ARP 공격을 효과적으로 차단하는 방법
1. *MAC 및 IP 주소
IP 주소 도용을 방지하세요. 프록시 서버를 통해 인터넷에 접속하는 경우: 프록시 서버로 가서 네트워크 관리자에게 인터넷의 고정 IP 주소와 기록된 컴퓨터의 네트워크 카드 주소를 비교해 달라고 요청하세요. 예: ARP-s 192.16.10.400-EO-4C-6C-08-75. 이렇게 하면 인터넷 접속을 위한 고정 IP 주소 192.16.10.4가 네트워크 카드 주소 00-EO-4C-6C-08-75를 사용하는 컴퓨터에 바인딩됩니다. 프록시 서버를 통해 인터넷에 접속합니다. 스위치를 통해 연결하는 경우 컴퓨터의 IP 주소, 네트워크 카드의 MAC 주소 및 스위치 포트를 바인딩할 수 있습니다.
2. MAC 주소를 수정하고 ARP 스푸핑 기술을 속이는 것입니다.
MAC 주소를 위조하는 것이므로 가장 안전한 방법은 기기의 MAC 주소를 변경하는 것입니다. MAC 주소를 다른 것으로 변경하면 ARP 스푸핑을 속여 봉쇄를 돌파할 수 있습니다.
3. ARP 서버를 사용하세요.
ARP 서버를 사용하세요. 서버는 다른 시스템의 ARP 브로드캐스트에 응답하기 위해 자체 ARP 변환 테이블을 찾습니다. 이 ARP 서버가 공격을 받지 않는지 확인하세요.
4. 스위치 포트 설정
(1) 포트 보호(포트 격리와 유사): ARP 스푸핑 기술은 스위치의 두 포트 간의 직접 통신이 필요하며 포트는 보호 포트로 설정 VLAN 자원을 점유하지 않고 간단하고 편리하게 사용자 간의 정보 교환을 격리합니다. 동일한 스위치에 있는 두 포트는 직접 통신할 수 없으며 서로 통신하려면 전달해야 합니다.
(2) 데이터 필터링: 패킷을 추가로 제어해야 하는 경우 ACL(액세스 제어 목록)을 사용할 수 있습니다. ACL은 IP 주소, TCP/UDP 포트 등을 사용하여 스위치에 들어오고 나가는 패킷을 필터링하고 사전 설정된 조건에 따라 패킷 전달 허용 또는 차단 여부를 결정합니다. Huawei와 Cisco 스위치는 모두 IP ACL과 MAC ACL을 지원하며, 각 ACL은 각각 표준 형식과 확장 형식을 지원합니다. 표준 형식 ACL은 소스 주소와 상위 계층 프로토콜 유형을 기반으로 필터링하고 확장 형식 ACL은 소스 주소, 대상 주소 및 상위 계층 프로토콜 유형을 기반으로 필터링하여 다른 단어로 MAC 주소를 가장하는 프레임을 감지합니다.
5. 네트워크 인터페이스에서 ARP 확인 비활성화
상대 시스템의 특정 네트워크 인터페이스에서 ARP 확인을 비활성화하려면(ARP 스푸핑 공격에 대응하기 위해) 정적 ARP 프로토콜 설정을 사용할 수 있습니다. ARP –s XXX와 같은 (상대방이 ARP 요청 메시지에 응답하지 않기 때문에) ARP 스푸핑 공격에 대응하기 위해 "인터페이스에서 ARP 확인 수행" 및 "정적 ARP 테이블 사용" 설정을 수행합니다. Linux 시스템에서는 정적 ARP 테이블 항목이 동적으로 새로 고쳐지지 않으므로 ARP 스푸핑 공격에 맞서기 위해 "해당 네트워크 인터페이스에서 ARP 확인을 비활성화"할 필요가 없습니다.
6. 하드웨어를 사용하여 호스트를 보호하세요.
IP 주소가 합법적인 경로에 도달할 수 있도록 라우팅을 설정하세요. (라우팅 ARP 항목을 정적으로 구성), 스위칭 허브 및 브리지를 사용하여 ARP 스푸핑을 방지할 수 없습니다.
7. ARP 캐시를 정기적으로 확인
관리자는 응답 IP 패킷에서 정기적으로 rarp 요청을 얻은 후 ARP 응답의 신뢰성을 확인합니다. 정기적으로 폴링하여 호스트의 ARP 캐시를 확인합니다. 방화벽을 사용하여 네트워크를 지속적으로 모니터링하세요. SNMP를 사용하는 경우 ARP 스푸핑으로 인해 트랩 패킷이 손실될 수 있습니다.
한 가지 팁
개인적으로는 주소 방식이 실용적이지 않다고 생각합니다. 우선 이렇게 하면 네트워크 관리자의 작업량이 늘어나게 됩니다. 주소가 3,000개 있다고 가정해 보세요. 사용자와 네트워크 관리자는 포트를 MAC 주소에 3,000회 이상 바인딩해야 합니다.
둘째, 네트워크 관리자는 네트워크 구축 비용으로 인해 액세스 계층 스위치의 성능이 상대적으로 약하고 기능이 상대적으로 단순하다는 점을 분명히 해야 합니다. , 따라서 네트워크 데이터 전송에 영향을 미칩니다.
문제를 해결하고 ARP 스푸핑을 방지하려면 게이트웨이 주소를 바인딩하는 방법을 사용하는 것이 좋습니다.
1) 먼저 보안 게이트웨이 인트라넷의 MAC 주소를 획득합니다. (windowsXP를 예로 들어 보겠습니다.) "시작" → "실행"을 클릭하고 열린 창에 cmd를 입력합니다. 확인을 클릭하면 해당 네트워크 상태 및 연결 정보가 나오며, ipconfig/all을 입력한 후 계속해서 arp - a를 입력하면 게이트웨이의 MAC 주소를 확인할 수 있습니다.
2) 다음 내용을 포함하는 배치 파일 rarp.bat(파일 이름은 임의로 지정할 수 있음)을 작성합니다.
@echo off
arp - d
arp - s 192.168.200.1 00- aa- 00- 62- c6- 09
파일에 있는 게이트웨이 IP 주소와 MAC 주소를 실제 게이트웨이 IP 주소와 MAC 주소로 변경합니다. .
3) 작성을 마친 후 '파일' → '다른 이름으로 저장'을 클릭하세요. 참고로 파일명은 arp.bat와 같이 *.bat이어야 하며, 저장 형식은 모든 형식으로 선택해야 합니다. 저장을 클릭하시면 됩니다. 마지막으로 앞서 생성한 "새 텍스트 문서"를 삭제합니다.
4) 이 일괄 처리 소프트웨어를 "windows--시작--프로그램--시작"으로 드래그합니다. (일반적으로 시스템의 폴더 경로는 C:\Documents and Settings\All Users\ Start Menu\입니다. 프로그램\시작).
5) 마지막으로 컴퓨터를 다시 시작하세요.
정적 ARP 테이블은 스푸핑 동작을 수행하는 ARP 응답을 무시할 수 있습니다. 이러한 방식으로 로컬 시스템이 ARP 스푸핑 패킷의 영향을 받는 것을 방지할 수 있습니다. ARP 스푸핑 문제를 해결하는 방법에는 여러 가지가 있습니다. 예를 들어 특수 ARP 방지 소프트웨어를 통하거나 스위치를 통한 사용자 침입 탐지를 통하는 것입니다. 전자도 ARP 스푸핑에 대한 좋은 솔루션이지만 소프트웨어 설정 프로세스는 정적 ARP 테이블을 설정하는 것보다 간단하지 않습니다. 후자는 액세스 레이어 스위치에 대한 요구 사항이 너무 높습니다. 스위치의 성능 지표가 너무 높지 않으면 액세스 레이어 스위치의 성능이 요구 사항을 충족하지 못하면 비용이 증가합니다. 네트워크 설치.
ARP 공격에 대처할 때는 위에서 언급한 다양한 기술적 수단을 사용하는 것 외에도 네트워크 보안 신뢰 관계를 IP나 MAC에 기반을 두지 않도록 주의해야 합니다. 고정 MAC을 설정하는 것이 가장 좋습니다. -> IP 매핑 테이블의 경우 호스트가 설정한 변환 테이블을 새로 고치지 않도록 하세요. 꼭 필요한 경우가 아니면 ARP 사용을 중지하고 ARP를 매핑 테이블에 영구 항목으로 저장하세요.