ARP緩存感染攻擊解析(6)

面向小型網(wǎng)絡(luò)

如果你管理著一個小型網(wǎng)絡(luò)，你或許可以試試使用靜態(tài)IP地址和靜態(tài)ARP映射表。用命令行輸入，比如在Windows中是 “ipconfig/all” ，在NIX中是 “ifconfig” ，你就可以查看在你的網(wǎng)絡(luò)中的所有設(shè)備的IP地址和MAC地址了。然后使用 "arp-s" 命令，你可以為你所知道的設(shè)備添加靜態(tài)ARP映射。“靜態(tài)” 就是不會變化；這可以防止黑客的欺騙ARP進入你的網(wǎng)絡(luò)設(shè)備中。你甚至可以創(chuàng)建一個登錄腳本當它們啟動時自動添加這些靜態(tài)ARP到你的計算機中。

然而，靜態(tài)ARP很難被維護；在大型網(wǎng)絡(luò)中更是不可能。那是因為你每加入一臺設(shè)備到你的網(wǎng)絡(luò)中都需要你手動地編寫ARP腳本或輸入每臺設(shè)備的ARP映射表。但是如果你是管理一個少于兩打的設(shè)備，這個技術(shù)或許適合于你。

面向大型網(wǎng)絡(luò)

如果你是管理著一個大型網(wǎng)絡(luò)，好好去研究一下你的網(wǎng)絡(luò)交換機的 “端口安全” 功能。有一個 “端口安全” 功能是允許你強制使你的交換機在每個端口只允許 (IP地址對應(yīng)的) 一個MAC地址通過。這個功能會阻止黑客改變他機器的MAC地址或試圖映射多個MAC地址到他的機器上。這種技術(shù)常常用于幫助防御基于ARP的中間人攻擊。

面向所有網(wǎng)絡(luò)

你最好的防御方法就是掌握ARP中毒的機制并監(jiān)視它。我強烈建議安裝一個ARP監(jiān)視工具，比如ARPwatch，當有不正常的ARP通信時它會提醒你。這種警惕也是對付所有類型攻擊的最有力武器——就如Robert Louis Stevenson所寫的，“最殘酷的謊言常常是悄無聲息地說出來的”。