ARP攻击的另类解决方法
ARP攻击的另类解决方法
本单位局域网近日来一直遭受ARP攻击,结合本单位实际(网关为2003服务器),提出另一种解决方案,请各位爱好者提提意见:欢迎讨论!
ARP攻击,通过伪造并发送假冒的IP地址与MAC地址的映射条目来干扰局域网通信。本方法试图通过减少ARP缓存的生存时间来降低ARP攻击对局域网通信的影响。
在默认情况下,Windows Server 2003/XP家族中,未被用到的ARP缓存的条目仅存活2分钟;如果某一条目在2分钟内被用到,则再延长2分钟,直到其生存的最大期限10分钟为止。而这两个默认值是可以通过注册表修改的。
这两个键值分别为:ArpCacheLife(ARP缓存生存时间)和ArpCacheMinReferencedLife(被引用的ARP缓存生存时间)。
ArpCacheLife
Location:HKEY_LOCAL_MACHINES\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Data Type:REG_DWORD
Default Value: 120
Present by default: NO
添加此注册表键值,并改为10秒。你认为多少更合适呢?
ArpCacheMinReferencedLife
Location:HKEY_LOCAL_MACHINES\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Data Type:REG_DWORD
Default Value: 600
Present by default: NO
添加此注册表键值,并改为300秒。你认为多少更合适呢?
总结:本方法主要通过修改未被使用的ARP缓存的生存时间来降低ARP攻击对局域网通信的干扰,而这一方法是建立在这样一个假设之上:ARP攻击只发送IP-MAC的映射条目,而不利用这一条目进行IP通信的基础上的。
关于此方法是否可行,以及缓存时间是否可行,欢迎讨论!
注册表中两个键值的使用方法:
1:如果ArpCacheLife比ArpCacheMinReferencedLife的值大或与之相等,则被使用的和未被使用的ARP缓存条目的缓存时间都是ArpCacheLife。
2:如果ArpCacheLife比ArpCacheMinReferencedLife的值小,那么未被使用的ARP缓存条目在ArpCacheLife秒后就过期了,而被使用的ARP缓存条目的生存期为ArpCacheMinReferencedLife秒。
[ 本帖最后由 rixin 于 2007-11-26 18:31 编辑 ]
附件: 您所在的用户组无法下载或查看附件
