如何避免ARP中毒？

许多网络攻击都是利用网络中的弱点进行的。 ARP 中毒也是一种这样的网络攻击。它利用地址解析协议 (ARP) 来攻击网络流量。在深入了解ARP中毒的概念之前，让我们先了解一下ARP协议。

ARP 协议：

在计算机网络的早期，地址解析协议 (ARP) 被广泛使用，因为它支持分层方法。在分层方法中，不同的层彼此独立工作。

ARP 在 MAC 地址和 IP 地址之间进行转换。 MAC 地址存在于数据链路层，IP 地址存在于网络层。通过这种方式，联网设备可以知道当前分配了当前 IP 地址的其他设备。此映射也可以对网络的其余部分公开。此外，为了保持效率，设备缓存所有响应以保留当前时刻的 MAC-IP 映射列表。

ARP中毒：

如前所述，此攻击利用 ARP 协议中存在的弱点来破坏网络上存在的映射。 ARP 协议于 1982 年推出，当时安全性不是问题。因此，没有设计用于验证 ARP 消息的身份验证机制。这样，即使是恶意设备也可以响应 ARP 请求。这是 ARP 协议的一个主要漏洞，因为它为恶意用户毒害其他设备的缓存留下了巨大的空间。如果发生这种情况，那么 ARP 缓存将被不正确的条目填充。

ARP中毒攻击涉及的一般步骤：

ARP 中毒攻击的步骤可以改变，但通常有以下步骤：

1. 选择受害者：首先，选择一个目标。根据攻击的意图，它可以是单台机器或一组机器。此外，攻击者可以通过网络选择单个端点或一组端点。然而，最有吸引力的目标是路由器，因为这可能会破坏整个网络。
2. 启动工具和发起攻击：要进行 ARP 中毒攻击，我们可以使用多种工具。选择特定工具后，配置设置，攻击者已准备好开始攻击。攻击者可以选择广播 ARP 消息或等待请求。
3. 干预流量：破坏网络中的机器后，攻击者可以执行任何类型的恶意活动。他们可以更改、检查或永久阻止数据到达目的地。

各种ARP中毒攻击：

以下是几种主要的 ARP 中毒攻击类型：

1. Man-in-the-Middle Attack ：也缩写为 MiTM，这是一种攻击，其中第三人伪装成真实的一方进入画面。这是一种非常危险的攻击，中间人可以通过网络向其他设备发送虚假数据。此外，这会导致受害者机器被攻击设备的 MAC 地址而不是本地路由器的 MAC 地址的 ARP 缓存填充。受到攻击的机器会错误地将流量转发给攻击者。
2. 拒绝服务攻击：也缩写为 DoS，它是一种旨在拒绝受害者访问网络的攻击。当 ARP 出现时，攻击者可以错误地将数千个 IP 地址映射到单个 MAC。这也称为 ARP 泛洪，它会影响整个网络的性能。
3. 会话劫持：这些有点类似于中间人攻击。唯一存在的区别是攻击者不会恶意转发流量。相反，他接管了真正的 TCP 序列号来获取受害者的身份。

ARP中毒攻击的预防：

以下是避免 ARP 中毒攻击的五种方法：

防止ARP中毒攻击

1.静态ARP表：如果我们能确定MAC地址到IP地址的正确映射，问题就解决了一半。这可以做到，但对行政部门来说是沉重的。 ARP 表记录所有映射，并且在这些表中手动更新任何网络更改。现在，手动更新所有主机的 ARP 表对于组织来说是不可行的。

2. 交换机安全性：大多数以太网交换机都具有有助于缓解 ARP 中毒攻击的功能。这些功能也称为动态 ARP 检查 (DAI)，有助于验证 ARP 消息并丢弃显示任何类型的恶意活动的数据包。这也允许限制 ARP 消息通过交换机的速率。

DAI 和其他此类功能现在不仅可用于高端网络设备，还可用于所有商业级交换机。通常，DAI 在所有端口上启用，但连接到其他交换机的端口除外。交换机上的端口安全有助于减少 ARP 缓存中毒攻击。在使用端口安全性时，攻击者不可能通过网络获取多个身份。这是因为，使用端口安全性，可以在交换机端口上配置单个 MAC 地址。

3. 物理安全：缓解 ARP 中毒攻击的一个非常简单的方法是控制业务的物理空间。 ARP 消息的路由仅发生在本地网络中。因此，可能的攻击者在物理上接近受害者的网络。此外，在无线系统的情况下，攻击者可能出现在街道或停车场。使用 802.1x 等技术有助于消除对设备和网络的任何威胁。

4. 网络隔离：由于ARP报文的范围不大于本地子网，所以一个分割良好的网络比一个正常的网络要好。这样，即使发生攻击，也只会影响网络的一部分，而其他部分是安全的。一个子网中的攻击不会影响任何其他子网中的设备。因此，可以将重要资源放置在具有高安全性的专用段中。

5. 加密：加密无助于防止 ARP 中毒，但它确实有助于减轻攻击时可能发生的损害。与中间人攻击的情况一样，登录凭据从网络中被盗。然而，使用 SSL 和 TLS 等技术，加密形式的数据可能会被盗，但可以被攻击者读取，从而使其对攻击者毫无用处。