论文部分内容阅读
ARP攻击是指黑客利用ARP协议缺陷的基本原理,通过在区域内一台终端或服务器上发布欺骗ARP广播包以达到进行盗取用户帐号、篡改网站内容、嵌入恶意代码、发布不良信息、监听传输数据等非法活动的目的。ARP欺骗原理在过去常被运用到简单的拒绝服务攻击中。然而,随着大量缺乏管理且使用者流动性较大的网吧与其他公共上网环境的普及,互联网上开始出现许多由ARP基本攻击与侦听、网页篡改等黑客技术相互结合的攻击方式。这种ARP攻击之所以能在各类公共上网设施内迅速蔓延是因为在拥有上千台机器的公众上网环境或对外服务的IDC托管机房中,同一网段中往往有着来自不同单位或不同人群使用的各类终端与服务器,由于其中各类系统的安全责任点归属复杂、使用人员流动性大,造成环境内安全管理漏洞较大、安全盲点较多,从而使新一代以ARP欺骗为基础的网页挂码或重定向攻击得以滋生。而且,ARP攻击相对与通常攻击方式可能造成的更大的破坏在于:一般来说IP地址的冲突可以通过多种方法和手段来避免,而ARP协议工作在更底层协议上,隐蔽性更高。系统并不会判断ARP缓存的正确与否,无法像IP地址冲突那样给出提示。很多黑客工具可以随时发送ARP欺骗数据包和ARP恢复数据包,这对于公众上网环境来说,就可以在任何权限的终端计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机甚至服务器或网络设备的网络连接、侦探通讯数据、篡改数据包以加入病毒代码或不良信息进行传播。黑客还可以最大化的利用ARP欺骗原理,将其与其他攻击方法组合后运用于多种攻击,如,侦听、拒绝服务、挂载病毒等。从而达到多种攻击目的,如:窃取信息、病毒传播、破坏网络路由,暴力广告等等。从对于ARP攻击的防范角度来说,ARP攻击的防范也比一般网络安全防范更加困难。因为ARP广播协议本身存在的缺陷,使得即使一个网吧或网站系统管理员能保证自己的服务器与网络交换设备本身没有漏洞,他也无法辨别来自网络范围内任何一台机器的ARP数据包的真伪。所以,对付此类违法犯罪活动,传统上从操作系统或交换设备的单点防御已无济于事。防止ARP攻击,需要从网络整体结构上加强对MAC地址的综合管理防止各机器ARP表混乱,并通过网络范围内ARP广播包分析以快速检测到攻击源位置。上海市内目前有1433家正规合法网吧以及300家社区信息苑。ARP攻击对这些互联网公众上网环境的安全产生巨大威胁,攻击事件呈不断上升趋势,造成不良信息传播、信息窃取等违法行为对国家的安定团结社会的稳步发展有极为不利的影响。互联网信息安全管理工作面临着巨大挑战,深入研究以ARP为基础的网页重定向、路由伪造的防范技术,加强对全市几千家公众上网地点与公用托管机房的网络安全监管已经势在必行。通过对ARP攻击原理的剖析,并针对实际上海市公众上网环境的特征,通过从规划、结构、系统三方面入手采取整体防范手段,形成以较小的成本在公众上网环境中有效抑制ARP攻击蔓延的解决方案。本文首先演示了一次ARP攻击全过程,通过现象分析逐步推测出他的攻击原理。随后通过对ARP数据帧格式的解析,证明了ARP协议漏洞是可以被用作ARP欺骗。根据上述原理,尝试使用Socket编程实现了ARP欺骗数据包的构造和发送、MAN-IN-MIDDLE数据包侦听转发、DOS拒绝服务攻击等手段。在探讨ARP攻击的防御措施时,文章从MAC地址集中管理、ARP数据包探测以及系统安全加固三方面进行论述。文章最后,通过实际经历的“东方数字社区苑网络安全加固项目”来对大型公众上网环境中存在可被ARP攻击的漏洞进行分析,并对整体防御构架进一步探索。