论文部分内容阅读
[摘要]阐述arp欺骗攻击原理以及欺骗方式。并且详细阐述了校园网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和安全网关,让所有上网的流量必须经过病毒主机,从而造成网络瘫痪时的处理策略。
[关键词]ARP协议 ARP欺骗攻击 嗅探 网络阻塞 ICMP重定
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2008)0610055-01
网络安全是一个永恒的话题,因为计算机只要与网络连接就不可能彻底安全,本文将针对ARP协议对网络安全的重要意义进行探讨。
一、ARP欺骗原理
ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。如主机A要发送数据给主机C,此时有恶意攻击者主机D要对主机A进行欺骗,那么当A去Ping主机C时,恶意攻击者主机D就会把C的MAC地址骗为自己的MAC地址,于是A发送到C上的数据包都变成发送给D的了。那么D正好接收了A发送来的数据包,于是嗅探成功。
由于D拦截了A发送给C的数据包,那么就会导致A与C连接不上,为了消除A的怀疑,此时D就要对拦截的数据包进行转发,这时D就扮演了一个中间人的角色。
做一个中间人,进行ARP重定向。打开D的IP转发功能,对于拦截的A的数据包重新转发给C,好比一个路由器一样。当然,D是不会直接发送ICMP重定向的。 那么D首先要对捕获到的A的数据包进行恶意修改然后再转发给C,而C接收了此数据包以后,完全认为是从A发送来的。于是C在毫不知情的情况下把发送的应答数据包又直接传递给所谓的A,那么此时D就可以再次对C进行ARP欺骗了。现在D就完全成为了A与C的中间桥梁,完全控制着A与C之间的通信。
二、校园网中ARP攻击处理过程
(一)故障现象
在校园上网时经常会有机器以前能正常上网,突然出现不能上网的现象(无法ping通网关),重启机器或在MSDOS窗口下运行命令ARP-d后,又可恢复上网一段时间。这是因为MAC地址冲突引起的,当带毒机器的MAC映射到主机或者路由器之类的NAT设备,那么全网断线,如果只映射到网内其他机器,则只有这部分机器出问题。这种情况多出现在同学们下载了带有恶意ARP病毒攻击的游戏等方面。其目的在于,该病毒破解游戏加密解密算法,通过截取局域网中的数据包,然后分析游戏通讯协议的方法截获用户的信息。运行这个病毒,就可以获得整个局域网中各个用户的详细信息,盗取用户帐号信息。下面我们谈谈如何进行临时处理。
(二)临时处理对策
步骤一,首先在网络正常运行时,进入MS-DOS窗口,输入命令:arp a 查看网关IP对应的正确MAC地址,将其记录下来。
注:如果已经不能上网,则先运行一次命令arp d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp a。
步骤二,如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令: arp s 网关IP 网关MAC
例如:假设计算机所处网段的网关为218.197.192.254,本机地址为218.197.192.1在计算机上运行arp a后输出如下:
C:\Documents and Settings>arp a
Interface: 218.197.192.1 --- 0x2
Internet Address Physical Address Type
218.197.192.254 00-01-02-03-04-05 dynamic
其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,如果大家希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找做准备。
手工绑定的命令为:
arp s 218.197.192.254 00-01-02-03-04-05
绑定完,可再用arp a查看arp缓存,
C:\Documents and Settings>arp a
Interface: 218.197.192.1 --- 0x2
Internet Address Physical Address Type
218.197.192.254 00-01-02-03-04-05 static
这时,类型变为静态(static),就不会再受攻击影响了。但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。所以,要彻底根除攻击,只有找出病毒计算机的方法。
如果已经查出病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对应的IP地址,即病毒计算机的IP地址,然后可报告校网络中心对其进行查封。
(三)利用NBTSCAN软件进行病毒主机查找
NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有木马程序在作怪,可以找到装有木马的PC的IP/和MAC地址。
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1.下载nbtscan.rar到硬盘后解压,然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:\windows\system32(或system)下。
2.进入MSDOS窗口输入命令C:/nbtscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。
C:/Documents and Settings/ALAN>C:/nbtscan -r 192.168.16.1/24
Warning: -r option not supported under Windows. Running without it.
Doing NBT name scan for addresses from 192.168.16.1/24
IP address NetBIOS Name Server User MAC address
192.168.16.0 Sendto failed: Cannot assign requested address
192.168.16.50 SERVER 00-e0-4c-4d-96-c6
192.168.16.111 LLF ADMINISTRATOR 00-22-55-66-77-88
192.168.16.121 UTT-HIPER 00-0d-87-26-7d-78
192.168.16.175 JC 00-07-95-e0-7c-d7
192.168.16.223 test123 test123 00-0d-87-0d-58-5f
3.通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
三、结束语
ARP欺骗/攻击反复袭击,是近来网络行业普遍了解的现象,最好的方法是先踏踏实实把基本防制工作做好,才是根本解决的方法。
参考文献;
[1]邱亮、孙亚刚,网络安全工具及案例分析[M].电子工业出版社.2004.
[2]陈广山,网络与信息安全技术[M].机械工业出版.2007.
[3]Karanjit Siyan.Windows 2000 TCP/IP实用全书[M].北京:电子工业出版社.2001.
作者简介:
胡琼,安徽六安人,六安职业技术学院, 本科,从事计算机网络通信的研究。
[关键词]ARP协议 ARP欺骗攻击 嗅探 网络阻塞 ICMP重定
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2008)0610055-01
网络安全是一个永恒的话题,因为计算机只要与网络连接就不可能彻底安全,本文将针对ARP协议对网络安全的重要意义进行探讨。
一、ARP欺骗原理
ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。如主机A要发送数据给主机C,此时有恶意攻击者主机D要对主机A进行欺骗,那么当A去Ping主机C时,恶意攻击者主机D就会把C的MAC地址骗为自己的MAC地址,于是A发送到C上的数据包都变成发送给D的了。那么D正好接收了A发送来的数据包,于是嗅探成功。
由于D拦截了A发送给C的数据包,那么就会导致A与C连接不上,为了消除A的怀疑,此时D就要对拦截的数据包进行转发,这时D就扮演了一个中间人的角色。
做一个中间人,进行ARP重定向。打开D的IP转发功能,对于拦截的A的数据包重新转发给C,好比一个路由器一样。当然,D是不会直接发送ICMP重定向的。 那么D首先要对捕获到的A的数据包进行恶意修改然后再转发给C,而C接收了此数据包以后,完全认为是从A发送来的。于是C在毫不知情的情况下把发送的应答数据包又直接传递给所谓的A,那么此时D就可以再次对C进行ARP欺骗了。现在D就完全成为了A与C的中间桥梁,完全控制着A与C之间的通信。
二、校园网中ARP攻击处理过程
(一)故障现象
在校园上网时经常会有机器以前能正常上网,突然出现不能上网的现象(无法ping通网关),重启机器或在MSDOS窗口下运行命令ARP-d后,又可恢复上网一段时间。这是因为MAC地址冲突引起的,当带毒机器的MAC映射到主机或者路由器之类的NAT设备,那么全网断线,如果只映射到网内其他机器,则只有这部分机器出问题。这种情况多出现在同学们下载了带有恶意ARP病毒攻击的游戏等方面。其目的在于,该病毒破解游戏加密解密算法,通过截取局域网中的数据包,然后分析游戏通讯协议的方法截获用户的信息。运行这个病毒,就可以获得整个局域网中各个用户的详细信息,盗取用户帐号信息。下面我们谈谈如何进行临时处理。
(二)临时处理对策
步骤一,首先在网络正常运行时,进入MS-DOS窗口,输入命令:arp a 查看网关IP对应的正确MAC地址,将其记录下来。
注:如果已经不能上网,则先运行一次命令arp d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp a。
步骤二,如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令: arp s 网关IP 网关MAC
例如:假设计算机所处网段的网关为218.197.192.254,本机地址为218.197.192.1在计算机上运行arp a后输出如下:
C:\Documents and Settings>arp a
Interface: 218.197.192.1 --- 0x2
Internet Address Physical Address Type
218.197.192.254 00-01-02-03-04-05 dynamic
其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,如果大家希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找做准备。
手工绑定的命令为:
arp s 218.197.192.254 00-01-02-03-04-05
绑定完,可再用arp a查看arp缓存,
C:\Documents and Settings>arp a
Interface: 218.197.192.1 --- 0x2
Internet Address Physical Address Type
218.197.192.254 00-01-02-03-04-05 static
这时,类型变为静态(static),就不会再受攻击影响了。但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。所以,要彻底根除攻击,只有找出病毒计算机的方法。
如果已经查出病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对应的IP地址,即病毒计算机的IP地址,然后可报告校网络中心对其进行查封。
(三)利用NBTSCAN软件进行病毒主机查找
NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有木马程序在作怪,可以找到装有木马的PC的IP/和MAC地址。
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1.下载nbtscan.rar到硬盘后解压,然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:\windows\system32(或system)下。
2.进入MSDOS窗口输入命令C:/nbtscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。
C:/Documents and Settings/ALAN>C:/nbtscan -r 192.168.16.1/24
Warning: -r option not supported under Windows. Running without it.
Doing NBT name scan for addresses from 192.168.16.1/24
IP address NetBIOS Name Server User MAC address
192.168.16.0 Sendto failed: Cannot assign requested address
192.168.16.50 SERVER 00-e0-4c-4d-96-c6
192.168.16.111 LLF ADMINISTRATOR 00-22-55-66-77-88
192.168.16.121 UTT-HIPER 00-0d-87-26-7d-78
192.168.16.175 JC 00-07-95-e0-7c-d7
192.168.16.223 test123 test123 00-0d-87-0d-58-5f
3.通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
三、结束语
ARP欺骗/攻击反复袭击,是近来网络行业普遍了解的现象,最好的方法是先踏踏实实把基本防制工作做好,才是根本解决的方法。
参考文献;
[1]邱亮、孙亚刚,网络安全工具及案例分析[M].电子工业出版社.2004.
[2]陈广山,网络与信息安全技术[M].机械工业出版.2007.
[3]Karanjit Siyan.Windows 2000 TCP/IP实用全书[M].北京:电子工业出版社.2001.
作者简介:
胡琼,安徽六安人,六安职业技术学院, 本科,从事计算机网络通信的研究。