解析ＡＲＰ病毒攻击技术与防御策略(2)

　　被动定位方式：在局域网发生ARP攻击时，查看交换机的动态ARP表中的内容，确定攻击源的MAC地址；也可以在局域居于网中部署Sniffer工具，定位ARP攻击源的MAC。
　　使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址，如果有“ARP攻击”在做怪，可以找到装有ARP攻击的PC的IP、机器名和MAC地址。
　　命令：“nbtscan -r 192.168.16.0/24”（搜索整个192.168.16.0/24网段，即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。
　　
　　四、arp防御对策
　　
　　各种网络安全的对策都是相对的，主要要看网管平时对网络安全的重视性了。下面介始一些相应的对策：
　　1.在系统中建立静态ARP表，建立后对本身自已系统影响不大的，对网络影响较大，破坏了动态ARP解析过程。静态ARP协议表不会过期的，我们用“arp–d”命令清除ARP表，即手动删除。但是有的系统的静态ARP表项可以被动态刷新，如Solaris系统，那样的话依靠静态ARP表项并不能对抗ARP欺骗攻击，相反纵容了ARP欺骗攻击，因为虚假的静态ARP表项不会自动超时消失。
　　2.在相对系统中禁止某个网络接口做ARP解析(对抗ARP欺骗攻击)，可以做静态ARP协议设置(因为对方不会响应ARP请求报文)如：arp -s XXX.XXX.XX.X 08-00-20-a8-2e-ac。
　　在绝大多数操作系统如：Unix、BSD、NT等，都可以结合“禁止相应网络接口做ARP解析”和“使用静态ARP表”的设置来对抗ARP欺骗攻击。而Linux系统，其静态ARP表项不会被动态刷新，所以不需要“禁止相应网络接口做ARP解析”即可对抗ARP欺骗攻击。
　　
　　参考文献：
　　[1]徐冠军.一个ARP欺骗问题的分析和解决办法[J].江苏通信技术，2005，(06).
　　[2]郭浩，郭涛.一种基于ARP欺骗的中间人攻击方法及防范[J].信息安全与通信保密，2005，(10).

百度搜索“70edu”或“70教育网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，70教育网，提供经典计算机解析ＡＲＰ病毒攻击技术与防御策略(2)在线全文阅读。