论文部分内容阅读
1 ARP协议及工作原理
1.1ARP协议
ARP(Address Resolution Protocol)即地址解析协议,通过遵循该协议,只要我们知道了某台机器的IP地址,即可以知道其MAC地址。TCP/IP协议中规定,IP地址为32位,由网络号和网络内的主机号构成,每一台接人局域网或者因特网的主机都要配置一个IP地址。在以太网中,源主机和目的主机通信时,源主机不仅要知道目的主机的IP地址,还要知道目的主机的数据链路层地址,即网卡的MAC地址。同时规定MAC地址为48位,ARP协议所做的工作就是查询与目的主机的IP地址所对应的MAC地址,并实现双方通信。
1.2ARP的工作原理
每台安装有TCP/IP协议的电脑主机里都有一个ARP高速缓存,存放着其他主机的IP地址和MAC地址的映射关系。当源主机需要将一个数据包发送到目的主机时,首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果存在就直接将数据包发送到该MAC地址;如果没有,就向本地网’段发起一个ARP请求的广播包。查询此目的主机对应的MAC地址。此ARP广播包里有源主机的IP地址、硬件地址以及目的主机的IP地址等。网络中所有的主机收到这个ARP请求后,会自动检查该包中的目的IP是否和自己的IP地址一致,如果不同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中;如果ARP表中已经存在该IP的信息。则将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方自己是其需要查找的MAC地址。源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,则表示ARP查询失败。
2 ARP攻击方式
ARP攻击,是指攻击者利用地址解析协议本身的运行机制而发动的攻击行为,包括进行对主机发动IP冲突攻击、数据包轰炸、切断局域网上任何一台主机的网络连接等。这种攻击方式根据其特性主要分为以盗取数据为主要目的的ARP欺骗攻击和以捣乱破坏为目的的ARP泛洪攻击两种。目前这两种攻击方式已衍生出多种攻击手段和类型,其危害很大,下面针对已出现的几种ARP攻击类型作进一步阐述。
2.1IP地址冲突
ARP病毒制造者制造出局域网上有另一台主机与受害主机共享一个IP的假象。由于违反了唯一性要求,受害主机会自动向用户弹出警告对话框。大量的攻击数据包能令受害主机耗费大量的系统资源。根据IP地址冲突的攻击特征描述,这种类型的ARP攻击主要有以下几种:
(1)单播型的IP地址冲突:链路层所记录的目的物理地址为被攻击主机的物理地址,这样使得该ARP数据包只能被受攻击主机所接收而不被局域网内的其它主机所接收实现隐蔽式攻击。
(2)广播型的IP地址冲突:链路层所记录的目的物理地址为广播地址,这样使得局域网内的所有主机都会接受到该ARP数据包,虽然该ARP数据包所记录的目的IP地址不是受攻击主机的IP地址。但是由于该ARP数据包为广播数据包,这样受攻击主机也会接收到从而弹出IP地址冲突的警告对话框。
2.2ARP泛洪攻击
攻击主机持续把伪造的MAC-IP映射对发给受害主机,对于局域网内的所有主机和网关进行广播,抢占网络带宽和干扰正常通信。这种攻击方式的主要攻击特征包括:
(1)通过不断发送伪造的ARP广播数据报使得交换机忙于处理广播数据报耗尽网络带宽。
(2)今局域网内部的主机或网关找不到正确的通信对象。使得正常通信被阻断。
(3)用虚假的地址信息占满主机的ARP高速缓存空间,造成主机无法创建缓存表项,无法正常通信。
2.3ARP扫描攻击
攻击源向局域网内的所有主机发送ARP请求,从而获得正在运行主机的IP和MAC地址映射对。ARP扫描往往是为发动ARP攻击做准备。攻击源通过ARP扫描来获得所要攻击主机的IP和MAC地址,从而为网络监听、盗取用户数据。实现隐蔽式攻击做准备。
2.4虚拟主机攻击
网络黑客通过在网络内虚拟构建网卡,将自己虚拟成网络内的一台主机,拥有虚拟的物理地址和IP地址。主要是通过在链路层捕获所有流经的ARP请求数据包进行分析。若是对虚拟主机的ARP请求就会发送对应虚拟物理地址的ARP响应,并且虚拟主机本身也会发送ARP请求。虚拟主机攻击会占用局域网内的fP地址资源,使得正常运行的主机发生IP地址冲突,并且大量的虚拟主机攻击会使局域网内的主机也无法正常获得IP地址。
2.5ARP欺骗种类
ARP欺骗攻击的核心就是向目标主机发送伪造的ARP应答,并使目标主机接收应答中伪造的IP与MAC间的映射。并以此更新目标主机缓存。从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是冒充主机欺骗网关(对路由器ARP表的欺骗);另一种是冒充网关欺骗主机(对内网PC的网关欺骗)。
2.5.1冒充主机欺骗网关
ARP欺骗的原理为截获网关数据。它通知路由器一系列错误的内网MAC地址。并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,从而造成计算机访问黑客精心构建的网络陷阱。
2.5.2冒充网关欺骗主机
ARP欺骗的原理是伪造网关。通过建立假网关,让被欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在用户的角度看来,就是上不了网了和网络掉线了。这样会给用户造成系统网关出错的假象。
3 ARP欺骗攻击安全防范措施
对于网络频繁出现堵塞,甚至“掉线”的现象,采取在客户端安装ARP防火墙或者开启局域网ARP防护等手段来解决。如开启360安全卫士的实时保护选项里的“局域网ARP攻击拦截”这一选项,有效地降低了网络故障率。同时,为了加强对服务器端和客户端计算机的管理,可采取以下措施:
3.1在客户端进行IP地址与MAC地址的静态绑定
常见的ARP欺骗是针对网关进行攻击的,用户可以采用在电脑上绑定网关IP地址和网关MAC地址的方法来解决并且防止ARP欺骗,具体操作步骤如下:
(1)进入命令提示符(或MS-DOS方式),用ARP-A命令查看,获取本机的网关IP地址和网关MAC地址。
(2)编写一个批处理文件ARP BAT(文件名任意定义)。内容如下:
@echo aff
arp-d
arp-s网关IP地址网关MAC地址
将文件中的网关IP地址和MAC地址更改为用户自己的网关IP地址和MAC地址即可。
(3)将这个批处理文件拖放到“WIN-DOWS-开始-程序一启动”中。这样开机后就会自动绑定网关IP地址和网关MAC地址,有效防止ARP欺骗。
3.2设置ARP服务器
也就是指定局域网内部的一台机器作为ARP服务器,专门保存并且维护可信范围内的所有主机的IP地址与MAC地址映射记录。该服务器通过查阅自己的ARP缓存的静态记录并以被查询主机的名义响应局域网内部的ARP请求。同时可以设置局域网内部的其它主机只使用来自ARP服务器的ARP响应。
3.3交换机端口设置
利用交换机等设备具有管理端口及节点的MAC地址功能的特点,将网络进行分段。该交换机知道所连主机的MAC地址。并将这些MAC地址及其对应的端口保存在内部表格中。当某个端口接收到ARP数据包时,交换机就会将包中记录的源地址与端口读到的源地址进行比较。如果源地址发生了改变。一个通知被发送到管理工作站,该端口被自动禁止直到冲突解决为止。
3.4安装监听软件
譬如可以安装sniffer软件。监听网络中所有ARP包,由于ARP欺骗往往使用广播形式传播。即使在交换机环境下也明显能监听到某PC端正在狂发ARP包。可以直接检测并定位到ARP毒源主机。
3.5反欺骗
通过命令设置一个错误的网关地址。反欺骗ARP病毒,然后再添加一条静态路由(较高级别)。设置正确的网关,用于正常的网络访问。
4 结束语
对于ARP欺骗的网络攻击,不仅需要用户端做好自身防范工作,更需要网络管理员时刻保持高度警惕,并不断跟踪防范欺骗类攻击的最新技术,做到防患于未然。
1.1ARP协议
ARP(Address Resolution Protocol)即地址解析协议,通过遵循该协议,只要我们知道了某台机器的IP地址,即可以知道其MAC地址。TCP/IP协议中规定,IP地址为32位,由网络号和网络内的主机号构成,每一台接人局域网或者因特网的主机都要配置一个IP地址。在以太网中,源主机和目的主机通信时,源主机不仅要知道目的主机的IP地址,还要知道目的主机的数据链路层地址,即网卡的MAC地址。同时规定MAC地址为48位,ARP协议所做的工作就是查询与目的主机的IP地址所对应的MAC地址,并实现双方通信。
1.2ARP的工作原理
每台安装有TCP/IP协议的电脑主机里都有一个ARP高速缓存,存放着其他主机的IP地址和MAC地址的映射关系。当源主机需要将一个数据包发送到目的主机时,首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果存在就直接将数据包发送到该MAC地址;如果没有,就向本地网’段发起一个ARP请求的广播包。查询此目的主机对应的MAC地址。此ARP广播包里有源主机的IP地址、硬件地址以及目的主机的IP地址等。网络中所有的主机收到这个ARP请求后,会自动检查该包中的目的IP是否和自己的IP地址一致,如果不同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中;如果ARP表中已经存在该IP的信息。则将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方自己是其需要查找的MAC地址。源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,则表示ARP查询失败。
2 ARP攻击方式
ARP攻击,是指攻击者利用地址解析协议本身的运行机制而发动的攻击行为,包括进行对主机发动IP冲突攻击、数据包轰炸、切断局域网上任何一台主机的网络连接等。这种攻击方式根据其特性主要分为以盗取数据为主要目的的ARP欺骗攻击和以捣乱破坏为目的的ARP泛洪攻击两种。目前这两种攻击方式已衍生出多种攻击手段和类型,其危害很大,下面针对已出现的几种ARP攻击类型作进一步阐述。
2.1IP地址冲突
ARP病毒制造者制造出局域网上有另一台主机与受害主机共享一个IP的假象。由于违反了唯一性要求,受害主机会自动向用户弹出警告对话框。大量的攻击数据包能令受害主机耗费大量的系统资源。根据IP地址冲突的攻击特征描述,这种类型的ARP攻击主要有以下几种:
(1)单播型的IP地址冲突:链路层所记录的目的物理地址为被攻击主机的物理地址,这样使得该ARP数据包只能被受攻击主机所接收而不被局域网内的其它主机所接收实现隐蔽式攻击。
(2)广播型的IP地址冲突:链路层所记录的目的物理地址为广播地址,这样使得局域网内的所有主机都会接受到该ARP数据包,虽然该ARP数据包所记录的目的IP地址不是受攻击主机的IP地址。但是由于该ARP数据包为广播数据包,这样受攻击主机也会接收到从而弹出IP地址冲突的警告对话框。
2.2ARP泛洪攻击
攻击主机持续把伪造的MAC-IP映射对发给受害主机,对于局域网内的所有主机和网关进行广播,抢占网络带宽和干扰正常通信。这种攻击方式的主要攻击特征包括:
(1)通过不断发送伪造的ARP广播数据报使得交换机忙于处理广播数据报耗尽网络带宽。
(2)今局域网内部的主机或网关找不到正确的通信对象。使得正常通信被阻断。
(3)用虚假的地址信息占满主机的ARP高速缓存空间,造成主机无法创建缓存表项,无法正常通信。
2.3ARP扫描攻击
攻击源向局域网内的所有主机发送ARP请求,从而获得正在运行主机的IP和MAC地址映射对。ARP扫描往往是为发动ARP攻击做准备。攻击源通过ARP扫描来获得所要攻击主机的IP和MAC地址,从而为网络监听、盗取用户数据。实现隐蔽式攻击做准备。
2.4虚拟主机攻击
网络黑客通过在网络内虚拟构建网卡,将自己虚拟成网络内的一台主机,拥有虚拟的物理地址和IP地址。主要是通过在链路层捕获所有流经的ARP请求数据包进行分析。若是对虚拟主机的ARP请求就会发送对应虚拟物理地址的ARP响应,并且虚拟主机本身也会发送ARP请求。虚拟主机攻击会占用局域网内的fP地址资源,使得正常运行的主机发生IP地址冲突,并且大量的虚拟主机攻击会使局域网内的主机也无法正常获得IP地址。
2.5ARP欺骗种类
ARP欺骗攻击的核心就是向目标主机发送伪造的ARP应答,并使目标主机接收应答中伪造的IP与MAC间的映射。并以此更新目标主机缓存。从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是冒充主机欺骗网关(对路由器ARP表的欺骗);另一种是冒充网关欺骗主机(对内网PC的网关欺骗)。
2.5.1冒充主机欺骗网关
ARP欺骗的原理为截获网关数据。它通知路由器一系列错误的内网MAC地址。并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,从而造成计算机访问黑客精心构建的网络陷阱。
2.5.2冒充网关欺骗主机
ARP欺骗的原理是伪造网关。通过建立假网关,让被欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在用户的角度看来,就是上不了网了和网络掉线了。这样会给用户造成系统网关出错的假象。
3 ARP欺骗攻击安全防范措施
对于网络频繁出现堵塞,甚至“掉线”的现象,采取在客户端安装ARP防火墙或者开启局域网ARP防护等手段来解决。如开启360安全卫士的实时保护选项里的“局域网ARP攻击拦截”这一选项,有效地降低了网络故障率。同时,为了加强对服务器端和客户端计算机的管理,可采取以下措施:
3.1在客户端进行IP地址与MAC地址的静态绑定
常见的ARP欺骗是针对网关进行攻击的,用户可以采用在电脑上绑定网关IP地址和网关MAC地址的方法来解决并且防止ARP欺骗,具体操作步骤如下:
(1)进入命令提示符(或MS-DOS方式),用ARP-A命令查看,获取本机的网关IP地址和网关MAC地址。
(2)编写一个批处理文件ARP BAT(文件名任意定义)。内容如下:
@echo aff
arp-d
arp-s网关IP地址网关MAC地址
将文件中的网关IP地址和MAC地址更改为用户自己的网关IP地址和MAC地址即可。
(3)将这个批处理文件拖放到“WIN-DOWS-开始-程序一启动”中。这样开机后就会自动绑定网关IP地址和网关MAC地址,有效防止ARP欺骗。
3.2设置ARP服务器
也就是指定局域网内部的一台机器作为ARP服务器,专门保存并且维护可信范围内的所有主机的IP地址与MAC地址映射记录。该服务器通过查阅自己的ARP缓存的静态记录并以被查询主机的名义响应局域网内部的ARP请求。同时可以设置局域网内部的其它主机只使用来自ARP服务器的ARP响应。
3.3交换机端口设置
利用交换机等设备具有管理端口及节点的MAC地址功能的特点,将网络进行分段。该交换机知道所连主机的MAC地址。并将这些MAC地址及其对应的端口保存在内部表格中。当某个端口接收到ARP数据包时,交换机就会将包中记录的源地址与端口读到的源地址进行比较。如果源地址发生了改变。一个通知被发送到管理工作站,该端口被自动禁止直到冲突解决为止。
3.4安装监听软件
譬如可以安装sniffer软件。监听网络中所有ARP包,由于ARP欺骗往往使用广播形式传播。即使在交换机环境下也明显能监听到某PC端正在狂发ARP包。可以直接检测并定位到ARP毒源主机。
3.5反欺骗
通过命令设置一个错误的网关地址。反欺骗ARP病毒,然后再添加一条静态路由(较高级别)。设置正确的网关,用于正常的网络访问。
4 结束语
对于ARP欺骗的网络攻击,不仅需要用户端做好自身防范工作,更需要网络管理员时刻保持高度警惕,并不断跟踪防范欺骗类攻击的最新技术,做到防患于未然。