论文部分内容阅读
摘 要: 本文针对水文信息网中高发的ARP地址欺骗和攻击方式进行分析。介绍ARP工作原理及欺骗、攻击方式,从计算机IP地址与MAC地址绑定及网关防护等方面,提出如何防御水文信息网中ARP攻击的解决思路和方法,保障水文信息网络的信息高效、安全地运行。
关键词: ARP病毒;ARP攻击与防御;水文信息网;IP-MAC地址绑定
中图分类号:S27 文献标识码:C DOI:10.11974/nyyjs.20160132065
前 言
感染ARP病毒的计算机向信息网内发送大量的ARP病毒包和错误的网络地址信息,对网内的计算机进行地址欺骗及阻塞网络通信,引导信息网内的计算机连接到窃取信息的服务器上,从而窃取网络内计算机中重要数据(用户名、密码、私密信息等)。ARP病毒具有一定的隐秘性和欺骗性,所以给信息网内的计算机带来极大的安全隐患。如何才能有效地防御水文信息网中ARP病毒对网络的攻击,确保水文信息网络安全、畅通成为了首要任务。
1 ARP与PARP的工作原理
ARP地址解析协议,实现计算机IP地址与物理地址的转换。RARP反向地址转换协议,实现计算机物理地址与IP地址的转换。在网络中,源计算机与目的计算机会在各自的ARP地址缓冲区中创建一个ARP地址对应列表,用以表示IP地址和MAC地址的对应关系。当源计算机需要将一个数据包发送到目的计算机时,先检查自己的ARP地址列表中是否存在与该IP地址对应的MAC地址,有则直接将数据包发送到这个MAC地址上;如果没有则向本网段发起一个ARP请求的广播包(包括源计算机的IP地址、硬件地址及目的计算机地址),查询此目的计算机对应的MAC地址。当网络中其他计算机收到这个ARP请求后,会检查此数据包中的目的地址是否与自己的IP地址一致。如不同就放弃此数据包;如相同该计算机首先将发送端的MAC地址和IP地址添加到自己的ARP地址对应列表中,如果ARP地址对应列表中已经存在该IP地址信息,则将其覆盖,然后回发一个ARP回应数据包,表明自己与其查找的MAC地址相同。源计算机收到这个ARP地址响应数据包后,将得到的目的计算机IP地址和MAC地址添加到源计算机的ARP地址列表中,并建立通讯链接。
2 攻击方式
2.1 假冒网关攻击
如果攻击源计算机假冒网关地址,对其已经掌握的局域网内计算机信息,发送具有针对性的攻击ARP病毒报文包,使网络中的计算机无法与其他网络计算机建立联系,甚至会导致整个局域网通信的中断,这种攻击的影响是比较严重的。如图1所示,因计算机A假冒网关向计算机B发送了虚假的网关ARP地址报文包,导致计算机B的ARP地址表中,记录了错误的网关地址对应关系,造成正常的数据不能被网关转发而无法通讯,甚至引导被攻击的计算机和攻击源计算机相连接,从而达到窃取重要的、隐秘的信息与数据,对数据的安全及网络通讯造成极大危害。
2.2 假冒用户攻击
计算机A假冒计算机B向网关发送伪造的ARP报文,导致网关的ARP表记录错误的计算机B地址映射关系,使正常的数据报文不能被计算机B接受。如图2所示。
2.3 DoS拒绝服务攻击
例如攻击的计算机,将目标计算机 ARP缓存中的MAC 地址,全部篡改成一些不存在的MAC地址,造成目标计算机向外发送的所有数据包全部丢失,使得上层应用忙于处理这种异常而无法响应外来请求,导致目标计算机产生拒绝服务。
2.4 虚拟计算机攻击
实施攻击的虚拟计算机通过在链路层捕获所有流经的 ARP请求数据包进行分析,当对虚拟计算机的 ARP 有请求,其就会发送对应虚拟物理地址的 ARP与之响应,同时虚拟计算机本身也会发送ARP 请求。此种攻击的危害是占用局域网内的 IP 地址资源,使正常运行的计算机无法正常获得IP 地址以及发生 IP地址冲突,消耗网络资源,堵塞计算机在网络中正常传输数据。
3 ARP欺骗及攻击的防范措施
3.1 在路由器端进行MAC-IP地址绑定
路由器进行MAC-IP地址绑定,有效地防范ARP冒用网关攻击。如图3所示。
通过路由器端绑定MAC-IP地址,首先要对上网的计算机分配固定和唯一的IP地址,这样既解决了IP地址不被滥用问题,又可以在发现有ARP病毒攻击时,方便快速的查找到受感染的计算机,有效的阻止对路由的攻击。还可以利用路由器自带的安全防护来加强防御。如图4所示。
在此项设置中启动ARP欺骗防御,设置ARP包的发送频率,在局域网内广播正确的网关IP地址,对仿冒网关地址欺骗有一定辅助作用。在路由器中设置ARP信任机制来预防ARP攻击。如图5所示。
同时也可对单机进行IP-MAC地址绑定,也可以有效防止ARP病毒对单机的攻击。
3.2 安装ARP病毒查杀软件
安装新型杀毒软件,且实时对杀毒软件引擎及病毒库进行更新,也是对ARP及其他病毒有效防范的一种措施。操作系统及时打补丁。
4 结语
从上面的攻击实例表明ARP病毒攻击,基本都是利用协议中的弱点篡改IP与MAC地址的对应关系,阻断通讯及窃取重要信息,给信息网络中的计算机带来极大的安全隐患。因此在对网络边界进行防护的同时,也应加强信息网络内部的防范,保证信息网络中计算机信息的安全、网络的顺畅,实现网络资源共享。
参考文献
[1] 穆艺鑫.ARP 欺骗在局域网中的分析及全面防御[Z].
[2]李军.浅谈ARP欺骗和防范[J].科技信息,2010(17).
作者简介:吴延东(1968-),男,本科,主要从事水文信息网络管理、维护及国家水文数据库安装和数据装载等工作。
关键词: ARP病毒;ARP攻击与防御;水文信息网;IP-MAC地址绑定
中图分类号:S27 文献标识码:C DOI:10.11974/nyyjs.20160132065
前 言
感染ARP病毒的计算机向信息网内发送大量的ARP病毒包和错误的网络地址信息,对网内的计算机进行地址欺骗及阻塞网络通信,引导信息网内的计算机连接到窃取信息的服务器上,从而窃取网络内计算机中重要数据(用户名、密码、私密信息等)。ARP病毒具有一定的隐秘性和欺骗性,所以给信息网内的计算机带来极大的安全隐患。如何才能有效地防御水文信息网中ARP病毒对网络的攻击,确保水文信息网络安全、畅通成为了首要任务。
1 ARP与PARP的工作原理
ARP地址解析协议,实现计算机IP地址与物理地址的转换。RARP反向地址转换协议,实现计算机物理地址与IP地址的转换。在网络中,源计算机与目的计算机会在各自的ARP地址缓冲区中创建一个ARP地址对应列表,用以表示IP地址和MAC地址的对应关系。当源计算机需要将一个数据包发送到目的计算机时,先检查自己的ARP地址列表中是否存在与该IP地址对应的MAC地址,有则直接将数据包发送到这个MAC地址上;如果没有则向本网段发起一个ARP请求的广播包(包括源计算机的IP地址、硬件地址及目的计算机地址),查询此目的计算机对应的MAC地址。当网络中其他计算机收到这个ARP请求后,会检查此数据包中的目的地址是否与自己的IP地址一致。如不同就放弃此数据包;如相同该计算机首先将发送端的MAC地址和IP地址添加到自己的ARP地址对应列表中,如果ARP地址对应列表中已经存在该IP地址信息,则将其覆盖,然后回发一个ARP回应数据包,表明自己与其查找的MAC地址相同。源计算机收到这个ARP地址响应数据包后,将得到的目的计算机IP地址和MAC地址添加到源计算机的ARP地址列表中,并建立通讯链接。
2 攻击方式
2.1 假冒网关攻击
如果攻击源计算机假冒网关地址,对其已经掌握的局域网内计算机信息,发送具有针对性的攻击ARP病毒报文包,使网络中的计算机无法与其他网络计算机建立联系,甚至会导致整个局域网通信的中断,这种攻击的影响是比较严重的。如图1所示,因计算机A假冒网关向计算机B发送了虚假的网关ARP地址报文包,导致计算机B的ARP地址表中,记录了错误的网关地址对应关系,造成正常的数据不能被网关转发而无法通讯,甚至引导被攻击的计算机和攻击源计算机相连接,从而达到窃取重要的、隐秘的信息与数据,对数据的安全及网络通讯造成极大危害。
2.2 假冒用户攻击
计算机A假冒计算机B向网关发送伪造的ARP报文,导致网关的ARP表记录错误的计算机B地址映射关系,使正常的数据报文不能被计算机B接受。如图2所示。
2.3 DoS拒绝服务攻击
例如攻击的计算机,将目标计算机 ARP缓存中的MAC 地址,全部篡改成一些不存在的MAC地址,造成目标计算机向外发送的所有数据包全部丢失,使得上层应用忙于处理这种异常而无法响应外来请求,导致目标计算机产生拒绝服务。
2.4 虚拟计算机攻击
实施攻击的虚拟计算机通过在链路层捕获所有流经的 ARP请求数据包进行分析,当对虚拟计算机的 ARP 有请求,其就会发送对应虚拟物理地址的 ARP与之响应,同时虚拟计算机本身也会发送ARP 请求。此种攻击的危害是占用局域网内的 IP 地址资源,使正常运行的计算机无法正常获得IP 地址以及发生 IP地址冲突,消耗网络资源,堵塞计算机在网络中正常传输数据。
3 ARP欺骗及攻击的防范措施
3.1 在路由器端进行MAC-IP地址绑定
路由器进行MAC-IP地址绑定,有效地防范ARP冒用网关攻击。如图3所示。
通过路由器端绑定MAC-IP地址,首先要对上网的计算机分配固定和唯一的IP地址,这样既解决了IP地址不被滥用问题,又可以在发现有ARP病毒攻击时,方便快速的查找到受感染的计算机,有效的阻止对路由的攻击。还可以利用路由器自带的安全防护来加强防御。如图4所示。
在此项设置中启动ARP欺骗防御,设置ARP包的发送频率,在局域网内广播正确的网关IP地址,对仿冒网关地址欺骗有一定辅助作用。在路由器中设置ARP信任机制来预防ARP攻击。如图5所示。
同时也可对单机进行IP-MAC地址绑定,也可以有效防止ARP病毒对单机的攻击。
3.2 安装ARP病毒查杀软件
安装新型杀毒软件,且实时对杀毒软件引擎及病毒库进行更新,也是对ARP及其他病毒有效防范的一种措施。操作系统及时打补丁。
4 结语
从上面的攻击实例表明ARP病毒攻击,基本都是利用协议中的弱点篡改IP与MAC地址的对应关系,阻断通讯及窃取重要信息,给信息网络中的计算机带来极大的安全隐患。因此在对网络边界进行防护的同时,也应加强信息网络内部的防范,保证信息网络中计算机信息的安全、网络的顺畅,实现网络资源共享。
参考文献
[1] 穆艺鑫.ARP 欺骗在局域网中的分析及全面防御[Z].
[2]李军.浅谈ARP欺骗和防范[J].科技信息,2010(17).
作者简介:吴延东(1968-),男,本科,主要从事水文信息网络管理、维护及国家水文数据库安装和数据装载等工作。