資源描述:
《機(jī)房局域網(wǎng)中arp攻擊分析與防御》由會(huì)員上傳分享,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)�����。
1�、機(jī)房局域網(wǎng)中ARP攻擊分析與防御ARP攻擊是近年來局域X環(huán)境中常見的安全問題,輕則影響X絡(luò)通信速度或致癱瘓�����,重則造成用戶信息的外泄��。本文從ARP工作原理入手���,分析局域X中利用ARP進(jìn)行偽裝欺騙實(shí)施攻擊的原理����,對(duì)是否遭遇了ARP攻擊進(jìn)行判斷�����,提出了針對(duì)ARP欺騙的診斷分析與防御方法���。關(guān)鍵詞:ARP;欺騙分析�;防御方法1.ARP協(xié)議及其工作原理 ARP協(xié)議是“AddressResolutionProtocol”(地址解析協(xié)議)的縮寫�。ARP是處于數(shù)據(jù)鏈路層的X絡(luò)通信協(xié)議����,在本層和硬件接口聯(lián)系并對(duì)上層提供服務(wù)。在局域X中,X絡(luò)中實(shí)際傳輸?shù)氖恰皫?幀里有目標(biāo)主機(jī)的MAC地址���。在
2����、以太X中,一臺(tái)主機(jī)要和另一臺(tái)主機(jī)進(jìn)行直接通信,必須知道目標(biāo)主機(jī)的MAC地址�����。目標(biāo)MAC地址就是通過地址解析協(xié)議獲得的�����。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程,也就是將局域X中32位IP地址轉(zhuǎn)換為對(duì)應(yīng)的48位物理地址,即X卡的MAC地址,ARP的基本功能就是通過目標(biāo)設(shè)備的IP地址查詢目標(biāo)設(shè)備的MAC地址,以保證通信暢通[1]�����。 在安裝有TCP/IP協(xié)議的電腦里都有一個(gè)ARP緩存表,表里的IP地址與MAC地址一一對(duì)應(yīng),如表1。這里以主機(jī)A(192.168.1.5)向主機(jī)B(192.168.1.1)發(fā)送數(shù)據(jù)為例來說明ARP的工作原理���。當(dāng)發(fā)送數(shù)
3、據(jù)時(shí),主機(jī)A會(huì)在自己的ARP緩存表中尋找是否有目標(biāo)IP地址����,若找到,也就知道了目標(biāo)MAC地址,直接把目標(biāo)MAC地址寫入幀里發(fā)送即可;若在ARP緩存表中沒有找到相對(duì)應(yīng)的IP地址���,主機(jī)A就會(huì)在X絡(luò)上發(fā)送一個(gè)廣播�,目標(biāo)MAC地址是“FF.FF.FF.FF.FF.FF”���,這表示向同一X段內(nèi)的所有主機(jī)發(fā)出這樣的詢問“192.168.1.1的MAC地址是什么����?”X絡(luò)上其他主機(jī)并不響應(yīng)ARP詢問,只有主機(jī)B接收到這個(gè)幀時(shí),才向主機(jī)A做出這樣的回應(yīng):“192.168.1.1的MAC地址是00-aa-00-62-c6-09”�����。這樣,主機(jī)A就知道了主機(jī)B的MAC地址,它就可以向主機(jī)B發(fā)送信息了
4���、�����。同時(shí)它還更新了自己的ARP緩存表,下次再向主機(jī)B發(fā)送信息時(shí),直接從ARP緩存表里查找就可以了�����。ARP緩存表采用了老化機(jī)制,在一段時(shí)間內(nèi)如果表中的某一行沒有使用,就會(huì)被刪除,這樣能減少ARP緩存表的長(zhǎng)度,加快查詢速度���。2.ARP攻擊現(xiàn)象及確認(rèn) 受到ARP攻擊的表現(xiàn)是:局域X突然斷線不能上X,不經(jīng)處理過一段時(shí)間后又可恢復(fù)�,X速很慢;局域X中用戶頻繁斷線�,瀏覽器出現(xiàn)錯(cuò)誤,QQ����、MSN、飛信等軟件會(huì)出現(xiàn)故障�����,時(shí)斷時(shí)通��;在局域X中需要身份認(rèn)證的上X��,會(huì)突然提示需要認(rèn)證��,但是還是不能上X;使用ping命令��,無法ping通X關(guān)��。受到ARP攻擊出現(xiàn)的另一現(xiàn)象是���,不斷彈出“本機(jī)的0-25
5�����、5段硬件地址與X絡(luò)中的0-255段地址沖突”的對(duì)話框����。當(dāng)出現(xiàn)這兩種現(xiàn)象只要重啟路由即可恢復(fù)上X�����,但ARP攻擊沒有被清除時(shí)�,過一段時(shí)間后,X絡(luò)又會(huì)掉線���?��! ‘?dāng)出現(xiàn)上述現(xiàn)象���,可通過下列方法確認(rèn):①持續(xù)ping不能訪問的IP地址。在被攻擊對(duì)象的DOS窗口中輸入“ping目標(biāo)主機(jī)IP地址-t”來檢測(cè)X絡(luò)的連通性���,若屏幕提示“Requesttimeout”表明正在遭受攻擊。②在被攻擊對(duì)象上重新開啟一個(gè)DOS窗口�,輸入“arp–d”,清除本機(jī)上所有的IP和MAC地址的對(duì)應(yīng)����。此時(shí)若在ping指令的DOS上持續(xù)出現(xiàn)“Replyfrom…”表明曾受到ARP攻擊,現(xiàn)已正常���;如果僅出現(xiàn)一次“Re
6�、plyfrom…”后變成“Requesttimeout”����,則表明還在受到持續(xù)不斷的ARP攻擊。③用ARP查詢時(shí)發(fā)現(xiàn)不正常的MAC地址�,或錯(cuò)誤的MAC地址對(duì)應(yīng),另外一個(gè)MAC地址對(duì)應(yīng)多個(gè)IP的情況也會(huì)出現(xiàn)[2]����。3.ARP攻擊的原理和種類 ARP攻擊就是通過偽造IP和MAC地址實(shí)現(xiàn)ARP欺騙,在X絡(luò)中產(chǎn)生大量的ARP通信量使X絡(luò)阻塞,攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP報(bào)文達(dá)到更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目的目的��,從而就可造成X絡(luò)中斷或中間人攻擊����。 為了快速查詢�,ARP緩存中只保存少量IP與MAC地址的映射,刪除最近不使用的記錄��,保持動(dòng)態(tài)更新����。由于ARP設(shè)計(jì)原
7、因����,存在以下缺陷:對(duì)于數(shù)據(jù)接受者來說,即使在沒有發(fā)出ARP請(qǐng)求的情況下����,主機(jī)仍然無條件地被動(dòng)接受數(shù)據(jù)包,并不驗(yàn)證對(duì)方數(shù)據(jù)包的真實(shí)性����,就進(jìn)行ARP緩存動(dòng)態(tài)更新�;另外��,對(duì)于發(fā)送數(shù)據(jù)者來說���,主機(jī)可隨意發(fā)送偽造的ARP數(shù)據(jù)��。由于ARP協(xié)議是無狀態(tài)的,沒有連接的�����,可信任的���,沒有安全機(jī)制的協(xié)議��,這給計(jì)算機(jī)系統(tǒng)埋下了安全隱患����。以下舉例說明一個(gè)ARP欺騙過程���。局域X中的3臺(tái)主機(jī)HA����、HD和HS,對(duì)應(yīng)的IP地址和MAC地址分別為IPA�����、IPD����、IPS和MA、MD和MS�����。此時(shí)���,主機(jī)HS需要與主機(jī)HD通信�����,在HS的ARP緩存中沒有主機(jī)H
