資源描述:
《arp病毒攻擊原理與防御方法 》由會(huì)員上傳分享,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)����。
1、ARP病毒攻擊原理與防御方法 最近校園X內(nèi)ARP欺騙病毒擴(kuò)散,時(shí)常會(huì)出現(xiàn)校園X內(nèi)計(jì)算機(jī)上X斷斷續(xù)續(xù)或者越來(lái)越慢直到擁塞不通的情況����。在一個(gè)X段中只要有一臺(tái)計(jì)算機(jī)感染了ARP欺騙病毒運(yùn)行ARP欺騙的木馬程序,就會(huì)欺騙局域X內(nèi)所有主機(jī)和路由器,影響整個(gè)X內(nèi)計(jì)算機(jī)的正常上X?���! ∫弧RP協(xié)議介紹 ARP協(xié)議即地址解析協(xié)議��。局域X中的IP數(shù)據(jù)包是通過(guò)以太X發(fā)送的,而以太X設(shè)備并不識(shí)別IP地址而是只識(shí)別物理地址(MAC)����。ARP地址解析協(xié)議就是在計(jì)算機(jī)相互通信時(shí),實(shí)現(xiàn)IP地址和物理地址的轉(zhuǎn)換以確保信息正確的到達(dá)目的主機(jī)的協(xié)議�����?�! ∶颗_(tái)計(jì)算機(jī)都會(huì)有一個(gè)A
2�����、RP緩存表,緩存表里保存著目標(biāo)設(shè)備的IP-MAC地址映射����。ARP緩存表采用了老化機(jī)制,只保存最近一段時(shí)間內(nèi)監(jiān)聽到的ARP信息以縮短緩存表長(zhǎng)度提高查詢效率���。當(dāng)客戶機(jī)對(duì)某一IP地址的主機(jī)有通信需求時(shí),首先會(huì)在自己的ARP緩存表里查詢有沒(méi)有相應(yīng)的IP-MAC地址映射�。如果有則封裝ARP報(bào)文發(fā)送數(shù)據(jù)幀,如果沒(méi)有則廣播ARP請(qǐng)求詢問(wèn)目標(biāo)機(jī)器的物理地址,然后監(jiān)聽信道上的ARP應(yīng)答���。值得一提的是,當(dāng)客戶機(jī)發(fā)出ARP請(qǐng)求后,同時(shí)也會(huì)監(jiān)聽信道上的其它ARP請(qǐng)求�����。收到ARP回答后新的地址映射將被存入ARP緩存表��?����! 《?���、ARP病毒攻擊原理 因?yàn)锳RP緩存表是可以
3、隨時(shí)更新的動(dòng)態(tài)緩存表,所以攻擊者完全可以發(fā)送一個(gè)帶有欺騙性的ARP請(qǐng)求或者回答,以更改ARP緩存表中的地址映射,使得被攻擊的主機(jī)的地址解析發(fā)生錯(cuò)誤,將信息發(fā)往攻擊者希望的機(jī)器地址,以達(dá)到竊取信息的目的��?�! PR欺騙通常有針對(duì)局域X內(nèi)計(jì)算機(jī)的欺騙��、針對(duì)交換機(jī)的欺騙與針對(duì)DHCP服務(wù)的欺騙幾種�。下面分別對(duì)這幾種ARP欺騙方法進(jìn)行介紹���?���! ?.1針對(duì)局域X內(nèi)計(jì)算機(jī)的欺騙 由于局域X內(nèi)各個(gè)計(jì)算機(jī)的ARP緩存表都是根據(jù)信道上的ARP響應(yīng)包動(dòng)態(tài)變化的,而且并不是只監(jiān)聽自己發(fā)出的ARP請(qǐng)求���。所以局域X中的攻擊者想要利用ARP欺騙竊取內(nèi)X中某臺(tái)主機(jī)發(fā)出的信
4�、息或者破壞X絡(luò)的正常通信是很容易的。例如A主機(jī)要發(fā)送信息給B主機(jī),而C主機(jī)想得到他們的信息�����。C只需向A和B發(fā)送ARP應(yīng)答包讓他們都以為對(duì)方的MAC地址是C的MAC地址就可以了,這樣看起來(lái)A和B是直接通信,但實(shí)際上信息都是通過(guò)C來(lái)轉(zhuǎn)發(fā)的,這樣C就可以輕松地得到A和B的通信內(nèi)容���。當(dāng)然針對(duì)局域X內(nèi)計(jì)算機(jī)的ARP欺騙還有很多,常見的比如篡改X關(guān)的MAC地址(通常將X關(guān)的MAC地址改成自己的MAC地址),或者干脆大量發(fā)送偽造的ARP數(shù)據(jù)包造成局域X中計(jì)算機(jī)ARP緩存表的崩潰,使得X內(nèi)計(jì)算機(jī)不能正常上X�����?��! ?.2針對(duì)DHCP服務(wù)的欺騙 DHCP是Dyn
5、amicHostConfigurationProtocol(動(dòng)態(tài)主機(jī)分配協(xié)議)的縮寫,它是TCP/IP協(xié)議簇中的一種,主要是用來(lái)給X絡(luò)中的計(jì)算機(jī)機(jī)分配動(dòng)態(tài)的IP地址��。使用DHCP可以大大簡(jiǎn)化配置客戶機(jī)的TCP/IP的工作,尤其是當(dāng)某些TCP/IP參數(shù)改變時(shí),如X絡(luò)的大規(guī)模重建而引起的IP地址和子X掩碼的更改����。但是由于DHCP服務(wù)器和客戶端之間沒(méi)有認(rèn)證機(jī)制,如果有木馬病毒讓該DHCP服務(wù)器分配錯(cuò)誤的IP地址和其他X絡(luò)參數(shù),那就會(huì)對(duì)X絡(luò)造成非常大的危害。病毒的攻擊方式通常是將DHCP所能分配的IP地址耗盡,然后通過(guò)偽造MAC地址來(lái)冒充DHCP服務(wù)器
6����、,然后給客戶機(jī)提供一個(gè)假的DNS地址,這樣用戶就很容易被引導(dǎo)到一個(gè)假的X站,這樣攻擊者就可以得到他們想要的用戶密碼等信息。 三�、防御方法 綜上所述,ARP欺騙病毒的根本運(yùn)作機(jī)理就是偽造物理地址(MAC)。現(xiàn)在已經(jīng)有許多方法和軟件可以用來(lái)防止MAC地址欺騙�。最常用的是在交換設(shè)備上進(jìn)行IP-MAC地址綁定。這樣做不僅可以防止ARP欺騙病毒,也可以解決IP的盜用問(wèn)題���。其操作依靠人工,工作量必然會(huì)加大,但是能大大提高局域X的安全性?,F(xiàn)在許多單位的局域X都采用了IP-MAC地址的綁定技術(shù)?���,F(xiàn)在許多交換設(shè)備也已經(jīng)帶有一定的防御ARP攻擊的功能。另外X內(nèi)
7���、的計(jì)算機(jī)要及時(shí)更新操作系統(tǒng),打上各種漏洞補(bǔ)丁��。安裝可靠的殺毒軟件和防火墻?����,F(xiàn)在已經(jīng)有很多防火墻軟件帶有專門的ARP防火墻可以有效地阻擋ARP攻擊(如360防火墻)?��! ∷?�、結(jié)語(yǔ) 以上分析了ARP欺騙病毒的攻擊原理和基本的防御方法����。鑒于ARP欺騙病毒對(duì)于局域X的嚴(yán)重危害,我們應(yīng)該重視對(duì)它的日常防御,熟悉解決方法,以保證局域X的正常運(yùn)行。
