arp攻击怎么解决（主机系统配置arp静态绑定防止ARP中间人欺骗攻击吗）

概述

上期文章，我们总结分享了“防止arp中间人欺骗攻击”的技术方案，文章最后提出一个问题：主机系统本地配置ARP静态绑定，能防止ARP中间人欺骗攻击吗？本期文章就针对这个问题，给各位小伙伴再次总结分享。

关键词

Windows系统arp静态绑定、Linux系统本地arp静态绑定

结论先行

主机系统（Linux或windows）本地配置ARP静态绑定，不能防止ARP中间人欺骗攻击。

主机系统本地配置ARP静态绑定，接入的网络设备同时需配置ARP静态绑定才能有效防止ARP中间人欺骗攻击。

试验验证

试验验证组网拓扑

试验验证组网拓扑如下图所示；

华为交换机配置用户业务网关：192.168.100.254/24(vlanif110);

攻击主机A是windows10系统，攻击工具arpspoof；

受攻击主机B是windows10系统，安装VMware Workstation Pro16，并在Workstation上创建一台windows10系统虚拟机(以下简称主机C)和一个Centos 8系统虚拟机(以下简称主机D)；

主机C和主机D本地配置ARP静态绑定

主机C本地配置ARP静态绑定方式

第1步：系统管理员权限，打开命令提示符CMD并输入命令netsh interface ipv4 show interface查看配置工作网卡的“Idx”，从下图可知，工作网卡的Idx是14；

第2步：在系统命令提示符中输入命令arp -a，查询网关IP对应的MAC地址；

第3步：在命令提舒服中输入命令netsh interface ipv4 add neighbors "14" "192.168.100.254" "8c-68-3a-12-33-e6"添加arp静态绑定信息；

其中，14是工作网卡Idx，192.168.100.254是系统的网关IP，8c-68-3a-12-33-e6是网关IP对应的MAC地址；

第4步：查看系统arp静态绑定效果；

通过命令netsh interface ipv4 show neighbors查看添加的信息，通过命令arp -a查看实际的效果；详情如下图所示：

至此，主机C系统本地配置ARP静态绑定已完成，系统关机重启，绑定表项仍然存在。

主机D本地配置ARP静态绑定方式

第1步：通过命令arp -a查看网关IP对应的mac地址；

[root@localhost ~]# arp -a

? (192.168.100.1) at e8:6a:64:c8:b6:4e [ether] on ens33

_gateway (192.168.100.254) at 8c:68:3a:12:33:e6 [ether] on ens33

[root@localhost ~]#

第2步：创建arp-static静态绑定表项文件；

[root@localhost ~]# echo '192.168.100.254 8c:68:3a:12:33:e6'>> /etc/arp-static

[root@localhost ~]#

第3步：查看创建文件arp-static

[root@localhost ~]# more /etc/arp-static

192.168.100.254 8c:68:3a:12:33:e6

[root@localhost ~]#

第4步：调用创建文件，配置arp静态绑定；

[root@localhost ~]#arp -f /etc/arp-static

[root@localhost ~]#

第5步：查看系统配置arp静态绑定之后的效果；

[root@localhost ~]# arp -a

_gateway (192.168.100.254) at 8c:68:3a:12:33:e6 [ether] PERM on ens33

? (192.168.100.1) at e8:6a:64:c8:b6:4e [ether] on ens33

[root@localhost ~]#

至此，主机D系统本地配置arp静态绑定，不过，系统关机重启后，需要再次执行arp -f /etc/arp-static；

主机A发起ARP欺骗攻击

当主机A发起ARP欺骗攻击，交换机转发arp更新信息给主机C或主机D ,鉴于主机配置ARP静态绑定，对更新的ARP的信息不做“理睬”；

但是，交换机并没有配置arp静态绑定，主机A发起ARP欺骗攻击，欺骗了交换机，交换机更新了自身的ARP表项；

因此，当主机A开启wireshark抓包工具，仅可以获得交换机回应给主机C或主机D的报文；

详细攻击流程可参见下图；

攻击主机获取的数据包并回应给受攻击主机的数据包，如下图所示；

交换机arp表项的更新变化，如下图所示；

受攻击主机向网关请求的数据包及假冒网关设备的回应数据包，如下图所示；

为了试验验证的严谨性，又测试攻击了centos8系统主机D，得出的结论同样如此。但是，当交换机配置arp静态绑定，此种arp中间人欺骗攻击即可防御，原因也很简单，即交换机不动态更新arp表项了。

总结

人们常说，主机系统（Linux或windows）本地配置ARP静态绑定可防止ARP中间人欺骗攻击，但实践证明，网络设备需同时配置arp静态绑定才能有效遏止ARP中间人欺骗攻击。

以上分享，不足之处，欢迎各位小伙伴留言指正。