D (10.1.1.2), verificará su caché ARP para ver si hay una dirección MAC correspondiente a 10.1.1.2. utilice el protocolo ARP para obtenerlo. Si lo hay, utilice la dirección MAC para comunicarse con el host D.
Por el ejemplo anterior, sabemos que la transmisión de paquetes de datos en la LAN Ethernet depende de la dirección MAC. La relación correspondiente entre la dirección IP y la MAC depende de la tabla ARP de cada host (incluida la puerta de enlace). ) tiene una superficie de caché ARP. En circunstancias normales, esta tabla de caché puede garantizar eficazmente que la naturaleza de la transmisión de datos uno a uno y similares no puedan interceptar la información de comunicación entre A y D.
Sin embargo, existe una imperfección en el mecanismo del host para implementar la tabla de caché ARP. Cuando el host recibe un paquete de respuesta ARP, no verifica si ha enviado la solicitud ARP y reemplaza directamente la solicitud ARP. información en la tabla de caché ARP original con la relación correspondiente entre la dirección MAC y la IP en el paquete de respuesta. Esto hace posible que el host B intercepte la comunicación de datos entre el host A y el host D.
Primero, el host B envía un paquete de respuesta ARP al host A diciendo que la dirección MAC de 192.168.1.1 es 02-02-02-02-02-02. El host A no verifica el paquete después de recibirlo. En su lugar, reemplaza directamente la dirección MAC de 192.168.1.1 en su lista ARP con 02-02-02-02-02-02. Al mismo tiempo, el host B envía un paquete de respuesta ARP a la puerta de enlace C indicando que la dirección MAC. La dirección de 192.168.1.2 es 02-02-02-02-02-02 De manera similar, la puerta de enlace C no verificó la autenticidad de este paquete y reemplazó la dirección MAC de 192.168.1.2 en su tabla ARP con 02-02-02-. 02-02-02. Cuando el host A quiere comunicarse con el host D, envía directamente el paquete de datos que debe enviarse a la puerta de enlace 192.168.1.1 a la dirección MAC 02-02-02-02-02-02, es decir, al host B. Host Después de recibir este paquete, B lo modifica y lo reenvía a la puerta de enlace real C. Cuando el paquete de datos devuelto desde el host D llega a la puerta de enlace C, la puerta de enlace también utiliza la MAC en su propia tabla ARP para enviar el paquete a la dirección IP 192.168. 1.2 Los datos se envían a la dirección MAC 02-02-02-02-02-02, que es el host B. Después de recibir el paquete, el host B lo reenvía al host A para completar una comunicación de datos completa. Se implementa con éxito un ataque ARP.
En pocas palabras, el propósito de la suplantación de ARP es lograr el monitoreo de datos en un entorno de conmutación completo. La mayoría de los troyanos o virus utilizan ataques de suplantación de identidad ARP para lograr este propósito.
Cómo descubrirlo y eliminarlo
Una vez que hay un ataque ARP en la LAN, engañará a todos los hosts y puertas de enlace de la LAN, de modo que todo el tráfico de Internet debe pasar a través del host. controlado por el atacante ARP. Otros usuarios solían acceder a Internet directamente a través de la puerta de enlace, pero ahora su acceso se reenvía a través del host controlado. Debido a la influencia del rendimiento controlado del host y del programa, este reenvío no será muy fluido, lo que provocará que los usuarios tengan un acceso a Internet más lento o incluso desconexiones frecuentes. Además, la suplantación de ARP requiere el envío constante de paquetes de respuesta ARP, lo que provocará congestión en la red.
Una vez que sospechamos de un ataque ARP, podemos usar una herramienta de captura de paquetes para capturar paquetes si encontramos que hay una gran cantidad de paquetes de respuesta ARP en la red y todas las direcciones IP apuntan a la misma. Dirección MAC, entonces significa que hay un ataque de suplantación de ARP, y esta dirección MAC es la dirección MAC del host utilizado para llevar a cabo los ataques de suplantación de ARP. Podemos averiguar su dirección IP real correspondiente y tomar las medidas de control correspondientes. Además, también podemos consultar la tabla de correspondencia entre direcciones IP y direcciones MAC en el enrutador o conmutador de puerta de enlace. Si encontramos que una determinada MAC corresponde a una gran cantidad de direcciones IP, también indica que existe un ataque de suplantación de ARP. Al mismo tiempo, podemos usar esta dirección MAC para averiguar qué se usa. El host del ataque de suplantación de identidad ARP controla el puerto físico correspondiente en el conmutador.
¿Cómo prevenirlo?
Podemos tomar las siguientes medidas para prevenir la suplantación de ARP.
(1) Utilice el comando arp en el cliente para vincular la dirección MAC real de la puerta de enlace. El comando es el siguiente:
arp -d * (borre la tabla ARP incorrecta. primero)
arp -s 192.168.1.1 03-03-03-03-03-03 (especifique estáticamente la dirección MAC de la puerta de enlace)
(2) Enlace estático del puerto y dirección MAC en el conmutador.
(3) Vinculación estática de la dirección IP y la dirección MAC en el enrutador.
(4) Utilice "ARP SERVER" para transmitir la tabla de mapeo IP-MAC correcta de todos los hosts en el segmento de red en ciertos intervalos.
(5) Lo más importante es mejorar la conciencia de seguridad de los usuarios y desarrollar buenos hábitos de seguridad, incluyendo: instalación oportuna de parches del sistema; establecimiento de contraseñas seguras para el sistema; instalación de cortafuegos e instalación de antivirus efectivos; software antivirus Y actualice la base de datos de virus de manera oportuna, no realice ataques de red de forma activa y no ejecute software que no sea de confianza de manera casual.
El principio de funcionamiento de ARP es el siguiente:
En el protocolo TCP/IP, A envía un paquete IP a B. En el encabezado, la IP de B debe completarse como la dirección de destino, pero este paquete IP es Al transmitir en Ethernet, es necesario encapsular un paquete Ethernet En este paquete Ethernet, la dirección de destino es la dirección MAC de B
¿Cómo sabe la computadora A la MAC de B? ¿DIRECCIÓN? La clave para solucionar el problema está en el protocolo ARP.
Cuando A no conoce la dirección MAC de B, A transmite un paquete de solicitud ARP y el paquete de solicitud se completa con la IP de B (192.168.1.2). Todas las computadoras en Ethernet recibirán esta solicitud, pero bajo). En circunstancias normales, solo B dará un paquete de respuesta ARP, y el paquete se completará con la dirección MAC de B y se responderá a A.
Después de que A recibe la respuesta ARP, coloca la dirección MAC de B en el caché local para facilitar su uso la próxima vez.
La caché MAC local tiene una vida útil. Una vez finalizada la vida útil, el proceso anterior se repetirá nuevamente.
El protocolo ARP no solo recibe respuestas ARP después de enviar solicitudes ARP. Cuando la computadora recibe un paquete de respuesta ARP, actualiza la caché ARP local y almacena las direcciones IP y MAC en la respuesta en la caché ARP. Por lo tanto, cuando una máquina B en la red local envía una respuesta ARP falsificada a A, y si esta respuesta es falsificada por B haciéndose pasar por C, es decir, la dirección IP es la IP de C y la dirección MAC está falsificada, entonces cuando A recibe la respuesta ARP falsificada de B, el caché ARP local se actualizará, de modo que desde la perspectiva de A, la dirección IP de C no ha cambiado, pero su dirección MAC ya no es la original. Porque el tráfico de red en la LAN no se basa en direcciones IP, sino que se transmite en función de direcciones MAC. Por lo tanto, la dirección MAC falsificada se cambia a una dirección MAC inexistente en A, lo que provocará una falla en la red y hará que A no pueda hacer ping a C. Esta es una simple suplantación de ARP.