论文部分内容阅读
摘要:在当今信息化飞速发展的时代,网络技术日趋成熟,网络上的数据信息无时无刻的不被人们广泛传播。同时,信息数据的安全性往往被大家所忽视,当今各种安全措施都显得“道高一尺、魔高一丈”。该文主要渗透研究arp欺骗攻击,先从arp协议开始介绍,再详细阐述arp协议在OSI参考模型中请求的工作流程及欺骗技术的原理。之后,提出了arp欺骗攻击的防御措施,详细陈述了几大安全网络设备强大的安全防御功能,同时,也指出了这些防范措施的共同缺陷。最后,提出了如何优化网络管理和解决攻击的几点措施。
关键词:arp协议;arp欺骗;网络安全设备;防御
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)24-5795-02
ARP Spoofing Attack Network Security
CHE Shu-yan,SU Guan-dong
(Shunde Polytechnic,Guangdong 528300,China)
Abstract: In the era of rapid development of today’s information technology, network technology matures, the data on the network all the time not been widely disseminated. At the same time, network information security technology have been selectively ignored a variety of network security measures is“While the priest climbs a post, the devil climbs ten”. This paper will arp virus attacks as the representative, starting from the analysis of arp protocol described in detail the basic principles of the work process of the arp spoofing. Arp spoofing attack defensive measures proposed, detailed statement of the secure network device security and defense capabilities, while also pointing out the common defect of these precautions. Finally, a few measures of how to optimize network management and resolution of the attack.
Key words: arp protocol; the arp spoofing; network security equipment; defense
随着网络普及化,各种病毒、木马开始在网络中盛行,数据安全性也逐渐受到人们重视。现今的网络架构中主要采用交换机互联,使用路由转发网络数据包,这种共享交换式网络架构一直很成熟的技术,但近几年在新型网络攻击下显得毫无力气,这种新型网络攻击的代表就是ARP欺骗。ARP欺骗攻击是当前遇到的一个非常典型的安全威胁,受到ARP攻击后会出现无法正常上网、ARP包爆增、或错误的MAC地址/IP地址,一个MAC地址对应多个IP的情况。绝大多数网络管理人员在日常的网络管理工作中都力不从心。那么ARP如何进行欺骗攻击,我们如何又能进行有效防范呢,这是该文所研究的话题。
1 arp协议的工作流程
1.1 arp工作流程
Arp协议,又称地址解析协议,在ISO参考模型中,arp协议属于数据链路层协议,完成将ip地址转换成mac地址的功能,建立ip地址与mac地址对应表,从而用来请求目的ip的mac地址进行数据包封装,实现通信的目的。具体过程如下:
当网络中存在计算机a、b和一台交换机,a、b在同一vlan中,当a要和b通信时,a机首先要在缓存中查找是否有b机的ip地址和mac地址的对应关系;如果没有,则a机将发送一个arp报文广播,将自己的ip地址、mac地址和b机的ip地址发出,请求b机的mac地址,该arp报文到达交换机后,在同vlan各端口中进行洪泛,并要求ip地址是b机的计算机作应答,同时在交换机mac表中写入a机的mac地址和端口对应关系。接到ARP报文后的b机会以单播的方式给a机回应消息,消息内包括b机的ip、mac地址作为发送地址,a机的ip、mac地址作为目标地址,同时在交换机mac表中写入b机的mac和端口对应关系。a机收到b机的回应后,将b机的mac地址写入缓存中,并将目的ip、mac地址封装到数据帧中,从而实现通信。如果计算机a要与网段以外的计算机通信,则由网关将a计算机的广播包加以转发来完成上面的工作。
1.2 arp欺骗的原理
所谓arp欺骗,又被称为arp重定向,假设有A、B、C三台主机,一台主机A如果要向目标主机B发送数据,假设黑客主机C想窃取这个数据包,那么就会向主机A发送ARP包,其中这个ARP包中MAC地址为主机C的MAC地址,当主机A收到这个ARP包,就会立即更改本身的ARP缓存信息,将原本主机B的MAC地址更改为主机C的MAC地址,那么主机A就会把数据包直接发送给黑客主机C,窃取成功,这时,如果黑客主机C为了隐蔽自己,不会让主机B发现,“看”过数据后,则会再发送给主机B,从而不影响主机A和主机B的正常通信。但是如果主机C发送的ARP包中MAC地址是错误的MAC地址,那么主机A和主机B就不会正常通信了,所谓的ARP病毒破坏网络正常通信的现象。
2现有网络防御措施
2.1防火墙
防火墙是一种有效的网络安全防护系统,通过它可以隔离不可信区域(一般指internet)与可信区域(内部网)连接,防火墙可以分为三种应用模式:透明模式、路由模式和综合模式;其中使用最多、最广泛的就是路由模式。虽然目前防火墙是保护网络免遭黑客攻击的有效手段,但明显存在着一定的局限性:①对于Web应用程序,防范能力不足;②防火墙不能防范网络内部的攻击;③不能防范那些伪装成超级用户的黑客们劝说没有防范心理的用户公开其口令;④普通应用程序加密后,也能轻易躲过防火墙的检测;⑤对于绕过防火墙的攻击,它无能为力。
2.2入侵检测系统(IDS)
1)入侵检测的软件与硬件的组合,是防火墙的合理补充,是防火墙之后的第二道安全闸门,实时检测网络流量,监控各种网络行为,对违反安全策略的流量及时报警和防护,实现从事前警告、事中防护到事后取证的一体化解决方案。具有三大功能:
①入侵检测:提供实时的入侵检测,通过与防火墙联动、TCP Killer、发送邮件、控制台显示、日志数据库记录、打印机输出、运行用户自定义命令等方式进行报警及动态防护。
②事件监控:系统会对网络的流量进行监控,对P2P下载、IM即时通讯、网络游戏、在线视频等严重滥用网络资源的事件提供告警和记录。
③流量分析:对网络进行流量分析,实时统计出当前网络中的各种报文流量。
2)虽然入侵检测系统能够对防火墙能够弥补,但是对arp病毒形式的攻击行为却反应迟钝。也存在很多不足之处:①攻击手段不断更新,攻击工具自动化。IDS必须不断跟踪最新的安全技术。②不断增大的网络流量。数据实时分析导致对系统的要求越来越高。尽管如此,对百兆以上的流量,单一的入侵检测系统系统仍很难应付。③交换式局域网造成网络数据流的可见性下降;同时高速网络使数据的实时分析越发困难。④大量的误报和漏报。原因:必须深入了解所有操作系统、网络协议的运作情况和细节,才能准确的进行分析,而不同版本对协议处理都不同;而快速反应与力求全面也是矛盾。
2.3入侵防御系统(IPS)
1)入侵防御系统(ips)是针对入侵检测系统(ids)所存在的不足,借用网络防火墙的部分原理而建立的。入侵防御系统有效的结合了入侵检测技术和防火墙原理;依据一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,一旦发现攻击,将会采用相应的抵御措施。
2)但同时,我们也认识到:由于ips是基于ids同样的策略特征库,导致它无法完全克服ids所存在的缺陷,依然会出现很多的误报和漏报的情况,而主动防御应建立在精确、可靠的检测结果之上,大量的误报所激发的主动防御反而会造成巨大的负面影响;另一方面,数据包的深入检测和保障可用网络的高性能之间是存在矛盾的,随着网络带宽的扩大、单位时间传输数据包的增加、ips攻击特征库的不断膨胀,串连在出口位置的ips对网络性能的影响会越来越严重,最终必将成为网络传输的瓶颈。
综上所述,我们发现,当今几种网络安全防护设备一般部署在内网出口处,现有的网络安全技术无法百分之百的有效的阻断黑客的攻击;由于终端用户的计算机知识的淡薄和现阶段网络安全技术的不成熟,一些存在漏洞的计算机容易受到外来黑客的入侵,利用例如ARP欺骗的攻击,将会到时整个网络的瘫痪和数据的泄露。所以有效保障数据的安全,需要终端用户有较高的防范意识,还要一定的网络安全设备做保障,同时,还要有一批专业的网络技术人才。
3如何优化网络管理和解决攻击的措施
综上分析,应该将内部数据作为重点防护对象,应该将网络监控控制在每个网段中,通过必要的网络安全设备对每个网段进行防护,那么,无论是外网发起的网络连接,还是内网中类似于arp攻击所发出的广播包,都可以阻断一些病毒入侵的可能性。内网最低概率受到攻击,首先在建设网络时要做到以下几点措施:
①内网核心交换机应部署管理型网络交换机,根据区域应建立多个vlan,阻隔不同vlan间进行广播,这样如果其中一台计算机被入侵,有效阻止全网瘫痪。
②应在核心交换机上配置一台网络监控计算机,这台计算机可以与交换机管理网段进行通信。同时在网络监控计算机上部署一个网络交换机的图形化管理软件。形成一个对网络信息进行收集、分析和反馈的平台,达到动态监控的目的。
③在内网出口处一定要部署相关的网络安全设备,如防火墙、入侵检测、漏洞扫描等等,通过专业的网络技术对黑客入侵进行技术防范,做到事前警告、事中防护和事后取证一体化的解决方案。
④努力开发收集交换机数据的软件,开发分析网络行为的策略库,不断提高网络监控平台的故障反应速度和故障源定位的准确性。
4结束语
保障网络正常通信,保护数据安全流转于传输,是每个网络技术人员的责任所在,如今网络病毒疯狂传播,从事网络行业的专家,其任重而道远,要建设动态的、高效智能网络监控平台检测和防护体系,不但要在网络安全产品选型部署,还要在网络技术人才配备、网络构建思想以及各种网络资源的整合于一体建立需求,满足网络安全的需要。大力提高内网的网络安全管理能力,必将为达成上述目标起到重要而深远的影响。
参考文献:
[1]赵新辉,李祥.捕获网络数据包的方法[J].计算机应用研究,2004(8).
[2]何欣,王晓凤.ARP协议及其安全隐患[J].河南大学学报:自然科学版,2004(2).
[3]樊景博;刘爱军.ARP病毒的原理及防御方法[J].商洛学院学报,2007(0).
[4]吕骥;文静华.校园网内ARP欺骗攻击及防范[J].福建电脑,2007(5).
[5]杨萍,李杰.基于ARP欺骗的中间人攻击的分析与研究[J].计算机时代,2007(5).
[6]杨杨,房超,刘辉.基于DoS带宽攻击的ARP欺骗及ICMP攻击技术的分析[J].中国新通信,2007(5).
[7]罗杰云,倪德明.ARP协议的安全漏洞及其防范浅析[J].计算机系统应用,2003(5).
[8]朱名勋.防范ARP欺骗的网络安全性研究[J].衡阳师范学院学报,2003(3).
关键词:arp协议;arp欺骗;网络安全设备;防御
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)24-5795-02
ARP Spoofing Attack Network Security
CHE Shu-yan,SU Guan-dong
(Shunde Polytechnic,Guangdong 528300,China)
Abstract: In the era of rapid development of today’s information technology, network technology matures, the data on the network all the time not been widely disseminated. At the same time, network information security technology have been selectively ignored a variety of network security measures is“While the priest climbs a post, the devil climbs ten”. This paper will arp virus attacks as the representative, starting from the analysis of arp protocol described in detail the basic principles of the work process of the arp spoofing. Arp spoofing attack defensive measures proposed, detailed statement of the secure network device security and defense capabilities, while also pointing out the common defect of these precautions. Finally, a few measures of how to optimize network management and resolution of the attack.
Key words: arp protocol; the arp spoofing; network security equipment; defense
随着网络普及化,各种病毒、木马开始在网络中盛行,数据安全性也逐渐受到人们重视。现今的网络架构中主要采用交换机互联,使用路由转发网络数据包,这种共享交换式网络架构一直很成熟的技术,但近几年在新型网络攻击下显得毫无力气,这种新型网络攻击的代表就是ARP欺骗。ARP欺骗攻击是当前遇到的一个非常典型的安全威胁,受到ARP攻击后会出现无法正常上网、ARP包爆增、或错误的MAC地址/IP地址,一个MAC地址对应多个IP的情况。绝大多数网络管理人员在日常的网络管理工作中都力不从心。那么ARP如何进行欺骗攻击,我们如何又能进行有效防范呢,这是该文所研究的话题。
1 arp协议的工作流程
1.1 arp工作流程
Arp协议,又称地址解析协议,在ISO参考模型中,arp协议属于数据链路层协议,完成将ip地址转换成mac地址的功能,建立ip地址与mac地址对应表,从而用来请求目的ip的mac地址进行数据包封装,实现通信的目的。具体过程如下:
当网络中存在计算机a、b和一台交换机,a、b在同一vlan中,当a要和b通信时,a机首先要在缓存中查找是否有b机的ip地址和mac地址的对应关系;如果没有,则a机将发送一个arp报文广播,将自己的ip地址、mac地址和b机的ip地址发出,请求b机的mac地址,该arp报文到达交换机后,在同vlan各端口中进行洪泛,并要求ip地址是b机的计算机作应答,同时在交换机mac表中写入a机的mac地址和端口对应关系。接到ARP报文后的b机会以单播的方式给a机回应消息,消息内包括b机的ip、mac地址作为发送地址,a机的ip、mac地址作为目标地址,同时在交换机mac表中写入b机的mac和端口对应关系。a机收到b机的回应后,将b机的mac地址写入缓存中,并将目的ip、mac地址封装到数据帧中,从而实现通信。如果计算机a要与网段以外的计算机通信,则由网关将a计算机的广播包加以转发来完成上面的工作。
1.2 arp欺骗的原理
所谓arp欺骗,又被称为arp重定向,假设有A、B、C三台主机,一台主机A如果要向目标主机B发送数据,假设黑客主机C想窃取这个数据包,那么就会向主机A发送ARP包,其中这个ARP包中MAC地址为主机C的MAC地址,当主机A收到这个ARP包,就会立即更改本身的ARP缓存信息,将原本主机B的MAC地址更改为主机C的MAC地址,那么主机A就会把数据包直接发送给黑客主机C,窃取成功,这时,如果黑客主机C为了隐蔽自己,不会让主机B发现,“看”过数据后,则会再发送给主机B,从而不影响主机A和主机B的正常通信。但是如果主机C发送的ARP包中MAC地址是错误的MAC地址,那么主机A和主机B就不会正常通信了,所谓的ARP病毒破坏网络正常通信的现象。
2现有网络防御措施
2.1防火墙
防火墙是一种有效的网络安全防护系统,通过它可以隔离不可信区域(一般指internet)与可信区域(内部网)连接,防火墙可以分为三种应用模式:透明模式、路由模式和综合模式;其中使用最多、最广泛的就是路由模式。虽然目前防火墙是保护网络免遭黑客攻击的有效手段,但明显存在着一定的局限性:①对于Web应用程序,防范能力不足;②防火墙不能防范网络内部的攻击;③不能防范那些伪装成超级用户的黑客们劝说没有防范心理的用户公开其口令;④普通应用程序加密后,也能轻易躲过防火墙的检测;⑤对于绕过防火墙的攻击,它无能为力。
2.2入侵检测系统(IDS)
1)入侵检测的软件与硬件的组合,是防火墙的合理补充,是防火墙之后的第二道安全闸门,实时检测网络流量,监控各种网络行为,对违反安全策略的流量及时报警和防护,实现从事前警告、事中防护到事后取证的一体化解决方案。具有三大功能:
①入侵检测:提供实时的入侵检测,通过与防火墙联动、TCP Killer、发送邮件、控制台显示、日志数据库记录、打印机输出、运行用户自定义命令等方式进行报警及动态防护。
②事件监控:系统会对网络的流量进行监控,对P2P下载、IM即时通讯、网络游戏、在线视频等严重滥用网络资源的事件提供告警和记录。
③流量分析:对网络进行流量分析,实时统计出当前网络中的各种报文流量。
2)虽然入侵检测系统能够对防火墙能够弥补,但是对arp病毒形式的攻击行为却反应迟钝。也存在很多不足之处:①攻击手段不断更新,攻击工具自动化。IDS必须不断跟踪最新的安全技术。②不断增大的网络流量。数据实时分析导致对系统的要求越来越高。尽管如此,对百兆以上的流量,单一的入侵检测系统系统仍很难应付。③交换式局域网造成网络数据流的可见性下降;同时高速网络使数据的实时分析越发困难。④大量的误报和漏报。原因:必须深入了解所有操作系统、网络协议的运作情况和细节,才能准确的进行分析,而不同版本对协议处理都不同;而快速反应与力求全面也是矛盾。
2.3入侵防御系统(IPS)
1)入侵防御系统(ips)是针对入侵检测系统(ids)所存在的不足,借用网络防火墙的部分原理而建立的。入侵防御系统有效的结合了入侵检测技术和防火墙原理;依据一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,一旦发现攻击,将会采用相应的抵御措施。
2)但同时,我们也认识到:由于ips是基于ids同样的策略特征库,导致它无法完全克服ids所存在的缺陷,依然会出现很多的误报和漏报的情况,而主动防御应建立在精确、可靠的检测结果之上,大量的误报所激发的主动防御反而会造成巨大的负面影响;另一方面,数据包的深入检测和保障可用网络的高性能之间是存在矛盾的,随着网络带宽的扩大、单位时间传输数据包的增加、ips攻击特征库的不断膨胀,串连在出口位置的ips对网络性能的影响会越来越严重,最终必将成为网络传输的瓶颈。
综上所述,我们发现,当今几种网络安全防护设备一般部署在内网出口处,现有的网络安全技术无法百分之百的有效的阻断黑客的攻击;由于终端用户的计算机知识的淡薄和现阶段网络安全技术的不成熟,一些存在漏洞的计算机容易受到外来黑客的入侵,利用例如ARP欺骗的攻击,将会到时整个网络的瘫痪和数据的泄露。所以有效保障数据的安全,需要终端用户有较高的防范意识,还要一定的网络安全设备做保障,同时,还要有一批专业的网络技术人才。
3如何优化网络管理和解决攻击的措施
综上分析,应该将内部数据作为重点防护对象,应该将网络监控控制在每个网段中,通过必要的网络安全设备对每个网段进行防护,那么,无论是外网发起的网络连接,还是内网中类似于arp攻击所发出的广播包,都可以阻断一些病毒入侵的可能性。内网最低概率受到攻击,首先在建设网络时要做到以下几点措施:
①内网核心交换机应部署管理型网络交换机,根据区域应建立多个vlan,阻隔不同vlan间进行广播,这样如果其中一台计算机被入侵,有效阻止全网瘫痪。
②应在核心交换机上配置一台网络监控计算机,这台计算机可以与交换机管理网段进行通信。同时在网络监控计算机上部署一个网络交换机的图形化管理软件。形成一个对网络信息进行收集、分析和反馈的平台,达到动态监控的目的。
③在内网出口处一定要部署相关的网络安全设备,如防火墙、入侵检测、漏洞扫描等等,通过专业的网络技术对黑客入侵进行技术防范,做到事前警告、事中防护和事后取证一体化的解决方案。
④努力开发收集交换机数据的软件,开发分析网络行为的策略库,不断提高网络监控平台的故障反应速度和故障源定位的准确性。
4结束语
保障网络正常通信,保护数据安全流转于传输,是每个网络技术人员的责任所在,如今网络病毒疯狂传播,从事网络行业的专家,其任重而道远,要建设动态的、高效智能网络监控平台检测和防护体系,不但要在网络安全产品选型部署,还要在网络技术人才配备、网络构建思想以及各种网络资源的整合于一体建立需求,满足网络安全的需要。大力提高内网的网络安全管理能力,必将为达成上述目标起到重要而深远的影响。
参考文献:
[1]赵新辉,李祥.捕获网络数据包的方法[J].计算机应用研究,2004(8).
[2]何欣,王晓凤.ARP协议及其安全隐患[J].河南大学学报:自然科学版,2004(2).
[3]樊景博;刘爱军.ARP病毒的原理及防御方法[J].商洛学院学报,2007(0).
[4]吕骥;文静华.校园网内ARP欺骗攻击及防范[J].福建电脑,2007(5).
[5]杨萍,李杰.基于ARP欺骗的中间人攻击的分析与研究[J].计算机时代,2007(5).
[6]杨杨,房超,刘辉.基于DoS带宽攻击的ARP欺骗及ICMP攻击技术的分析[J].中国新通信,2007(5).
[7]罗杰云,倪德明.ARP协议的安全漏洞及其防范浅析[J].计算机系统应用,2003(5).
[8]朱名勋.防范ARP欺骗的网络安全性研究[J].衡阳师范学院学报,2003(3).