论文部分内容阅读
摘要:文章简单介绍了ARP协议,分析了ARP攻击的原理,从机制上说明了流行的防治方法的有效性。提出交换机双向绑定是目前较全面又持久的解决方案,它是由网络的管理和硬件的配置共同实现的。
关键词:网络安全;ARP攻击;双向绑定
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)36-2611-01
Schemes for ARP Disease Solving
YAN Yan
(Liaoning Province Directly Subordinate Organ Employees’ University,Shenyang 110032,China)
Abstract:The paper briefly introduces ARP agreement,analyses the principles for ARP attacking and illustrates effectiveness of prevalent preventions and treatments.It puts forward yet that bidirectional binding of exchanger is overall and lasting scheme for solving the disease,that is jointly realized bymanagement of network with disposition of hardware.
Key words:network safety;ARP’s attacking;two-way binding
1 引言
最近计算机网络经常受到各种各样的ARP病毒的攻击,如何防治ARP病毒攻击,是我们每个技术人员都要应对的问题。随着病毒侵害愈演愈烈, 防治的方案也多种多样,各种防治方法让人无所适从,但一些方法只对个别的攻击有效, 对其他的ARP攻击发挥不了作用, 同时降低了局域网工作效率。怎样才能有效防治ARP病毒的攻击,从根本上解决问题?这就需要我们了解ARP攻击的机理,判断各种防治方式的有效性,并介绍为什么交换机双向绑定是目前较全面又持久的解决方案。
2ARP病毒介绍
2.1 ARP协议与ARP攻击
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。要了解故障原理,我们先来了解一下ARP协议以及ARP攻击的常用手法:ARP欺骗。从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。要了解故障原理,我们先来了解一下ARP协议以及ARP攻击的常用手法:ARP欺骗。从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途徑上网。在PC看来,就是上不了网了,“网络掉线了”。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。ARP是地址解析协议,ARP协议主要负责将局域网中的32位IP地址转换为对应的48位物理地址,即网卡的MAC地址。计算机有ARP缓存表,用于保存IP地址以及相应的MAC地址。解析过程是一台主机先发送包含目标主机IP地址信息的广播数据包,即ARP请求,目标主机收到请求后向该主机发送一个含有IP地址和MAC地址数据包,即ARP应答。将目标主机IP地址以及相应的MAC地址保存在ARP缓存表中,以备通讯之用,两个主机就可以实现数据传输了。
在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。所以说从某种意义上讲ARP协议是工作在更低于IP协议的协议层。这也是为什么ARP欺骗更能够让人在神不知鬼不觉的情况下出现网络故障,他的危害更加隐蔽。
2.2 ARP攻击的机理
在网络中发送虚假的ARP应答就可以实现欺骗的目的,使发出ARP请求的主机的ARP缓存表中记录IP地址及错误的MAC地址。这种错误的对应关系就是ARP欺骗。ARP解析协议产生这样的问题,就造成了数据包不能准确到达。错误数据包引起网络重发,结果就是越发越多,超负荷运转,就会导致网络瘫痪,从而导致主机不能上网。
一般计算机中的ARP协议,对于应答数据包总是无条件覆盖本机缓存中的IP/MAC对照表。 这就造成只要有恶意计算机在局域网持续发出错误的ARP讯息,就会让计算机及路由器信以为真,作出错误的传送网络包动作。一般的ARP就是以这样的方式,造成网络运作不正常,达到盗取用户密码或破坏网络运作的目的。
3 防治ARP攻击的常见方法
针对ARP攻击的防治,常见的方法,可以分为以下三种:
① 利用ARP ECHO传送正确的ARP信息:通过频繁发送正确的ARP对照表,来达到防治的效果。 它是最早开发出来的ARP攻击解决方案,但随着ARP攻击的发展,渐渐失去它的效果。常见的ARP ECHO处理有两种,一种是由路由器持续发送,另一种则是在计算机或服务器安装软件发送。持续发送的缺点是被广播包占据大量带宽,另外攻击软件通常会设定更高频率的广播包,这个方法不但面对攻击没有防治效果,还会降低局域网运作的效能,
② 利用绑定方式,固定ARP对照表不受外来影响:通过固定正确的ARP对照表,来达到防治的效果。但是ARP绑定并不是灵丹妙药,网管必须通过网络监控或扫瞄的方法,找出攻击者加以去除,只作路由器端绑定效果有限,一般计算机仍会被欺骗,常发生掉包或掉线的情况。
③ 舍弃ARP协议,采用其它寻址协议:不采用ARP作为传送的机制,而另行使用其它协议例如PPPoE方式传送。
以上三种方法中,前两种方法较为常见,第三种方法由于变动较大,适用于技术能力较佳的应用。
3 交换机双向绑定方案
双向绑定的解决方案,就是在路由器上绑定ARP表的同时,在每台电脑上也绑定一些常用的ARP表项。它能够防御轻微的、手段不高明的ARP攻击。ARP攻击程序如果没有试图去更改绑定的ARP表项,那么ARP攻击就不会成功;如果攻击手段不剧烈,也欺骗不了路由器,这样我们就能够防住ARP攻击。在现在ARP双向绑定流行起来之后,攻击程序的作者也提高了攻击手段,攻击的方法更综合,另外攻击非常频密,仅仅进行双向绑定已经不能够应付凶狠的ARP攻击了,仍然很容易出现掉线。
事实上,由于路由器是整个局域网的出口,而ARP攻击是以整个局域网为目标,当ARP攻击包已经达到路由器的时候,影响已经造成。所以由路由器来承担防御ARP攻击的任务只是权宜之计,并不能很好的解决问题。
我们要真正消除ARP攻击的隐患,安枕无忧,必须对局域网核心--交换机做工作。由于任何ARP包,都必须经由交换机转发,才能到达被攻击目标,只要交换机拒收非法的ARP包,那么ARP攻击就不能造成任何影响。
真正严密的防止ARP攻击的方案,就是在每台接入交换机上面实现ARP绑定,并且过滤掉所有非法的ARP包。这样可以让ARP攻击足不出户,在局域网内完全消除了ARP攻击。 因为需要每台交换机都具有ARP绑定和相关的安全功能,这个方案的价格无疑是昂贵的。
参考文献:
[1] 冯登国.计算机通信网络安全[M].北京:清华大学出版社,2001.
[2] 单国栋,戴英侠,王航.计算机漏洞分类研究[J].计算机工程,2002,28(10):3-6.
[3] 夏云庆.Visual C 6.0 数据库高级编程[M].北京:希望电子出版社,2003.
[4] 段钢.加密与解密[M].2版.北京:电子工业出版社,2005.
[5] 候俊杰.深入浅出MFC[M].2版.北京:华中科技大学出版社,2005.
[6] (美) Jeffrey Richter.Applied Microsoft.NET Framework Programming[M].北京:清华大学出版社,2004.
关键词:网络安全;ARP攻击;双向绑定
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)36-2611-01
Schemes for ARP Disease Solving
YAN Yan
(Liaoning Province Directly Subordinate Organ Employees’ University,Shenyang 110032,China)
Abstract:The paper briefly introduces ARP agreement,analyses the principles for ARP attacking and illustrates effectiveness of prevalent preventions and treatments.It puts forward yet that bidirectional binding of exchanger is overall and lasting scheme for solving the disease,that is jointly realized bymanagement of network with disposition of hardware.
Key words:network safety;ARP’s attacking;two-way binding
1 引言
最近计算机网络经常受到各种各样的ARP病毒的攻击,如何防治ARP病毒攻击,是我们每个技术人员都要应对的问题。随着病毒侵害愈演愈烈, 防治的方案也多种多样,各种防治方法让人无所适从,但一些方法只对个别的攻击有效, 对其他的ARP攻击发挥不了作用, 同时降低了局域网工作效率。怎样才能有效防治ARP病毒的攻击,从根本上解决问题?这就需要我们了解ARP攻击的机理,判断各种防治方式的有效性,并介绍为什么交换机双向绑定是目前较全面又持久的解决方案。
2ARP病毒介绍
2.1 ARP协议与ARP攻击
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。要了解故障原理,我们先来了解一下ARP协议以及ARP攻击的常用手法:ARP欺骗。从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。要了解故障原理,我们先来了解一下ARP协议以及ARP攻击的常用手法:ARP欺骗。从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途徑上网。在PC看来,就是上不了网了,“网络掉线了”。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。ARP是地址解析协议,ARP协议主要负责将局域网中的32位IP地址转换为对应的48位物理地址,即网卡的MAC地址。计算机有ARP缓存表,用于保存IP地址以及相应的MAC地址。解析过程是一台主机先发送包含目标主机IP地址信息的广播数据包,即ARP请求,目标主机收到请求后向该主机发送一个含有IP地址和MAC地址数据包,即ARP应答。将目标主机IP地址以及相应的MAC地址保存在ARP缓存表中,以备通讯之用,两个主机就可以实现数据传输了。
在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。所以说从某种意义上讲ARP协议是工作在更低于IP协议的协议层。这也是为什么ARP欺骗更能够让人在神不知鬼不觉的情况下出现网络故障,他的危害更加隐蔽。
2.2 ARP攻击的机理
在网络中发送虚假的ARP应答就可以实现欺骗的目的,使发出ARP请求的主机的ARP缓存表中记录IP地址及错误的MAC地址。这种错误的对应关系就是ARP欺骗。ARP解析协议产生这样的问题,就造成了数据包不能准确到达。错误数据包引起网络重发,结果就是越发越多,超负荷运转,就会导致网络瘫痪,从而导致主机不能上网。
一般计算机中的ARP协议,对于应答数据包总是无条件覆盖本机缓存中的IP/MAC对照表。 这就造成只要有恶意计算机在局域网持续发出错误的ARP讯息,就会让计算机及路由器信以为真,作出错误的传送网络包动作。一般的ARP就是以这样的方式,造成网络运作不正常,达到盗取用户密码或破坏网络运作的目的。
3 防治ARP攻击的常见方法
针对ARP攻击的防治,常见的方法,可以分为以下三种:
① 利用ARP ECHO传送正确的ARP信息:通过频繁发送正确的ARP对照表,来达到防治的效果。 它是最早开发出来的ARP攻击解决方案,但随着ARP攻击的发展,渐渐失去它的效果。常见的ARP ECHO处理有两种,一种是由路由器持续发送,另一种则是在计算机或服务器安装软件发送。持续发送的缺点是被广播包占据大量带宽,另外攻击软件通常会设定更高频率的广播包,这个方法不但面对攻击没有防治效果,还会降低局域网运作的效能,
② 利用绑定方式,固定ARP对照表不受外来影响:通过固定正确的ARP对照表,来达到防治的效果。但是ARP绑定并不是灵丹妙药,网管必须通过网络监控或扫瞄的方法,找出攻击者加以去除,只作路由器端绑定效果有限,一般计算机仍会被欺骗,常发生掉包或掉线的情况。
③ 舍弃ARP协议,采用其它寻址协议:不采用ARP作为传送的机制,而另行使用其它协议例如PPPoE方式传送。
以上三种方法中,前两种方法较为常见,第三种方法由于变动较大,适用于技术能力较佳的应用。
3 交换机双向绑定方案
双向绑定的解决方案,就是在路由器上绑定ARP表的同时,在每台电脑上也绑定一些常用的ARP表项。它能够防御轻微的、手段不高明的ARP攻击。ARP攻击程序如果没有试图去更改绑定的ARP表项,那么ARP攻击就不会成功;如果攻击手段不剧烈,也欺骗不了路由器,这样我们就能够防住ARP攻击。在现在ARP双向绑定流行起来之后,攻击程序的作者也提高了攻击手段,攻击的方法更综合,另外攻击非常频密,仅仅进行双向绑定已经不能够应付凶狠的ARP攻击了,仍然很容易出现掉线。
事实上,由于路由器是整个局域网的出口,而ARP攻击是以整个局域网为目标,当ARP攻击包已经达到路由器的时候,影响已经造成。所以由路由器来承担防御ARP攻击的任务只是权宜之计,并不能很好的解决问题。
我们要真正消除ARP攻击的隐患,安枕无忧,必须对局域网核心--交换机做工作。由于任何ARP包,都必须经由交换机转发,才能到达被攻击目标,只要交换机拒收非法的ARP包,那么ARP攻击就不能造成任何影响。
真正严密的防止ARP攻击的方案,就是在每台接入交换机上面实现ARP绑定,并且过滤掉所有非法的ARP包。这样可以让ARP攻击足不出户,在局域网内完全消除了ARP攻击。 因为需要每台交换机都具有ARP绑定和相关的安全功能,这个方案的价格无疑是昂贵的。
参考文献:
[1] 冯登国.计算机通信网络安全[M].北京:清华大学出版社,2001.
[2] 单国栋,戴英侠,王航.计算机漏洞分类研究[J].计算机工程,2002,28(10):3-6.
[3] 夏云庆.Visual C 6.0 数据库高级编程[M].北京:希望电子出版社,2003.
[4] 段钢.加密与解密[M].2版.北京:电子工业出版社,2005.
[5] 候俊杰.深入浅出MFC[M].2版.北京:华中科技大学出版社,2005.
[6] (美) Jeffrey Richter.Applied Microsoft.NET Framework Programming[M].北京:清华大学出版社,2004.