设为首页收藏本站 开启辅助访问
搜索
    查看: 19746|回复: 5

    服务器安全狗ARP防火墙的攻击实例和参数设置说明

    [复制链接]
    发表于 2011-12-19 14:43:56 | 显示全部楼层 |阅读模式
    所有官方发布的教程帖子,均附带有图片,请大家先注册论坛帐号之后浏览相关帖子,谢谢支持~

    说明这次我们使用3台服务器进行测试,IP分别是192.168.73.128192.168.73.129192.168.73.130(这里我们用虚拟机进行模拟)。由192.168.73.129对另外两台服务器发起ARP攻击,使其无法进行网络连接,以达到攻击者不可告人的目的。这里我们进行的arp攻击是局域网内对主机的冲突攻击,这是比较典型的arp攻击方式,常见的arp攻击软件中都有这类功能,如winarpattacker、网络执法官。其中192.168.73.130没有装服务器安全狗,而192.168.73.128装了服务器安全狗。过程这里就不做说明了,我们可以从服务器安全狗的防护日志上看到攻击的信息。

    1、对没有装服务器安全狗的192.168.73.130主机进行arp攻击测试
       攻击开始后,没过几分钟就可以看到192.168.73.130远程桌面断开,无法ping通。而断开攻击后网络就恢复了。

    1.jpg
    图1.ARP攻击实例

    2、对装有服务器安全狗的192.168.73.128主机进行arp攻击测试
    当攻击开始的时候,就可以看到屏幕右下脚的服务器安全狗标志在闪红预警,说明服务器正在遭受攻击。这时候你就可以到服务器安全狗的防护日志里查看日志。如下图:

    3.jpg
    图2.防护日志

    看来我们的服务器安全狗已经起作用了,拦截了对方的arp攻击。那服务器安全狗是通过什么模块进行arp攻击防御的呢?接下来我们要进行详细的说明,对arp攻起起拦截作用的是服务器安全狗防火墙模块中的arp防火墙,如下图:

    防火墙-ARP防火墙3.JPG
    图3.ARP防火墙

    开启/停止ARP防火墙功能:用户可以通过单击操作界面右上方的 “开启”/“停止”按钮来开启/停止ARP防火墙功能。ARP防火墙必须开启,才能实现防御ARP攻击的功能,建议用户安装完服务器安全狗之后,立即开启ARP防火墙。如下图所示:

    防火墙-ARP防火墙4.JPG
    图4.ARP防火墙开启

    如上面我们的攻击实例,在192.168.73.129这台服务器上对192.168.73.128进行攻击,日志上显示了通过网关欺骗直接让被攻击服务器造成IP冲突,使被攻击主机掉线,无法进行正常的运行。开启arp防火墙通过对网关和DNS的设置就能对网关和mac地址及IP地址进行保护。

    网关和DNS设置这里我们也推荐了2种设置方式,分别是自动获取和手动获取。自动获取勾选自动获取模式,系统会自动获取网关及DNS的 IP/MAC地址,用户可以通过点击“查看”按钮查看防火墙保护的本机IP/MAC地址以及对应网关IP/MAC地址。如下图所示:

    防火墙-ARP防火墙5.JPG
    图5.自动获取DNS及网关

    手动设置:如果服务器有多个网关,需要在不同网络间切换,选择手动设置模式。点击“设置”,在弹出的“自定义网关IP/MAC对”对话框进行网关IP与MAC绑定规则配置。“自定义网关IP/MAC对”对话框可以进行添加、修改及删除网关IP与MAC绑定规则。

    手动设置适用于双线服务器、海外服务器、多个IP或者多网卡多IP服务器。手动设置可以进行IP间的切换,但是系统默认最多只允许添加5个网关IP地址与MAC绑定规则。如下图所示:

    防火墙-ARP防火墙6.JPG
    图6.手动绑定DNS及网关

    选择添加,在“添加IP与MAC对”窗口输入需要绑定的IP,之后选择“自动获取”或者手动输入需要绑定的MAC地址,选择“确定”完成添加操作。

    防火墙-ARP防火墙6-2.JPG
    图7.手动绑定DNS及网关

    ARP攻击的下个功能设置是拦截攻击类型设置,系统默认不开启“拦截本机对外ARP”与“拦截IP冲突”功能。如需开启,则勾选“拦截本机对外ARP”与“拦截IP冲突”对应的复选框,并选择“设置”以开启该项功能。建议所有用户开启这两项功能,可以防止本机向局域网中其他服务器发出ARP攻击,以及防御局域网中的ARP攻击。如下图所示:

    防火墙-ARP防火墙7.JPG
    图8.拦截攻击类型设置

    备注: ARP即地址解析协议,实现通过ip地址得知其物理地址。黑客根据它的原理修改arp数据包,使通过ip得到的是其他机器的物理地址或是虚假的物理地址,导致其他机器截获数据或是数据根本发送不出去,这就是arp欺骗。
    回复

    使用道具 举报

    发表于 2011-12-19 16:55:57 | 显示全部楼层
    我的沙发啊 哈哈
    回复 支持 反对

    使用道具 举报

    发表于 2012-2-15 12:57:10 | 显示全部楼层
    我也来占位置来了
    回复 支持 反对

    使用道具 举报

    发表于 2012-2-27 22:27:47 | 显示全部楼层
    我最近服务器被ARP攻击的够呛!
    回复 支持 反对

    使用道具 举报

     楼主| 发表于 2012-2-28 11:01:34 | 显示全部楼层
    VOK 发表于 2012-2-27 22:27
    我最近服务器被ARP攻击的够呛!

    服务器安全狗+网站安全狗
    回复 支持 反对

    使用道具 举报

    发表于 2013-5-23 14:39:41 | 显示全部楼层
    不错  楼主辛苦了
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    QQ|小黑屋|Archiver|手机版|安全狗论坛-汇聚安全的力量 ( 闽ICP备14014139号-1  

    GMT+8, 2019-11-15 22:52 , Processed in 0.100700 second(s), 27 queries .

    Powered by Discuz! X3.2

    © 2001-2013 Comsenz Inc.

    快速回复 返回顶部 返回列表