论文部分内容阅读
摘要:介绍了ARP的定义和工作原理,分析了ARP欺骗攻击的过程和攻击危害,最后给出了安全防范的措施。
关键词:图书馆;局域网;ARP欺骗;安全防范
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)27-1953-02
Library Network ARP Spoofing Attacks and Security Precautions
ZHANG Hong-jing
(Nanjing College for Population Programme Management Library, Nanjing 210042,China)
Abstract:This article introduces the ARP definition and principle,analyzes the ARP spoofing attack process and the attack harm,gives the security precautions finally.
Key words: library; network; ARP spoofing; security precautions
近期,多数图书馆局域网遭受了一种叫磁碟机病毒的侵害。该病毒是近几年以来发现的病毒技术含量最高、破坏性最强的病毒,其破坏能力、自我保护和反杀毒软件能力均10倍于“熊猫烧香”。由于该病毒主要通过局域网ARP攻击传播,图书馆电子阅览室局域网管理人员要对ARP欺骗攻击给予高度重视。
1 ARP定义
ARP“Address Resolution Protocol”(地址解析协议),它是一个链路层协议,工作在OSI模型的第二层,在本层和硬件接口间进行联系,同时为上层(网络层)提供服务。第二层网络设备不能识别32位的IP地址,它们是以48位MAC地址传输数据的,ARP就是将网络层IP地址转换成数据链路层MAC地址的过程。ARP的功能分为两部分:一部分在发送数据包时请求获得目标主机的物理地址;另一部分向请求物理地址的主机发送解析结果。
2 ARP工作原理
首先,每台主机都会在自己的ARP缓冲区(ARP Cache)中建立一个ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包发送给目标主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目标主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、MAC地址、以及目标主机的IP地址。网络中所有的主机收到这个ARP请求后,会检查数据包中的目标IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将源主机的IP地址和MAC地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址。源主机收到这个ARP响应数据包后,将得到的目标主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少缓存表的长度,加快查询速度。
3 ARP欺骗攻击
按照RFC的规定,主机在发ARP应答时,不需要一定要收到ARP请求报文,局域网中任何一台主机都可以向网络中其他主机发送ARP应答。 ARP欺骗攻击的核心思想就是向目标主机发送伪造的ARP应答,并使目标主机接收应答中伪造的IP地址与MAC地址之间的映射对,以此更新目标主机ARP缓存。
ARP欺骗攻击一般分为两种,一种是攻击者伪造网关欺骗目标主机,一种是攻击者伪造目标主机欺骗网关。
第一种欺骗过程中,攻击者在目标主机和网关正常通信前,发送虚假的ARP报文,将自己的MAC地址或者一个虚假的MAC地址当作网关MAC地址通告给目标主机,目标主机学习到虚假的网关MAC地址,从而无法和真实的网关进行通信。
第二种欺骗过程中,攻击者向网关发送大量虚假的ARP报文,通告目标主机的MAC地址是自己的MAC地址或者一个虚假的MAC地址,并按照一定的频率不断进行,使目标主机真实的MAC地址无法通过更新保存在网关中,结果网关的所有数据只能发送给错误的MAC地址,造成目标主机无法收到信息。
4 ARP欺骗攻击危害
ARP欺骗攻击的中毒症状表现为:使用局域网时网速变慢,会突然掉线,过一段时间后又会恢复正常, IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。
ARP欺骗攻击只需成功感染一台计算机,就可能导致整个局域网都无法上网,ARP病毒发作时除了会导致同一局域网内的其他读者上网出现时断时续的现象外,还会窃取读者密码,如盗取QQ号和密码、电子邮件帐号和密码、网上银行账号和密码等,给读者造成了很大的不便和巨大的经济损失。
5 ARP安全防范
1) 静态绑定MAC地址。对于主机,使用arp命令静态绑定网关MAC,格式如下:arp -s 网关IP 网关MAC。如果觉得每次手动输入比较复杂,可以编写一个简单的批处理文件,然后将它放在「开始」菜单\程序\启动中,让它每次开机时自动运行。
对于网关,使用IP MAC绑定模式,交换机启用静态ARP绑定功能,将读者计算机的IP与MAC进行静态绑定,防止ARP欺骗发生。
2) 使用防ARP攻击的软件。可以下载和使用防ARP攻击的软件,如Anti ARP Sniffer、ARP卫士或者ARP防火墙等。这种防范简单高效易行。
3) 及时下载更新系统补丁程序,安装有效的杀毒软件,并及时升级病毒库,使用U盘拷贝文件时,一定要先用杀毒软件查杀后方可使用。
4) 增强读者的网络安全意识,建议读者最好不要轻易下载、使用盗版和存在安全隐患的软件,发现所访问网页内容与自己要访问的目标不符时,千万不要随便去点击,不要随便打开来历不明的邮件,尤其是邮件附件。
ARP欺骗攻击利用的是ARP协议本身的缺陷,因此在图书馆局域网尤其是电子阅览室中,经常会出现磁碟机病毒之类的ARP病毒攻击,严重影响读者正常使用计算机,对于ARP欺骗攻击,目前还无法彻底控制这种攻击,管理人员只有切实做好安全防范工作,使ARP欺骗攻击造成的影响降到最小。
参考文献:
[1] 郑先伟.磁碟机使校园网再次遭受ARP欺骗攻击[J].中国教育网络,2008(4):34-34.
[2] 陈伟斌,薛芳,任勤生.ARP欺骗攻击的整网解决方案研究[J].厦门大学学报(自然科学版),2007,46(s2):100-103.
[3] 任侠,吕述望.ARP协议欺骗原理分析与抵御方法[J].计算机工程,2003,29(9):127-128.
关键词:图书馆;局域网;ARP欺骗;安全防范
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)27-1953-02
Library Network ARP Spoofing Attacks and Security Precautions
ZHANG Hong-jing
(Nanjing College for Population Programme Management Library, Nanjing 210042,China)
Abstract:This article introduces the ARP definition and principle,analyzes the ARP spoofing attack process and the attack harm,gives the security precautions finally.
Key words: library; network; ARP spoofing; security precautions
近期,多数图书馆局域网遭受了一种叫磁碟机病毒的侵害。该病毒是近几年以来发现的病毒技术含量最高、破坏性最强的病毒,其破坏能力、自我保护和反杀毒软件能力均10倍于“熊猫烧香”。由于该病毒主要通过局域网ARP攻击传播,图书馆电子阅览室局域网管理人员要对ARP欺骗攻击给予高度重视。
1 ARP定义
ARP“Address Resolution Protocol”(地址解析协议),它是一个链路层协议,工作在OSI模型的第二层,在本层和硬件接口间进行联系,同时为上层(网络层)提供服务。第二层网络设备不能识别32位的IP地址,它们是以48位MAC地址传输数据的,ARP就是将网络层IP地址转换成数据链路层MAC地址的过程。ARP的功能分为两部分:一部分在发送数据包时请求获得目标主机的物理地址;另一部分向请求物理地址的主机发送解析结果。
2 ARP工作原理
首先,每台主机都会在自己的ARP缓冲区(ARP Cache)中建立一个ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包发送给目标主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目标主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、MAC地址、以及目标主机的IP地址。网络中所有的主机收到这个ARP请求后,会检查数据包中的目标IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将源主机的IP地址和MAC地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址。源主机收到这个ARP响应数据包后,将得到的目标主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少缓存表的长度,加快查询速度。
3 ARP欺骗攻击
按照RFC的规定,主机在发ARP应答时,不需要一定要收到ARP请求报文,局域网中任何一台主机都可以向网络中其他主机发送ARP应答。 ARP欺骗攻击的核心思想就是向目标主机发送伪造的ARP应答,并使目标主机接收应答中伪造的IP地址与MAC地址之间的映射对,以此更新目标主机ARP缓存。
ARP欺骗攻击一般分为两种,一种是攻击者伪造网关欺骗目标主机,一种是攻击者伪造目标主机欺骗网关。
第一种欺骗过程中,攻击者在目标主机和网关正常通信前,发送虚假的ARP报文,将自己的MAC地址或者一个虚假的MAC地址当作网关MAC地址通告给目标主机,目标主机学习到虚假的网关MAC地址,从而无法和真实的网关进行通信。
第二种欺骗过程中,攻击者向网关发送大量虚假的ARP报文,通告目标主机的MAC地址是自己的MAC地址或者一个虚假的MAC地址,并按照一定的频率不断进行,使目标主机真实的MAC地址无法通过更新保存在网关中,结果网关的所有数据只能发送给错误的MAC地址,造成目标主机无法收到信息。
4 ARP欺骗攻击危害
ARP欺骗攻击的中毒症状表现为:使用局域网时网速变慢,会突然掉线,过一段时间后又会恢复正常, IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。
ARP欺骗攻击只需成功感染一台计算机,就可能导致整个局域网都无法上网,ARP病毒发作时除了会导致同一局域网内的其他读者上网出现时断时续的现象外,还会窃取读者密码,如盗取QQ号和密码、电子邮件帐号和密码、网上银行账号和密码等,给读者造成了很大的不便和巨大的经济损失。
5 ARP安全防范
1) 静态绑定MAC地址。对于主机,使用arp命令静态绑定网关MAC,格式如下:arp -s 网关IP 网关MAC。如果觉得每次手动输入比较复杂,可以编写一个简单的批处理文件,然后将它放在「开始」菜单\程序\启动中,让它每次开机时自动运行。
对于网关,使用IP MAC绑定模式,交换机启用静态ARP绑定功能,将读者计算机的IP与MAC进行静态绑定,防止ARP欺骗发生。
2) 使用防ARP攻击的软件。可以下载和使用防ARP攻击的软件,如Anti ARP Sniffer、ARP卫士或者ARP防火墙等。这种防范简单高效易行。
3) 及时下载更新系统补丁程序,安装有效的杀毒软件,并及时升级病毒库,使用U盘拷贝文件时,一定要先用杀毒软件查杀后方可使用。
4) 增强读者的网络安全意识,建议读者最好不要轻易下载、使用盗版和存在安全隐患的软件,发现所访问网页内容与自己要访问的目标不符时,千万不要随便去点击,不要随便打开来历不明的邮件,尤其是邮件附件。
ARP欺骗攻击利用的是ARP协议本身的缺陷,因此在图书馆局域网尤其是电子阅览室中,经常会出现磁碟机病毒之类的ARP病毒攻击,严重影响读者正常使用计算机,对于ARP欺骗攻击,目前还无法彻底控制这种攻击,管理人员只有切实做好安全防范工作,使ARP欺骗攻击造成的影响降到最小。
参考文献:
[1] 郑先伟.磁碟机使校园网再次遭受ARP欺骗攻击[J].中国教育网络,2008(4):34-34.
[2] 陈伟斌,薛芳,任勤生.ARP欺骗攻击的整网解决方案研究[J].厦门大学学报(自然科学版),2007,46(s2):100-103.
[3] 任侠,吕述望.ARP协议欺骗原理分析与抵御方法[J].计算机工程,2003,29(9):127-128.