외부 ARP 공격은 무엇을 의미합니까?
ARP 공격은 주로 다음과 같은 방법으로 이루어집니다.
간단한 스푸핑 공격
이것은 흔한 공격이다. 위조된 ARP 메시지를 전송하여 라우터와 대상 호스트를 속여 대상 호스트가 합법적인 호스트라고 생각하게 하여 사기를 완료합니다. 이 스푸핑은 라우터가 해당 세그먼트의 패킷을 전달하지 않기 때문에 동일한 네트워크 세그먼트에서 자주 발생합니다. 물론 공격은 다른 네트워크 세그먼트에 구현되므로 ICMP 프로토콜을 통해 라우터에 경로를 다시 선택해야 합니다.
2. 스위칭 환경에서 스니핑
원래의 작은 LAN 에서, 우리는 HUB 를 이용하여 서로 연결한다, 이것은 일종의 방송 방식이다. 각 패킷은 네트워크의 각 호스트를 통과하며, 소프트웨어를 사용하여 전체 LAN 의 데이터를 스니핑할 수 있습니다. 오늘날의 네트워크는 대부분 스위칭 환경이며, 네트워크의 데이터 전송은 특정 대상에 잠겨 있습니다. 대상 통신 호스트가 확인되었습니다. ARP 스푸핑에 기초하여, 우리는 우리 자신의 호스트를 위조하여 중간 전달소로 삼아 두 호스트 간의 통신을 수신할 수 있다.
셋. MAC 플러드
이는 스위치의 ARP 테이블을 넘칠 수 있는 위험한 공격이며 전체 네트워크가 제대로 통신하지 못하게 합니다.
넷. ARP 기반 서비스 거부
이것은 서비스 거부 공격이라고도 하는 새로운 공격 방식이다. 다수의 접속 요청이 하나의 호스트로 전송되면 호스트의 처리 능력이 제한되어 일반 사용자에게 서비스를 제공할 수 없어 서비스 거부가 발생합니다. 이 과정에서 ARP 를 사용하여 자신을 숨기면 공격받는 호스트의 로그에는 실제 IP 공격이나 호스트에 영향을 주지 않습니다.
보호 방법:
1.IP+MAC 액세스 제어.
Ip 또는 MAC 에만 의존하여 신뢰 관계를 구축하는 것은 안전하지 않습니다. 이상적인 보안 관계는 IP+MAC 를 기반으로 합니다. 이것이 캠퍼스 웹 서핑을 할 때 IP 와 MAC 를 바인딩해야 하는 이유 중 하나입니다.
2. 정적 ARP 캐시 테이블.
각 호스트에는 IP-MAC 을 임시로 저장하는 테이블이 있습니다. ARP 공격은 이 캐시를 변경함으로써 속인다. 올바른 MAC 를 정적 ARP 에 바인딩하는 것이 효과적인 방법입니다. 명령줄에서 ARP -a 를 사용하여 현재 ARP 캐시 테이블을 볼 수 있습니다. 다음은 네이티브 ARP 테이블입니다.
C: \ documents and settings \ cnqing > Arp -a
인터페이스: 인터페이스 0x 1000003 의 210.31..197.81
인터넷 주소 물리적 주소 유형
210.31.197.9400-03-6b-7f-ed-02 동적
여기서 "동적" 은 동적 캐시를 나타냅니다. 즉, 관련 ARP 패킷이 수신되면 수정됩니다. 잘못된 게이트웨이를 포함하는 잘못된 ARP 패킷인 경우 이 테이블이 자동으로 변경됩니다. 이렇게 하면 올바른 게이트웨이 MAC 를 찾을 수 없고 다른 호스트와 정상적으로 통신할 수 없습니다. 정적 테이블은 ARP -S IP MAC 에 의해 작성됩니다.
ARP-S210.31.197.9400-03-6b-7f-ed-02 를 완료합니다
C: \ documents and settings \ cnqing > Arp -a
인터페이스: 인터페이스 0x 1000003 의 210.31..197.81
인터넷 주소 물리적 주소 유형
210.31..197.94
이제 "유형" 항목이 "정적" 이 되고 정적 유형이 됩니다. 이 상태에서는 ARP 패킷을 수신할 때 로컬 캐시가 변경되지 않으므로 ARP 공격을 효과적으로 방지할 수 있습니다. 정적 ARP 항목은 재부팅할 때마다 사라지므로 재설정해야 합니다.
3.ARP 캐시 시간 초과 설정
일반적으로 ARP 캐시의 항목은 시간 초과 값을 설정해야 합니다. 이 시간 초과 값을 줄이면 ARP 테이블 오버플로를 효과적으로 방지할 수 있습니다.
4. 사전 질문
정상적인 순간에 IP 와 MAC 에 해당하는 데이터베이스를 만들고, 현재 IP 와 MAC 의 대응 관계가 정상인지 정기적으로 확인하고, 스위치의 트래픽 목록을 정기적으로 보고 패킷 손실률을 확인합니다.
요약: ARP 는 이 지역에서 많은 피해를 줄일 수 없으며, 일단 함께 사용하면 그 위험성은 헤아릴 수 없다. ARP 자체의 문제로 인해 ARP 공격을 방지하는 것은 매우 어렵다. 항상 현재 네트워크 상태를 확인하고 트래픽을 모니터링합니다.