資源描述:
《arp病毒的攻擊原理分析》由會(huì)員上傳分享��,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)���。
1����、ARP病毒的攻擊原理分析摘要:最近校局域網(wǎng)中arp病毒頻繁發(fā)作,給校內(nèi)用戶造成不便。本文從arp協(xié)議入手,深入分析了arp安全漏洞及病毒攻擊原理,并對(duì)arp欺騙的原理與攻擊方式做了深入的研究,闡明了arp病毒欺騙的過(guò)程,給用戶提出解決這個(gè)問(wèn)題的方法���。關(guān)鍵詞:網(wǎng)絡(luò)協(xié)議ip地址arp病毒1.引言從上半年開(kāi)始在學(xué)校的局域網(wǎng)爆發(fā)了“arp欺騙”木馬病毒,病毒發(fā)作時(shí)其癥狀表現(xiàn)為計(jì)算機(jī)網(wǎng)絡(luò)連接正常,能登陸成功卻無(wú)法打開(kāi)網(wǎng)頁(yè),極大地影響了局域網(wǎng)用戶的正常使用���。2.arp協(xié)議的工作原理在以太網(wǎng)中傳輸?shù)臄?shù)據(jù)包是以太包,而以太包的尋址是依據(jù)其首部的mac地址。僅僅知道某主機(jī)的ip地址并不能讓
2�、內(nèi)核發(fā)送一幀數(shù)據(jù)給此主機(jī),內(nèi)核必須知道目的主機(jī)的mac地址才能發(fā)送數(shù)據(jù)。arp協(xié)議的作用就是在于把32位的ip地址變換成48位的以太地址�。在以太局域網(wǎng)內(nèi)數(shù)據(jù)包傳輸依靠的是mac地址,ip地址與mac對(duì)應(yīng)的關(guān)系依靠arp緩存表,每臺(tái)主機(jī)(包括網(wǎng)關(guān))都有一個(gè)arp緩存表。在正常情況下這個(gè)緩存表能夠有效保證數(shù)據(jù)傳輸?shù)囊粚?duì)一性��。我們可以在命令行窗口中,輸入命令arp-a,進(jìn)行查看,輸入命令arp-d進(jìn)行刷新�����。當(dāng)數(shù)據(jù)源主機(jī)需要將一個(gè)數(shù)據(jù)包要發(fā)送到目的主機(jī)時(shí),會(huì)首先檢查自己arp列表中是否存在該ip地址對(duì)應(yīng)的mac地址,如果存在,就直接將數(shù)據(jù)包發(fā)送到這個(gè)mac地址;如果不存在,就向本
3��、地網(wǎng)段發(fā)起一個(gè)arp請(qǐng)求的廣播包,詢問(wèn)目的主機(jī)的ip所對(duì)應(yīng)的mac地址�����。loCAlHosT網(wǎng)絡(luò)中所有的主機(jī)收到這個(gè)arp請(qǐng)求后,會(huì)檢查數(shù)據(jù)包中的目的ip是否和自己的ip地址一致����。如果不一致就不作回應(yīng);如果一致,該主機(jī)首先將發(fā)送端的mac地址和ip地址添加到自己的arp列表中,如果arp表中已經(jīng)存在該ip的信息,則將其覆蓋,后給數(shù)據(jù)源主機(jī)發(fā)送一個(gè)arp響應(yīng)數(shù)據(jù)包,告訴對(duì)方自己是它需要查找的mac地址;源主機(jī)收到這個(gè)arp響應(yīng)數(shù)據(jù)包后,將得到的目的主機(jī)的ip地址和mac地址添加到自己的arp列表中,并利用此信息開(kāi)始數(shù)據(jù)的傳輸�。若數(shù)據(jù)源主機(jī)一直沒(méi)有收到arp響應(yīng)數(shù)據(jù)包,表示ar
4�����、p查詢失敗����。3.arp病毒的欺騙原理和欺騙過(guò)程arp欺騙的目的就是為了實(shí)現(xiàn)全交換環(huán)境下的數(shù)據(jù)監(jiān)聽(tīng),大部分的木馬或病毒使用arp欺騙攻擊也是為了達(dá)到這個(gè)目的��。假設(shè)一個(gè)只有三臺(tái)電腦組成的局域網(wǎng),該局域網(wǎng)由交換機(jī)(sac地址分別為:mac-a,mac-s,mac-d?��,F(xiàn)在,s電腦要給d電腦發(fā)送數(shù)據(jù),則要先查詢自身的arp緩存表,查看里面是否有192.168.0.4這臺(tái)電腦的mac地址,如果有,就將mac-d封裝在數(shù)據(jù)包的外面,直接發(fā)送出去即可����。如果沒(méi)有,s電腦便向全網(wǎng)絡(luò)發(fā)送一個(gè)這樣的arp廣播包:s的ip是192.168.0.3,硬件地址是mac-s,要求返回ip地址為192.
5�����、168.0.4的主機(jī)的硬件地址���。而d電腦接受到該廣播,經(jīng)核實(shí)ip地址,則將自身的ip地址和mac-d地址返回到s電腦?���,F(xiàn)在s電腦可以在要發(fā)送的數(shù)據(jù)包上貼上目的地址mac-d發(fā)送出去,同時(shí)它還會(huì)動(dòng)態(tài)更新自身的arp緩存表,將192.168.0.4-mac-d這一條記錄添加進(jìn)去,這樣,等s電腦下次再給d電腦發(fā)送數(shù)據(jù)的時(shí)候,發(fā)送arp廣播包進(jìn)行查詢了。這就是正常情況下的數(shù)據(jù)包發(fā)送過(guò)程�����。但是,上述數(shù)據(jù)發(fā)送機(jī)制有一個(gè)致命的缺陷,即它是建立在對(duì)局域網(wǎng)中電腦全部信任的基礎(chǔ)上的,也就是說(shuō)它的假設(shè)前提是:無(wú)論局域網(wǎng)中哪臺(tái)電腦,其發(fā)送的arp數(shù)據(jù)包都是正確的�����。比如在上述數(shù)據(jù)發(fā)送中,當(dāng)s電腦向
6��、全網(wǎng)詢問(wèn)后,d電腦也回應(yīng)了自己的正確mac地址�����。但是當(dāng)此時(shí),a電腦卻返回了d電腦的ip地址和和自己的硬件地址��。由于a電腦不停地發(fā)送這樣的應(yīng)答數(shù)據(jù)包,則會(huì)導(dǎo)致s電腦又重新動(dòng)態(tài)更新自身的arp緩存表,這回記錄成:192.168.0.4與mac-a對(duì)應(yīng),我們把這步叫做arp緩存表中毒�。這樣,就導(dǎo)致以后凡是s電腦要發(fā)送給d電腦,都將會(huì)發(fā)送給a主機(jī)。也就是說(shuō),a電腦就劫持了由s電腦發(fā)送給d電腦的數(shù)據(jù)����。這就是arp欺騙的過(guò)程。如果a電腦不冒充d電腦,而是冒充網(wǎng)關(guān),那后果會(huì)更加嚴(yán)重�����。一個(gè)局域網(wǎng)中的電腦要連接外網(wǎng),都要經(jīng)過(guò)局域網(wǎng)中的網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)。在局域網(wǎng)中,網(wǎng)關(guān)的ip地址假如為192.1
7�、68.0.1。如果a電腦向全網(wǎng)不停的發(fā)送ip地址是192.168.0.1,硬件地址是mac-a的arp欺騙廣播,局域網(wǎng)中的其它電腦都會(huì)更新自身的arp緩存表,將a電腦當(dāng)成網(wǎng)關(guān),這樣,當(dāng)它們發(fā)送數(shù)據(jù)給網(wǎng)關(guān),結(jié)果都會(huì)發(fā)送到mac-a這臺(tái)電腦中��。這樣,a電腦就將會(huì)監(jiān)聽(tīng)整個(gè)局域網(wǎng)發(fā)送給互聯(lián)網(wǎng)的數(shù)據(jù)包��。4.結(jié)論arp欺騙是目前網(wǎng)絡(luò)管理,特別是校園網(wǎng)管理中最讓人頭疼的攻擊,它的攻擊技術(shù)含量低,隨便一個(gè)人都可以通過(guò)攻擊軟件來(lái)完成arp欺騙攻擊�。同時(shí)防范arp欺騙也沒(méi)有什么特別有效的方法,目前只能通過(guò)被動(dòng)的亡羊補(bǔ)牢形式的措施了�����。無(wú)論是攻和防,
