之前,发生ARP欺骗攻击,该工具将在其IP地址映射数据库中学习伪造的应答。 2)主动检测:Ramachandran和Nandi提出了一个主动检测ARP欺骗的技术。基于主机 网络栈的正确行为准则(当接受数据包时),将过滤不一致的ARP数据包。然后将一个 TCP SYN 包发送给主机进行验证。由于欺骗检测引擎没有接收到任何针对该SYN 数据包的TCP响应数 据包,因此能够识别接收到的 ARP 响应报文的真实性。人们认为该技术比被动式技术更加快 速、智能化,并具有较强的可扩展性和可靠性。 3)通过 SNMP 检测交换机:Carnut和 Gondim使用路由器检测ARP 的不稳定性,如那些 通过端口的 ARP 数据包,该路由器由 SNMP 管理框架提供,包含许多流向交换机的输入输出 数据包和字节。由于攻击者几乎重发了所有流经接收端口的数据包,因此数量上基本相当。 那些最不稳定的发射器的主机决定了候选攻击者的身份,并且那些接收未应答数据包的主机 决定了候选受害者的身份。该算法很容易实现,但是当在真实网络环境中测试时,其误报率 非常高。 小结 本文详细描述了ARP攻击方法。所有推荐的检测和防御方法具有不同的应用范围和其局限 性。要么不安全,要么对系统性能有无法接受的缺点。同时也提出了解决问题的技术,其能 够协助安全向导选择用于构建安全局域网的合适的解决办法。
|