Cómo bloquear eficazmente los ataques ARP
1. *Dirección MAC y IP
Evita el robo de direcciones IP. Si accede a Internet a través de un servidor proxy: vaya al servidor proxy y solicite al administrador de red que compare la dirección IP estática de Internet con la dirección de la tarjeta de red de la computadora registrada. Por ejemplo: ARP-s 192.16.10.400-EO-4C-6C-08-75. De esta manera, la dirección IP estática 192.16.10.4 para el acceso a Internet está vinculada a la computadora con la dirección de la tarjeta de red 00-EO-4C-6C-08-75. Incluso si alguien roba su dirección IP, no podrá hacerlo. acceder a Internet a través del servidor proxy. Si la conexión se realiza a través de un conmutador, puede vincular la dirección IP de la computadora, la dirección MAC de la tarjeta de red y el puerto del conmutador.
2. Modificar la dirección MAC y engañar a la tecnología de suplantación de identidad ARP.
Es falsificar la dirección MAC, por lo que la forma más segura es modificar la dirección MAC de la máquina. dirección MAC a otra cosa, puede engañar a la suplantación de ARP, logrando así el propósito de romper el bloqueo.
3. Usar servidor ARP
Usar servidor ARP. El servidor busca su propia tabla de traducción ARP para responder a las transmisiones ARP de otras máquinas. Asegúrese de que este servidor ARP no sea atacado.
4. Configuración del puerto del conmutador
(1) Protección del puerto (similar al aislamiento del puerto): la tecnología de suplantación de identidad ARP requiere comunicación directa entre los dos puertos del conmutador, y el puerto puede ser Establecer como puerto de protección Aisla de forma sencilla y cómoda el intercambio de información entre usuarios sin ocupar recursos de VLAN. Dos puertos en el mismo conmutador no pueden comunicarse directamente y deben reenviarse para comunicarse entre sí.
(2) Filtrado de datos: si necesita controlar aún más los paquetes, puede utilizar ACL (Lista de control de acceso). ACL utiliza direcciones IP, puertos TCP/UDP, etc. para filtrar los paquetes que entran y salen del conmutador, y toma decisiones sobre permitir el reenvío o el bloqueo de paquetes según condiciones preestablecidas. Tanto los conmutadores de Huawei como los de Cisco admiten IP ACL y MAC ACL, y cada ACL admite el formato estándar y el formato extendido respectivamente. La ACL de formato estándar filtra según la dirección de origen y el tipo de protocolo de capa superior, y la ACL de formato extendido filtra según la dirección de origen, la dirección de destino y el tipo de protocolo de capa superior, y detecta tramas que enmascaran direcciones MAC con diferentes palabras.
5. Deshabilitar la resolución ARP en una interfaz de red
Para deshabilitar la resolución ARP en una determinada interfaz de red en el sistema correspondiente (para combatir ataques de suplantación de identidad ARP), se pueden configurar los protocolos ARP estáticos. (porque la otra parte no responderá al mensaje de solicitud de ARP) como: ARP –s XXX "Realizar resolución ARP en la interfaz" y "Usar tabla ARP estática" para combatir ataques de suplantación de ARP. En el sistema Linux, las entradas de su tabla ARP estática no se actualizarán dinámicamente, por lo que no es necesario "deshabilitar la resolución ARP en la interfaz de red correspondiente" para combatir los ataques de suplantación de ARP.
6. Utilice hardware para proteger el host.
Configure su enrutamiento para garantizar que la dirección IP pueda llegar a la ruta legal. (configure estáticamente las entradas ARP enrutadas), tenga en cuenta que la suplantación de ARP no se puede evitar mediante la conmutación de concentradores y puentes.
7. Verifique periódicamente el caché ARP.
El administrador obtiene periódicamente una solicitud rarp del paquete IP de respuesta y luego verifica la autenticidad de la respuesta ARP. Encuesta periódicamente para comprobar el caché ARP en el host. Utilice un firewall para monitorear continuamente su red. Tenga en cuenta que cuando se utiliza SNMP, la suplantación de ARP puede provocar la pérdida de paquetes de captura.
Un consejo
Personalmente creo que el método de dirección no es práctico. En primer lugar, hacerlo aumentará la carga de trabajo del administrador de red. Imagínense si hay 3000 direcciones. la red del campus Los usuarios y administradores de red deben vincular el puerto a la dirección MAC 3.000 veces, o incluso más.
En segundo lugar, los administradores de red deben tener claro que debido al costo de construcción de la red, el rendimiento de los conmutadores de la capa de acceso es relativamente débil y sus funciones son relativamente simples para que los conmutadores de la capa de acceso realicen la vinculación de direcciones, el impacto en el rendimiento del conmutador es considerable. , afectando así la transmisión de datos de la red.
Se recomienda que los usuarios utilicen el método de vincular la dirección de la puerta de enlace para resolver el problema y evitar la suplantación de ARP.
1) Primero, obtenga la dirección MAC de la intranet del gateway de seguridad. (Tome Windows XP como ejemplo) Haga clic en "Inicio" → "Ejecutar" e ingrese cmd en la ventana abierta. Después de hacer clic en Aceptar, aparecerá el estado de la red relevante y la información de conexión, luego ingrese ipconfig/all y luego continúe ingresando arp - a para ver la dirección MAC de la puerta de enlace.
2) Escriba un archivo por lotes rarp.bat (el nombre del archivo puede ser arbitrario) con el siguiente contenido:
@echo off
arp - d
arp - s 192.168.200.1 00- aa- 00- 62- c6- 09
Cambie la dirección IP y la dirección MAC de la puerta de enlace en el archivo a la dirección IP y la dirección MAC de la puerta de enlace reales .
3) Después de terminar de escribir, haga clic en "Archivo" → "Guardar como". Tenga en cuenta que el nombre del archivo debe ser *.bat, como arp.bat, y el tipo de guardado debe seleccionarse como todos los tipos. Simplemente haga clic en Guardar. Finalmente, elimine el "Nuevo documento de texto" creado anteriormente.
4) Arrastre este software de procesamiento por lotes a "Windows--Inicio--Programas--Inicio", (generalmente la ruta de la carpeta en el sistema es C:\Documentos y configuraciones\Todos los usuarios\ Menú Inicio\ Programas\Inicio).
5) Finalmente, simplemente reinicia el ordenador.
La tabla ARP estática puede ignorar las respuestas ARP que realizan un comportamiento de suplantación de identidad. De esta manera, podemos evitar que la máquina local se vea afectada por paquetes de suplantación de identidad ARP. Hay muchas formas de resolver el problema de la suplantación de ARP: por ejemplo, mediante un software especial anti-ARP o mediante la detección de intrusiones de usuarios a través de conmutadores. La primera también es una buena solución para la suplantación de ARP, pero el proceso de configuración del software no es más sencillo que configurar una tabla ARP estática. Este último tiene requisitos demasiado altos para los conmutadores de capa de acceso. Si los indicadores de rendimiento de los conmutadores no son demasiado altos, provocará graves retrasos en la red. Si el rendimiento de los conmutadores de capa de acceso no cumple con los requisitos, aumentará el costo de. instalación de red.
Cuando se trata de ataques ARP, además de utilizar los diversos medios técnicos mencionados anteriormente, también se debe tener cuidado de no basar la relación de confianza de seguridad de la red en IP o MAC. Es mejor configurar una MAC estática. -> Para la tabla de mapeo de IP, no permita que el host actualice la tabla de traducción que configuró a menos que sea muy necesario, deje de usar ARP y guarde ARP como una entrada permanente en la tabla de mapeo.