阐述浅谈浅谈局域网中ARP攻击与防御网
最后更新时间:2024-04-19
作者:用户投稿
本站原创
点赞:4650
浏览:12605
本站原创
点赞:4650
浏览:12605
论文导读:
【摘 要】本文针对校园网用户和机房,对在局域网中频繁发生的ARP欺骗原理进行了分析和介绍,通过伪造IP地址和MAC地址实现ARP欺骗能够在局域网中产生大量的ARP通信量造成局域网阻塞,从而使网络受阻。本文主要讲解ARP攻击的原理以及如何防御ARP攻击的方法,加强安全防范措施以达到局域网安全的目的。
【关键词】ARP攻击;防御;网络安全
1.引言
最近学校机房的网络很不稳定,经常出现瞬间大面积的掉线现象,严重影响学生上机质量,经过多方排除(对系统进行重装、杀毒,对交换机、路由器和服务器等都进行了排查)最后确定是ARP的问题。这种病毒是一种利用计算机病毒使计算机网络无法正常运行的计算机攻击手段。如何防范ARP的网络攻击已成为确保局域网的网络畅通的很重要事情。
ARP工作原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
然而一些非法入侵者和利用各种技术手段,篡改和伪造IP地址和MAC地址,在网络中产生大量的通信量使网络阻塞或者通过中间人进行ARP重定和攻击,以达到非法入侵和获取他人信息的目的。这种网络入侵方式叫做ARP欺骗,它是近来网络入侵攻击的一个重要形式,也是造成局域网瘫痪的原因,严重威胁着网络信息的安全。
ARP欺骗分为三种:一种对路由器ARP表的欺骗;第二种是对内网PC的网关欺骗;第三种是将数据指导向不存在的地址。下面简单介绍一下前两种欺骗的原理:第一种ARP欺骗原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不摘自:写论文www.7ctime.com
断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关,它的原理是建立假的网关,让被它欺骗的PC向假的网关发送数据,而不是通过正常的路由器途径上网。那么PC就上不了网,也就是所谓的掉线。
一般来说,ARP欺骗攻击的后果非常严重,ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp-d后,又可恢复上网。有些网络管理员对此不甚了解,出现故障时,认为PC没有问题,交换机没掉线的“本事”,而且如果第一种ARP欺骗发生时论文导读:
,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了。为此,宽带路由器背了不少“黑锅”。
下面举个实例说明ARP攻击过程:
当一个入侵者想非法进入公司的数据服务器而这台主机的防火墙只对192.0.0.4(假设)这个IP开放23口(telnet),攻击者无法入侵192.0.0.4所以他采用ARP欺骗。
(1)他先研究19
(6)主机找到该IP然后在ARP表中加入新的IP——MAC对应关系。
(7)防火墙失效了,攻击者的IP变成合法的MAC地址。ARP欺骗攻击完成。
ARP攻击是指攻击者利用地址解析协议本身的运行机制而发动的攻击行为包括主机发动IP冲突攻击数据轰炸,断局域网上任何一台主机的网络连接等主要有以数据为主要目的ARP欺骗攻击还有以捣乱破坏为目的ARP泛洪攻击。
ARP欺骗攻击有以下几种形式:
(1)Dos(Denial of Service)中文为拒绝服务攻击。拒绝服务攻击就是使目标主机不能响应外界请求,从面不能对外提供服务的攻击方法如果攻击者将目标主机ARP缓存中的MAC地址全部改为根本就不存在的地址,那么目标主机向外发送的所有以太网数据帧会丢失,使得上层应用忙于处理这种异常而无法响应的外来请求,也就导致目标主机产生拒绝服务。 (2)ARP泛洪攻击
攻击主机持续把伪造的MAC——IP映射对发给受害主机,对于局域网的所有主机和网关进行广播,抢占网络带宽和干扰正常通信这种攻击方式的主要攻击特征包含:通过不断发送伪造的ARP广播数据包使得交换机忙于处理广播数据包耗尽网络带宽。令局域网内部的主机或网关找不到正确的通信对象,使得正常通信被阻断。用虚假的地址信息占满主机的ARP高速缓存空间,造成主机无法创建缓存表项,无法正常通信,这种攻击特征为ARP溢出攻击。ARP泛洪攻击不是以用户数据为目的,它是以破坏网络为目的。
(3)IP地址冲突攻击
制造出局域网上有另一台主机与被ARP欺骗过的主机共享一个IP的假象由于违反了惟一性(IP地址每一机器一个)要求,受欺骗的主机会自动向用户弹出警告对话框大量的攻击数据包能令受害主机耗费大量的系统资源对于Windows操作系统,只要接收到一个ARP数据包,不管该ARP数据包所记录的源IP地址同本地主机相同但MAC地址不同,Windows系统就会弹出IP地址冲突警告对话框。
(4)ARP扫描攻击
向局域网内所有主机发送ARP请求,从而获得正在运行主机的IP和MAC地址映射对。ARP扫描往往是为发动ARP攻击准备。攻击源通过ARP扫描来获得所要攻击主机的IP和MAC地址从而为网络监听用户数据实现隐蔽式攻击做准备。
方法一:可能查看交换机网段里面的ARP信息如果发现里面存在有不同IP对应相同MAC列表情况,就可以肯定该网内有ARP欺骗这个MAC地址就是感染ARP病毒的电脑MAC地址。
方法二:用户端可以通过输入命令方式。
(1)管理人员应事先将正确网关MAC地址和局域网PC机相对应的IP地址和MAC地址记录在案,当病毒发作导致网络故障时进入故障PC机的MS—DOS中,输入命令:arp-a查看网关IP对应的MAC地址。
(2)使用命令:ipconfig-a论文导读:
ll查看故障PC机本地网关的MAC地址,将其得到的地址记录下来逐台对比排查找到病毒源作相应处理。
实例:假设计算机所处网段的网关为192.168.5.1,本机地址为192.168.5.254。平时网络的网关IP地址为00-00-0c-07-ac-63当网络中ARP病毒发作导致其不能上网时,可在计算机命令窗口中运行arp-a输出如下:
c:\Documents and settings>arp-a
Interface 19
方法三:可以使用nbtscanr的MAC地址的扫描工具软件来扫描全段IP地址和MAC地址对应表,有助于判断感染ARP病毒对应MAC地址和IP地址。如果确定了MAC的攻击者,还需要进行物理位置确定以便及时进行处理。
由于绝大部分ARP欺骗攻击都是针对网关进行攻击的,使本机上ARP缓存的网关设备的信息出现紊乱,这样当机器要上网发送数据包给网关时就会因为地址错误而失败,造成计算机无法正常上网。针对此在用户端计算机上绑定交换机网关的IP和MAC地址。
a.静态绑定
首先获取网关的真实MAC地址,编写一个批处理文件ARP.BAT,对每台主机进行IP和MAC源于:期刊论文www.7ctime.com
地址静态绑定。
@echo off
Arp-d(清空ARP缓存)
Arp-s IP地址 MAC地址
将这个批处理文件加入到计算机启动项中,以便每次开机后自动加裁并执行该批处理文件,对用户起到一个很好的保护作用。
b.使用ARP防护软件
目前关于ARP类的防护软件出的比较多,现在使用较多的ARP工具主要是欣向ARP工具,Anriarp等。它们能很好的检测出来自其它机器的ARP攻击。
(2)网管交换端绑定
采用核心交换机上绑定用户主机的IP地址的网卡的MAC地址,同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式。
a.IP和MAC地址的绑定
在核心交换机上将所有局域网用户的IP地址与其它网卡MAC地址一一对应进行全部绑定,这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的。
b.MAC地址与交换机端口的绑定
在局域网中将用户计算机网卡的MAC地址和交换机端口绑定此方案可以防止非法用户随意接入网络端口上网,网络用户如果擅自改动本机网卡的MAC地址,该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现上网,自然也就不会对局域网造成干扰了。
c.采用VLAN技术隔离端口
网络管理员可根据本单位网络拓扑结构,具体规划出若干个VLAN,当发现有非法用户在恶意利用ARP欺骗攻击网络,或因合法用户受ARP病毒感染而影响网络时,首先利用技术手段查找到该用户所在的交换机端口,然后把该端口划一个单独的VLAN将该用户与其它用户进行物理隔离,以避免对其它用户的影响可以利用将交换机端口Disable来屏蔽该用户对网络造成的影响,从而达到安全防范的目的。
6.结束语
ARP欺骗攻击给网络带来了很大的安全隐患,也带来了很大的麻烦,加大了工作人员的工作量。上文对ARP作了基本的介绍以及对ARP欺骗和攻击的形式进行了举例说明,也对出现ARP欺骗和攻击后给了一些解决方法,供大家参考。对于ARP欺骗的网络攻击,不仅需要用户自身作好防范工作,更需要网络管理员时刻保持警惕,防范ARP欺骗攻击,以便保证网络的安全。
参考文献:
汤小斌.谈如何防止局域网内ARP欺骗[J].微机发展,2004.
叶成绪.校园网中基于ARP协议的欺骗及其预防[J].青海大学学报(自然科学版),2007.
[3]何欣.ARP协议及安全隐患[J].河南大学学报(自然科学版),2004.
[4]王彦刚.ARP病毒在校园风的传播和解决方案论文导读:.张海燕.ARP漏洞及其防范技术.网络安全,2005.唐秀存.基于ARP欺骗内网渗透和防范.计算机与信息技术,200
[5]张海燕.ARP漏洞及其防范技术[J].网络安全,2005.
[6]唐秀存.基于ARP欺骗内网渗透和防范[J].计算机与信息技术,2007.
【摘 要】本文针对校园网用户和机房,对在局域网中频繁发生的ARP欺骗原理进行了分析和介绍,通过伪造IP地址和MAC地址实现ARP欺骗能够在局域网中产生大量的ARP通信量造成局域网阻塞,从而使网络受阻。本文主要讲解ARP攻击的原理以及如何防御ARP攻击的方法,加强安全防范措施以达到局域网安全的目的。
【关键词】ARP攻击;防御;网络安全
1.引言
最近学校机房的网络很不稳定,经常出现瞬间大面积的掉线现象,严重影响学生上机质量,经过多方排除(对系统进行重装、杀毒,对交换机、路由器和服务器等都进行了排查)最后确定是ARP的问题。这种病毒是一种利用计算机病毒使计算机网络无法正常运行的计算机攻击手段。如何防范ARP的网络攻击已成为确保局域网的网络畅通的很重要事情。
2.ARP协议及工作原理
ARP:Address Resolution Protocol地址解析协议,是TCP/IP协议集中的链路层的协议。在局域网中网络中实际传输的是“帧”,帧里面是目标主机的MAC地址,在以太网中一个主机要和另一个主机直接通信,必须要知道目标主机的MAC地址,但这个目标MAC地址如何获得的呢?它就是通过地址解析协议获得的,所谓“地址解析协议”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址查询目标设备的MAC地址,以保证通信的顺利进行。ARP工作原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
然而一些非法入侵者和利用各种技术手段,篡改和伪造IP地址和MAC地址,在网络中产生大量的通信量使网络阻塞或者通过中间人进行ARP重定和攻击,以达到非法入侵和获取他人信息的目的。这种网络入侵方式叫做ARP欺骗,它是近来网络入侵攻击的一个重要形式,也是造成局域网瘫痪的原因,严重威胁着网络信息的安全。
3.ARP欺骗和攻击方式
ARP欺骗是常用的攻击手段之一,ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户。如、各种网络游戏和去做金钱交易,盗窃网上银行来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。ARP欺骗分为三种:一种对路由器ARP表的欺骗;第二种是对内网PC的网关欺骗;第三种是将数据指导向不存在的地址。下面简单介绍一下前两种欺骗的原理:第一种ARP欺骗原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不摘自:写论文www.7ctime.com
断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关,它的原理是建立假的网关,让被它欺骗的PC向假的网关发送数据,而不是通过正常的路由器途径上网。那么PC就上不了网,也就是所谓的掉线。
一般来说,ARP欺骗攻击的后果非常严重,ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp-d后,又可恢复上网。有些网络管理员对此不甚了解,出现故障时,认为PC没有问题,交换机没掉线的“本事”,而且如果第一种ARP欺骗发生时论文导读:
,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了。为此,宽带路由器背了不少“黑锅”。
下面举个实例说明ARP攻击过程:
当一个入侵者想非法进入公司的数据服务器而这台主机的防火墙只对192.0.0.4(假设)这个IP开放23口(telnet),攻击者无法入侵192.0.0.4所以他采用ARP欺骗。
(1)他先研究19
2.0.0.4这台主机,发现这台机器使用一个洪水数据包就可以让其死机。
(2)于是他送一个洪水数据包给192.0.0.4的139端口,于是这机器应包而死机。
(3)这时主机发送到192.0.0.4将无法被机器应答,系统自己的ARP对应表将190.0.4的地址抹掉。
(4)这段时间里入侵者把自己的IP改成192.0.0.4。
(5)他从新发一个Ping给主机要求主机更新主机的ARP转换表。(6)主机找到该IP然后在ARP表中加入新的IP——MAC对应关系。
(7)防火墙失效了,攻击者的IP变成合法的MAC地址。ARP欺骗攻击完成。
ARP攻击是指攻击者利用地址解析协议本身的运行机制而发动的攻击行为包括主机发动IP冲突攻击数据轰炸,断局域网上任何一台主机的网络连接等主要有以数据为主要目的ARP欺骗攻击还有以捣乱破坏为目的ARP泛洪攻击。
ARP欺骗攻击有以下几种形式:
(1)Dos(Denial of Service)中文为拒绝服务攻击。拒绝服务攻击就是使目标主机不能响应外界请求,从面不能对外提供服务的攻击方法如果攻击者将目标主机ARP缓存中的MAC地址全部改为根本就不存在的地址,那么目标主机向外发送的所有以太网数据帧会丢失,使得上层应用忙于处理这种异常而无法响应的外来请求,也就导致目标主机产生拒绝服务。 (2)ARP泛洪攻击
攻击主机持续把伪造的MAC——IP映射对发给受害主机,对于局域网的所有主机和网关进行广播,抢占网络带宽和干扰正常通信这种攻击方式的主要攻击特征包含:通过不断发送伪造的ARP广播数据包使得交换机忙于处理广播数据包耗尽网络带宽。令局域网内部的主机或网关找不到正确的通信对象,使得正常通信被阻断。用虚假的地址信息占满主机的ARP高速缓存空间,造成主机无法创建缓存表项,无法正常通信,这种攻击特征为ARP溢出攻击。ARP泛洪攻击不是以用户数据为目的,它是以破坏网络为目的。
(3)IP地址冲突攻击
制造出局域网上有另一台主机与被ARP欺骗过的主机共享一个IP的假象由于违反了惟一性(IP地址每一机器一个)要求,受欺骗的主机会自动向用户弹出警告对话框大量的攻击数据包能令受害主机耗费大量的系统资源对于Windows操作系统,只要接收到一个ARP数据包,不管该ARP数据包所记录的源IP地址同本地主机相同但MAC地址不同,Windows系统就会弹出IP地址冲突警告对话框。
(4)ARP扫描攻击
向局域网内所有主机发送ARP请求,从而获得正在运行主机的IP和MAC地址映射对。ARP扫描往往是为发动ARP攻击准备。攻击源通过ARP扫描来获得所要攻击主机的IP和MAC地址从而为网络监听用户数据实现隐蔽式攻击做准备。
4.精确定位局域网中的ARP欺骗攻击
我们可以因地制宜利用Windows操作系统自带命令在局域网中准确定位病毒源的IP地址。方法一:可能查看交换机网段里面的ARP信息如果发现里面存在有不同IP对应相同MAC列表情况,就可以肯定该网内有ARP欺骗这个MAC地址就是感染ARP病毒的电脑MAC地址。
方法二:用户端可以通过输入命令方式。
(1)管理人员应事先将正确网关MAC地址和局域网PC机相对应的IP地址和MAC地址记录在案,当病毒发作导致网络故障时进入故障PC机的MS—DOS中,输入命令:arp-a查看网关IP对应的MAC地址。
(2)使用命令:ipconfig-a论文导读:
ll查看故障PC机本地网关的MAC地址,将其得到的地址记录下来逐台对比排查找到病毒源作相应处理。
实例:假设计算机所处网段的网关为192.168.5.1,本机地址为192.168.5.254。平时网络的网关IP地址为00-00-0c-07-ac-63当网络中ARP病毒发作导致其不能上网时,可在计算机命令窗口中运行arp-a输出如下:
c:\Documents and settings>arp-a
Interface 19
2.168.5.254---0X2
Internet Address Pysical Address Type1.1 00-0E-A6-4E-A7-55 dynamic
对比后发现,现在网关的MAC地址与00-00-0c-07-ac-63不一致,那么00-0E-A6-4E-A7-55就是ARP病毒源的网卡MAC地址。能过与日常的IP地址与MAC地址记录表对比,找到该台PC机作相应处理。方法三:可以使用nbtscanr的MAC地址的扫描工具软件来扫描全段IP地址和MAC地址对应表,有助于判断感染ARP病毒对应MAC地址和IP地址。如果确定了MAC的攻击者,还需要进行物理位置确定以便及时进行处理。
5.ARP欺骗攻击的防御
(1)用户端防御由于绝大部分ARP欺骗攻击都是针对网关进行攻击的,使本机上ARP缓存的网关设备的信息出现紊乱,这样当机器要上网发送数据包给网关时就会因为地址错误而失败,造成计算机无法正常上网。针对此在用户端计算机上绑定交换机网关的IP和MAC地址。
a.静态绑定
首先获取网关的真实MAC地址,编写一个批处理文件ARP.BAT,对每台主机进行IP和MAC源于:期刊论文www.7ctime.com
地址静态绑定。
@echo off
Arp-d(清空ARP缓存)
Arp-s IP地址 MAC地址
将这个批处理文件加入到计算机启动项中,以便每次开机后自动加裁并执行该批处理文件,对用户起到一个很好的保护作用。
b.使用ARP防护软件
目前关于ARP类的防护软件出的比较多,现在使用较多的ARP工具主要是欣向ARP工具,Anriarp等。它们能很好的检测出来自其它机器的ARP攻击。
(2)网管交换端绑定
采用核心交换机上绑定用户主机的IP地址的网卡的MAC地址,同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式。
a.IP和MAC地址的绑定
在核心交换机上将所有局域网用户的IP地址与其它网卡MAC地址一一对应进行全部绑定,这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的。
b.MAC地址与交换机端口的绑定
在局域网中将用户计算机网卡的MAC地址和交换机端口绑定此方案可以防止非法用户随意接入网络端口上网,网络用户如果擅自改动本机网卡的MAC地址,该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现上网,自然也就不会对局域网造成干扰了。
c.采用VLAN技术隔离端口
网络管理员可根据本单位网络拓扑结构,具体规划出若干个VLAN,当发现有非法用户在恶意利用ARP欺骗攻击网络,或因合法用户受ARP病毒感染而影响网络时,首先利用技术手段查找到该用户所在的交换机端口,然后把该端口划一个单独的VLAN将该用户与其它用户进行物理隔离,以避免对其它用户的影响可以利用将交换机端口Disable来屏蔽该用户对网络造成的影响,从而达到安全防范的目的。
6.结束语
ARP欺骗攻击给网络带来了很大的安全隐患,也带来了很大的麻烦,加大了工作人员的工作量。上文对ARP作了基本的介绍以及对ARP欺骗和攻击的形式进行了举例说明,也对出现ARP欺骗和攻击后给了一些解决方法,供大家参考。对于ARP欺骗的网络攻击,不仅需要用户自身作好防范工作,更需要网络管理员时刻保持警惕,防范ARP欺骗攻击,以便保证网络的安全。
参考文献:
汤小斌.谈如何防止局域网内ARP欺骗[J].微机发展,2004.
叶成绪.校园网中基于ARP协议的欺骗及其预防[J].青海大学学报(自然科学版),2007.
[3]何欣.ARP协议及安全隐患[J].河南大学学报(自然科学版),2004.
[4]王彦刚.ARP病毒在校园风的传播和解决方案论文导读:.张海燕.ARP漏洞及其防范技术.网络安全,2005.唐秀存.基于ARP欺骗内网渗透和防范.计算机与信息技术,200
7.上一页1234
[J].[5]张海燕.ARP漏洞及其防范技术[J].网络安全,2005.
[6]唐秀存.基于ARP欺骗内网渗透和防范[J].计算机与信息技术,2007.