基于ARP的网络攻击与防御
网络攻击
基于ARP的网络攻击与防御
金
星
(日照广播电视大学,山东日照276826)
摘要:分析了AEP欺骗攻击的基本原理,列举了几种常见的攻击方式,并提出相关的^.髓攻击的防御方法。关键词:^RP协议;网络系统;攻击;防御
Based
on
theARPNetworkAttackandDefense
diNXing
{黼髓哟删7"o/ev/翰#/J/z/vom#y,戳铀o.霸赫橛lg£oTdd_2d,锄姚)
Abstract:In舶paper伽basic
methodsofKey
delenseagainstthe
pI’incipIeof^PoPdeceptJoflat协ck,enumepat七dseveralkMof
c0删attack
mode,andputs
forwardSOlIle
A胛.
system,Attadl,defense
words:^肿protocol,Network
1引言
A
并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
RP,即地址解析协议,通过IP地址得知其物理地
址。在TCP/IP网络环境下,每个主机都分配了一个32位
的IP地址,这种互联网地址是在网际范围标识主机的一种
逻辑地址。为了让报文在物理网路上传送,必须知道对方目的主机的物理地址,这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为例,为了正确地向目的主机传送报文,必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互联层有一组服务将口地址转换为相应物理地址,这组协议就是ARP协议。
3
ARP攻击方式分析
(1)ARP攻击:指攻击者利用地址解析协议本身运行
机制而发动的攻击行为。
(2)IP冲突攻击:制造出局域网上有另一台主机与受害主机共享一个IP的假象。由于违反了惟一性的要求,受害主机会自动向用户弹出警告对话框。大量的攻击数据包能令受害主机耗费大量的系统资源。
(3)ARP溢出攻击:攻击主机持续把伪造的MAC-IP
2
ARP协议的工作原理
(1)首先,每台主机都会在自己的ARP缓冲区(AI心
映射对发给受害主机,受害主机会耗费大量的系统资源去维护ARP高速缓存。可以进一步采用分布式攻击,由一台进攻主机控制远端几台中间主机发动攻击,可以取得更好的攻击效果。
Cache)中建立一个ARP列表,以表示IP地址和MAC地址的对应关系。
(2)当源主机需要将一个数据包要发送到目的主机时,
会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主
(4)ARP欺骗:为了节省网络资源以及通讯时间,多
数操作系统会保留一张ARP缓存表,里面记录曾经访问的IP和MAC地址影射记录,一旦局域网中有一个新的ARP广播,对应一个IP到MAC的记录,这个ARP缓存表就会被刷新,MAC地址会更换成新的广播包里定义的MAC地址。这个时候就存在一个问题,在更新的时候系统并没有去检查是否真的是由该机器广播出来的,局域网中的恶意用户就会利用欺骗的方式来更改网络途径,将真正的MAC地址替换成自己的MAC地址。
(5)ARP欺骗攻击:攻击主机只要欺骗两台准备通信的主机的任一台,伪造另一台的MAC地址,就可以终止两台主机之间的任何基于IP的通信。动态映射对存在过期的问题,而且主机B、C之间也会进行正常的ARP数据包交互。要解决这个问题,主机A可以选择比较小的时间间隔持续发送伪造的数据包,就可以使B、C间通信一直中断。
机的IP地址。
(3)网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包{如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方自己是所需要查找的MAC地址。
(4)源主机收到这个ARP响应数据包后,将得到的目
的主机的IP地址和MAC地址添加到自己的ARP列表中,
万方数据
网络攻击
4解决方法
对于ARP欺骗,提出几点加强安全防范的措施。首先,可以肯定发送ARP欺骗包是由一个恶毒的程序自动发送的,正常的TCP/IP网络是不会有这样的错误包发
送的。这就假设,如果犯罪嫌疑人没有启动这个破坏程序
的时候,网络环境是正常的,或者说网络的ARP环境是正常的,如果能在犯罪赚疑人启动这个犯罪程序的第一时间,一开始就发现了他的犯罪活动,那么就是人赃俱在,不可抵赖了,因为刚才提到,前面网络正常的时候证据是可信赖的和可依靠的。
ARP欺骗的原理如下:
假设有这样一个网络,一个Hub接了三台机器:
HostA,HostB,HostC,其中:
A的地址为:
口:192.168.8.1MAC:AA—AA—AA—AA—AA—AAB的地址为:
IP:192.168.8.2MAC:BB—BB—BB—BB—BB—BB
C的地址为:
Ⅲ:192.168.8.3MAC:CC—CC—CC—CC—CC—CC正常情况下:
D:\Documentsandsettings\lenovo>arp-a
Interface:192.168.8.1一--Ox2
Intemet
AddressPhySicMAddressType192.168.8.3CC—CC—CC—CC—CC—CC
dynamic
即:IP地址:192.168.8.1的机器在以太网上网络地址
物理地址
类型
192.168.8.3CC—CC—CC—CC—CC—CC
动态
现在假设HostB开始了罪恶的ARP欺骗:B向A
发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.8.3(C的IP地址),MAC地址是DD-DD-DD—DD—DD—DD(C的MAC地址本来应该是CC—CC—CC—CC—CC—CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A不知道被伪造了)。而且,A不知道其实是从B发送过来的,A这里只有192.168.8.3(C的IP地址)和无效的DD—DD—DD—DD—DD—DD的MAC地址,没有和犯罪分子B相关的证据。
现在A机器的AI强缓存更新了:
Interface:192.168.8.1~0x2
D:\DocumentsandSettings\lenovo>arp—a
InternetAddressPhysical
Address
Type
192.168.8.3
DD—DD—DD—DD—DD—DDdynamic
即:IP地址:192.168.8.1的机器在以太网上网络地址
物理地址类型
192.168.8.3
DD—DD—DD—DD—DD—DD动态
这可不是小事。局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。现在192.168.8.3的MAC地址在A上被改变成一个本不存在的MAC地址。
万方数据
现在A开始Ping192.168.8.3,网卡递交的MAC地址
是DD—DD—DD—DD—DD—DD,结果是什么呢?网络不通,A根本不能Ping通C!
由上面分析的ARP欺骗原理可以得到如下防范措施(1)建立DHCP服务器(建议建在网关上),因为DH
CP
不占用多少CPU,而且ARP欺骗攻击一般总是先攻击网关,我们就是要让他先攻击网关,因为网关这里有监控程
序的,网关地址建议选择192.168.8.2,把192.168.8.1留空,另外,所有客户机的IP地址及其相关主机信息,
只能由网关这里取得,网关这里开通DHCP服务,但是
要给每个网卡,绑定固定惟一IP地址。一定要保持网内
的机器IP/MAC一一对应的关系。这样客户机虽然是
立MAC数据库,把机房内所有网卡的MAC地址记录下来,每个MAC和IP,地理位置统统装入数据库,以便
及时查询备案。(3)网关机器关闭ARP动态刷新的过程,使用静态路由,这样的话,即使犯罪嫌疑人使用ARP欺骗攻击网关的话,这样对网关也是没有用的,确保主机安RP程序包,安装一个脚本分析软件分析数据库内,或者与自己网络MAC数据库MAC/IP不匹
通过以上几种方法来解决ARP病毒对于局域网的欺RP病毒的防范工作,使RP病毒的危害减少到最小程度。对于各种类型的网金星(1970--),男,硕士,日照广播电视大学,
0-06--25
DHCP取地址,但每次开机的IP地址都是一样的。(2)建全。(4)网关监听网络安全。网关上面使用TCP/DUMP程序截取每个A这些ARP协议。ARP欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:第一,以太网数据包头的源
地址、目标地址和ARP数据包的协议地址不匹配。第二,ARP数据包的发送和目标地址不在自己网络网卡MAC配。这些统统第一时间报警,检查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道哪台机器
在发起攻击了。
5结束语
骗攻击是比较有效果的。但是,由于ARP病毒版本在不断更新升级中,仍会给局域网用户带来新的冲击与危害。因此,有必要提前做好局域网A得A络攻击,经常查看当前的网络状态,对网络活动进行分析、监控和采取积极、主动的防御行动是保证网络安全和畅通的重要方法。●
参考文献:
【1】陈英,马洪涛.局域网内ARP协议攻击及解决办法【J】.中国安全科学学.2007.
【2】王燕,张新刚.基于AEP协议的攻击及其防御方法分析【J】.微计算机信息.2007.
【5】马玲.如何防范校园网ARP攻击【J】.黑龙江科技信息.2009.作者简介.
助教,主要研究方向为计算机网络。收稿日期:201
网络攻击
基于ARP的网络攻击与防御
作者:作者单位:刊名:英文刊名:年,卷(期):
金星, Jin Xing
日照广播电视大学,山东,日照,276826计算机安全
NETWORK AND COMPUTER SECURITY2010(9)
参考文献(3条)
1.马玲 如何防范校园网ARP攻击[期刊论文]-黑龙江科技信息 2009(6)
2.王燕;张新刚 基于ARP协议的攻击及其防御方法分析[期刊论文]-微计算机信息 2007(36)3.陈英;马洪涛 局域网内ARP协议攻击及解决办法 2007
本文链接:http://www.77cn.com.cn/Periodical_dzzwyjc201009021.aspx
下一篇:没有了
相关推荐:
- [小学教育]浅谈深化国企改革中加强党管企业
- [小学教育]2006年中国病理生理学会学术活动安排
- [小学教育]设计投标工作大纲
- [小学教育]基于ARP的网络攻击与防御
- [小学教育]2016届湖北省七市(州)教科研协作体高三4月联合考试数
- [小学教育]Google_学术搜索及其检索技巧
- [小学教育]2019-2020学年七年级地理下册6.3美洲教案1新版湘教版.
- [小学教育]城市道路可研报告
- [小学教育]【名师指津】2012高考英语 写作基础技能步步高4 基本
- [小学教育]6级知识点培训北京师范大学《幼儿智趣数学》课程知识
- [小学教育]注册会计师会计知识点:金融资产
- [小学教育]新安装 500 kV 变压器介损分析与判断
- [小学教育]PS2模拟器PCSX2设置及使用教程.
- [小学教育]医院药事管理与药剂科管理组织机构
- [小学教育]{PPT背景素材}丹巴的醉人美景,免费,一组令人陶醉的丹
- [小学教育]NAS网络存储应用解决方案
- [小学教育]青海省西宁市六年级上学期数学期末考试试卷
- [小学教育]测量管理体系手册依据ISO10012:2003
- [小学教育]洞子小学培养骨干教师工作计划
- [小学教育]浅谈《牛津初中英语》的教材特点及教学方法-文档资料
- 音响均衡器调节技巧
- 中职幼教专业音乐教学反思的实践研究
- 2016-2022年中国新材料行业发展现状调
- 2013-中华神经科杂志-进展性腔隙性脑梗
- 不等式在公务员考试行测数学计算中的应
- 复旦大学431金融学综合考研真题2010-20
- 高二政治《文化生活》选择题精练
- 2013年理综+答案解析(山东卷)
- 梅林镇2011年度全民科学素质工作计划
- 新闻联播文稿-2011年01月26日
- 项目安全管理检查表
- 10.预应力混凝土构件计算
- 怎样做好一名人事行政部经理
- 高考地理一轮复习第13章世界地理第37讲
- 用6F2作胆机功放的电压放大表现超凡
- 2012成人高考考务培训
- 河南大学出版社_信息技术教案_四年级_
- 《检验检测机构资质认定评审准则》试题
- 2010年广东省中学生初中生物学联赛试卷
- 2016-2021年中国大肠杆菌测定仪行业市