基于RouterOS的ARP攻击与防御
文章目錄
- 什么是ARP協議
- ARP欺騙的危害
- 實際測試
- 防御過程
- 基于routeros防御
- 總結
什么是ARP協議
ARP協議是“Address Resolution Protocol”(地址解析協議)的縮寫。在局域網中,網絡中實際傳輸的是“幀”,幀里面是有目標主機的MAC地址的。注意:ARP是工作在數據鏈路層中
在以太網中,一個主機要和另一個主機進行直接通信,必須要知道目標主機的MAC地址。
但這個目標MAC地址是如何獲得的呢?它就是通過地址解析協議獲得的。所謂“地址解析”就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。
根據ARP欺騙者與被欺騙者之間的角色關系的不同,通常可以把ARP欺騙攻擊分為如下兩種:
主機型ARP欺騙:欺騙者主機冒充網關設備對其他主機進行欺騙
網關型ARP欺騙:欺騙者主機冒充其他主機對網關設備進行欺騙
圖 1
ARP欺騙的危害
ARP欺騙可以造成內部網絡的混亂,讓某些被欺騙的計算機無法正常訪問內外網,讓網關無法和客戶端正常通信,也可以截取全網絡數據包等。
實際上他的危害還不僅僅如此,一般來說IP地址的沖突我們可以通過多種方法和手段來避免,而ARP協議工作在更低層,隱蔽性更高。系統并不會判斷ARP緩存的正確與否,無法像IP地址沖突那樣給出提示。
ARP欺騙攻擊的防御
-ARP雙向綁定
在pc端上 IP+mac 綁定
在網絡設備(交換路由)上 采用ip+mac+端口綁定
網關也進行IP和mac的靜態綁定
-采用支持ARP過濾的防火墻
-建立DHCP服務器
ARP攻擊一般先攻擊網關,將DHCP服務器建立在網關上
-劃分安全區域
ARP廣播包是不能跨子網或網段傳播的,網段可以隔離廣播包。VLAN就是一個邏輯廣播域,通過VLAN技術可以在局域網中創建多個子網,就在局域網中隔離了廣播。。縮小感染范圍。 但是,安全域劃分太細會使局域網的管理和資源共享不方便。
實際測試
攻擊機 kali 2022 192.168.10.88
軟路由 192.168.10.254 192.168.1.254
靶機 win7 192.168.10.86
Lan 192.168.10.0/24 網關192.168.10.254
Wan 192.168.1.0/24 網關192.168.1.1
打印一下軟路由的ip地址
圖 2
通過軟路由上網的win7
圖 3
win7可以ping 通外網主機
圖 4
查看arp緩存表
圖 5
查看攻擊機IP
圖 6
Kali ping通靶機,軟路由
圖 7
開始攻擊
圖 8
可以看到靶機arp緩存里mac地址改變
圖 9
此時靶機ping不通外網主機
圖 10
也連接不上網絡
圖 11
抓包看看沒攻擊時候的包
圖 12
攻擊時候的包
圖 13
防御過程
那么我們怎么防御呢
其實很簡單開啟arp 防火墻就可以了
打開騰訊電腦管家開啟arp防火墻
圖 14
再次攻擊試試看
圖 15
圖 16
可以看到數據
圖 17
看一下詳細信息
圖 18
抓包看看
圖 19
基于routeros防御
圖 20
攻擊成功導致軟路由連接不了
圖 21
防御使用靜態Mac
圖 22
圖 23
雖然這里設定這樣但是好像軟路由更改不了只能在靶機里更改
在win7靶機里
打開命令提示行,輸入命令:netsh i i show in查看idx號
圖 24
打開管理員權限,運行本地連接對應的idx號為11。然后輸入命令:netsh -c “i i” add neighbors 11 “網關IP” “Mac地址“,這里11是idx號。回車就可以將網關IP對應的arp條目設置成靜態的。
圖 25
查看ARP緩存表看到已經設為靜態
圖 26
此時再次發動攻擊
圖 27
靶機依舊可以上網
圖 28
抓包看看
圖 29
可以看到,即使此時靶機和之前一樣收到了很多來自攻擊者的arp欺騙數據包,但仍然沒有因此修改arp條目。
所以,通過設置靜態arp條目來防御arp攻擊確實是可行的
總結
網絡管理分為五大類配置管理、性能管理、記賬管理、故障管理和安全管理。
網絡管理的核心就是圍繞管、控、防、備四個方面做文章,以保障網絡的兼容性、時效性、穩定性、可靠性和安全性為主要抓點,以提高網絡運行效率、降低網絡故障和網絡風險為學習重點。
好了下面總結一下此次大作業
本次大作業作為基于Routeros ARP攻擊與防御,說實話此次實驗比較簡單,arp也是早就知道,在網絡協議這門課程就已經學到了,也做了攻擊,不過用的工具不一樣,實驗中一開始使用kaili2018 寫到后面發現根本用不了這個命令查看一下詳情發現2018版本根本沒有沒辦法,只好推到重新來過選擇kali 2022
圖 30
后來添加命令時候遇到錯誤記得是管理員運行
圖 31
對大作業思考就是可能目前只能依靠arp防火墻以及靜態綁定mac來防御,其他手段比如使用可以自帶IP-MAC地址綁定的路由器,如果你可以管理路由器的話,可以綁定每臺電腦的MAC地址,發現ARP攻擊源可以直接將其斷網,我覺得這是個比較實際的自己電腦安裝ARP防火墻不太現實,畢竟攻擊者攻擊網關,路由器崩潰了,自己電腦必然收到網速下降,甚至斷網等影響,覆巢之下無完卵,所以守護好路由器就是最好了。
總結
以上是生活随笔為你收集整理的基于RouterOS的ARP攻击与防御的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: microsoft office vis
- 下一篇: mediainfo工具查看文件信息