Software de protección contra suplantación de identidad ARP

Actualmente, existen muchos programas de protección ARP. Las herramientas ARP más utilizadas son las herramientas Xinxiang ARP, Antiarp, etc. Además de detectar los propios ataques ARP, la protección funciona transmitiendo información ARP correcta a la red con una frecuencia determinada. Hablemos brevemente de estos dos gadgets. Utilicé esta herramienta, que tiene 5 funciones:

1.A. Lista de IP/MAC

Seleccionar la tarjeta de red. Si se trata de una única tarjeta de red, no se requieren configuraciones. Si hay varias tarjetas de red, debe configurar la tarjeta de red conectada a la intranet.

Escaneo IP/MAC. Esto escaneará las direcciones IP y MAC de todas las máquinas actualmente en la red. Escanee cuando la red interna esté funcionando normalmente, ya que esta tabla se utilizará como referencia para ARP posteriores.

Las siguientes funciones requieren el soporte de esta tabla. Si aparece un mensaje que indica que no se puede obtener la IP o MAC, significa que no hay datos correspondientes en la tabla aquí.

2.B. Detección de suplantación de identidad ARP

Esta función siempre detectará si hay un PC en la intranet suplantando la IP de la tabla. Puede configurar la IP principal en la tabla de detección, por ejemplo, enrutadores, servidores de películas y otras IP de máquinas a las que deben acceder las máquinas de la intranet.

(Suplemento) Cómo entender la tabla "Registro de suplantación de identidad ARP":

"Hora": la hora en que se descubrió el problema

"remitente"; : envío de información fraudulenta IP o MAC;

"Repetir": el número de veces que se envía la información fraudulenta;

"ARP info": se refiere al contenido específico de la información fraudulenta enviado como se muestra en el siguiente ejemplo:

la hora del remitente repite la información ARP 22:22:22 192.168.1.22 1433 192.168.1.1 está en 00:0e:03:22:02:e8

Este mensaje significa: a las 22: A las 22:22, se detectó que la información de suplantación enviada por 192.168.1.22 se había enviado 1433 veces. El contenido de la información de suplantación que envió era: La dirección MAC de 192.168.1.1. es 00:0e:03:22:02:e8.

Active la función de detección. Si hay suplantación de IP en la tabla, aparecerá un mensaje. Puede seguir las instrucciones para descubrir la causa raíz de la suplantación de ARP en la intranet. Como recordatorio, cualquier máquina puede hacerse pasar por otra máquina y enviar IP y MAC, por lo que incluso si se le indica que una determinada IP o MAC está enviando información engañosa, es posible que no sea 100 % precisa. Así que, por favor, no resuelvas ciertos problemas con violencia.

3.C. Mantenimiento activo

Esta función puede solucionar directamente el problema de desconexión provocada por la suplantación de identidad de ARP, pero no es un método ideal. Su principio es transmitir continuamente la dirección MAC correcta de la IP especificada dentro de la red.

En la tabla "Especificar objetos de mantenimiento", puede configurar las IP que deben protegerse. La frecuencia de envío de paquetes es la cantidad de paquetes correctos que se envían a todas las máquinas de la red por segundo. Se recomienda encarecidamente utilizar la menor cantidad posible de IP de transmisión y frecuencias de transmisión. Generalmente, se puede configurar una vez. Si se produce una suplantación de ARP cuando no hay una IP vinculada, se puede configurar entre 50 y 100 veces. Si todavía hay desconexiones, se puede configurar en un nivel más alto, lo que puede resolver rápidamente el problema de la suplantación de ARP. . Pero si realmente desea resolver el problema de ARP, consulte el método de enlace anterior.

4.D. Registros del enrutador Xinxiang

Recopila registros del sistema de los enrutadores Xinxiang y otras funciones.

5.E. Captura de paquetes

Similar a la captura de paquetes del software de análisis de red, el formato de guardado es .cap. La interfaz de este software es relativamente simple. Aquí está mi colección de cómo utilizar este software.

A. Complete la dirección IP de la puerta de enlace y haga clic en [Obtener dirección de puerta de enlace] para mostrar la dirección MAC de la puerta de enlace. Haga clic en [Protección automática] para proteger la comunicación entre la tarjeta de red actual y la puerta de enlace para que no sea monitoreada por un tercero.

Nota: Si aparece un mensaje de suplantación de ARP, significa que el atacante envió un paquete de suplantación de ARP para obtener el paquete de datos de la tarjeta de red. Si desea rastrear el origen del ataque, recuerde la dirección MAC del atacante. Utilice un escáner de direcciones MAC. para conocer la correspondencia IP.

B. Conflictos de direcciones IP

Si los conflictos de direcciones IP ocurren con frecuencia, significa que los atacantes envían con frecuencia paquetes de suplantación de identidad ARP y aparecerán advertencias de conflicto de IP. Utilice Anti ARP Sniffer. ser prevenido.

C. Necesita conocer la dirección MAC en conflicto, Windows registrará estos errores. El método específico para verificar es el siguiente:

Haga clic derecho en [Mi PC]--[Administración]--Haga clic en [Visor de eventos]--Haga clic en [Sistema]--Ver fuente es [TcpIP]- --Haga doble clic En el caso, podrá ver que se produce un conflicto de dirección y la dirección MAC está registrada. Copie la dirección MAC y complétela en el cuadro de entrada de dirección MAC local de Anti ARP Sniffer (tenga en cuenta que para convertir: a). -). Después de completar la entrada, haga clic en [Protección] Conflicto de dirección], para que la dirección MAC surta efecto, desactive la tarjeta de red local y luego habilítela en la línea de comando CMD. La dirección MAC actual coincide con la dirección MAC en el cuadro de entrada de dirección MAC local. Si el cambio falla, comuníquese con usted. Si tiene éxito, el conflicto de direcciones ya no se mostrará.

Nota: Si desea restaurar la dirección MAC predeterminada, haga clic en [Restaurar predeterminada]. Para que la dirección MAC sea efectiva, desactive la tarjeta de red local y luego habilite la tarjeta de red. Rara vez he oído hablar de este tipo de enrutador. En cuanto a la función de protección ARP mencionada en este tipo de enrutador, su principio es enviar periódicamente su propia información ARP correcta. Sin embargo, esta función del enrutador no puede resolver el ataque real.

La característica más común de ARP es la desconexión. Generalmente, no es necesario procesarla antes de que se pueda restaurar el acceso normal a Internet dentro de un cierto período de tiempo, porque la suplantación de ARP tiene un tiempo de envejecimiento y lo hará. vuelve automáticamente a la normalidad después del tiempo de envejecimiento. Hoy en día, la mayoría de los enrutadores transmitirán continuamente su información ARP correcta dentro de un corto período de tiempo para permitir que el host engañado vuelva a la normalidad. Pero si hay una suplantación de ARP agresiva (en realidad, una gran cantidad de suplantación de ARP en un corto período de tiempo, cientos o miles por segundo), se iniciarán continuamente paquetes de suplantación de ARP para evitar que las máquinas de la red interna accedan a Internet, incluso si el El enrutador continúa transmitiendo paquetes correctos también se verá abrumado por una gran cantidad de mensajes de error.

Quizás tengas preguntas: ¿También podemos enviar más información ARP, más rápida y correcta que los falsificadores? Si el atacante envía 1000 paquetes de suplantación de ARP por segundo, entonces enviaremos 1500 información ARP correcta por segundo.

Ante las preguntas anteriores, pensemos detenidamente si la topología de la red es grande, hay muchos dispositivos de red y hosts conectados a la red, y una gran cantidad de dispositivos procesan esta información de transmisión, entonces. la red no será cómoda de usar, además afectará nuestro trabajo y estudio. La transmisión ARP provocará desperdicio y ocupación de recursos de la red. Si hay un problema con la red, si capturamos y analizamos los paquetes, habrá muchos paquetes de transmisión ARP en los paquetes de datos, lo que también tendrá un cierto impacto en el análisis. La suplantación de ARP también tiene usos legítimos. Una es permitir que las computadoras que no han iniciado sesión fuercen su navegación web a la página de inicio de sesión en una red que requiere inicio de sesión, de modo que solo puedan usar la red después de iniciar sesión. Además, algunos equipos de red o servidores con un mecanismo de respaldo también necesitan usar suplantación de identidad ARP para dirigir el tráfico al equipo de respaldo cuando este falla.