資源描述:
《網(wǎng)絡(luò)中arp攻擊發(fā)現(xiàn)和定位以和防御方法》由會(huì)員上傳分享��,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。
1���、網(wǎng)絡(luò)中ARP攻擊發(fā)現(xiàn)和定位以和防御方法 【摘要】本文首先介紹了ARP協(xié)議�����,其次探討了ARP攻擊原理及ARP攻擊類型及ARP攻擊的發(fā)現(xiàn)與定位�,最后提出ARP攻擊防御策略��。本文的討論不僅推動(dòng)網(wǎng)絡(luò)的發(fā)展�����,而且可以提高人們信息的安全�。【關(guān)鍵詞】網(wǎng)絡(luò)���;ARP攻擊�����;發(fā)現(xiàn)����;定位;防御�;方法中圖分類號(hào):TN711文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):一、前言當(dāng)今社會(huì)是一個(gè)信息時(shí)代���,網(wǎng)絡(luò)的發(fā)展對(duì)人類的貢獻(xiàn)是巨大的�。網(wǎng)絡(luò)的普及在讓人類享受好處的同時(shí)�����,也帶來(lái)不少的安全問(wèn)題����,例如ARP的病毒就是一項(xiàng)對(duì)局域網(wǎng)攻擊的內(nèi)容,其危害是巨大的���。因此,我們應(yīng)該加強(qiáng)對(duì)ARP的學(xué)習(xí)�����,掌握其相關(guān)的知
2、識(shí)��,達(dá)到更好阻止ARP的效果�。二、ARP協(xié)議簡(jiǎn)介ARP�����,即地址解析協(xié)議(AddressResolution7Protocol)����,通過(guò)IP地址來(lái)得到MAC地址。因?yàn)樵赥CP/IP網(wǎng)絡(luò)環(huán)境中���,每個(gè)主機(jī)都分配有一個(gè)32位的IP地址����。但是以太網(wǎng)協(xié)議中規(guī)定�,主機(jī)之間進(jìn)行通信,源主機(jī)必須知道目標(biāo)主機(jī)的MAC地址����,即物理地址。TCP/IP協(xié)議分為四層�����,最上層為應(yīng)用層,往下依次是傳輸層��、網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層����。在TCP/IP協(xié)議棧中,網(wǎng)絡(luò)層和傳輸層只是關(guān)心目標(biāo)主機(jī)的IP地址����,因此,當(dāng)主機(jī)之間進(jìn)行通信的時(shí)候�,數(shù)據(jù)鏈路層的以太網(wǎng)協(xié)議接到上層的IP協(xié)議提供的數(shù)據(jù)中,只包含
3�、有目標(biāo)主機(jī)的IP地址。這個(gè)時(shí)候����,就需要一種方法,將目標(biāo)主機(jī)的32位IP地址轉(zhuǎn)換成48位的MAC地址���,ARP協(xié)議應(yīng)運(yùn)而生。一臺(tái)主機(jī)安裝有TCP/IP協(xié)議之后�����,就會(huì)在主機(jī)里面形成一個(gè)ARP緩存表,在這個(gè)緩存表中�����,IP地址和MAC地址是一一對(duì)應(yīng)的�。三、ARP攻擊原理及ARP攻擊類型1���、ARP攻擊原理ARP在當(dāng)初設(shè)計(jì)時(shí)���,并沒有在數(shù)據(jù)鏈層上進(jìn)行安全防范,之所以這樣做是為了能夠獲得更高的傳輸效率��。因此��,在使用ARP協(xié)議時(shí)�,是不需要通過(guò)認(rèn)證,而局域網(wǎng)在使用ARP協(xié)議時(shí)是假定相互通信的雙方是值得信賴和相互獨(dú)立的�����,因此任何主機(jī)在沒有得到請(qǐng)求時(shí)����,也是可以做出應(yīng)答的�,
4����、這時(shí),一旦其接受到ARP應(yīng)答包���,就會(huì)對(duì)緩存中的內(nèi)容進(jìn)行更改刷新��。因此����,ARP欺騙手段就是通過(guò)將偽造的ARP應(yīng)答發(fā)送到目標(biāo)主機(jī)�,使目標(biāo)主機(jī)接收偽造應(yīng)。答中的IP與MAC的對(duì)應(yīng)關(guān)系�����,達(dá)到改變目標(biāo)主機(jī)的ARP緩存�。2、由于ARP協(xié)議設(shè)計(jì)之初��,并沒有考慮到網(wǎng)絡(luò)中主機(jī)的不安全性,因此����,在ARP協(xié)議中存在著一些不安全因素�,主要體現(xiàn)在以下四個(gè)方面,無(wú)連接性����、無(wú)認(rèn)證性、無(wú)狀態(tài)性和廣播性���。7(1)IP地址沖突攻擊因?yàn)镮P地址對(duì)主機(jī)來(lái)說(shuō)相當(dāng)于一個(gè)唯一的身份證號(hào)碼���,每臺(tái)主機(jī)的IP地址都不能相同,如果���,有IP地址相同的兩臺(tái)主機(jī)�,就會(huì)導(dǎo)致IP地址沖突���。一臺(tái)主機(jī)檢測(cè)自身IP
5���、地址是否與網(wǎng)絡(luò)中其他主機(jī)IP地址沖突的方法是向網(wǎng)絡(luò)中發(fā)送廣播,將目標(biāo)主機(jī)的IP地址設(shè)為自身的IP地址,如果收到應(yīng)答則證明網(wǎng)絡(luò)中存在于自身IP地址相同的主機(jī)�,這時(shí),本機(jī)上會(huì)彈出IP地址沖突的警告���。很多ARP攻擊者利用這一原理�,將ARP數(shù)據(jù)包中的源主機(jī)IP地址和目標(biāo)主機(jī)IP地址均設(shè)置為被攻擊者的IP地址��,將目標(biāo)主機(jī)的MAC地址設(shè)置為被攻擊者的MAC地址���,被攻擊者收到這個(gè)數(shù)據(jù)包之后����,就會(huì)以為IP地址存在沖突��,從而釋放掉自身的IP地址����,導(dǎo)致無(wú)法正常通信。(2)ARP泛洪攻擊在網(wǎng)絡(luò)中的每一個(gè)網(wǎng)絡(luò)設(shè)備中都存在著一張ARP表�����,ARP表的大小是固定的�����,攻擊者不斷
6、的發(fā)送偽造的ARP廣播數(shù)據(jù)包���,讓交換機(jī)不停的處理廣播數(shù)據(jù)包����,耗盡了帶寬����,另外�,大量虛假的MAC地址填充了整個(gè)ARP表,從而讓網(wǎng)絡(luò)設(shè)備無(wú)法根據(jù)ARP表進(jìn)行正常的通信����。(3)ARP欺騙7ARP協(xié)議并不只有在發(fā)送了ARP請(qǐng)求之后才接收ARP應(yīng)答,當(dāng)主機(jī)接收到一個(gè)ARP應(yīng)答數(shù)據(jù)包之后�,它就會(huì)更新自己的ARP緩存表。如果攻擊者偽造一個(gè)ARP應(yīng)答��,主機(jī)也會(huì)將這個(gè)偽造的IP地址和MAC地址的映射存入ARP緩存表中�,從而可能讓網(wǎng)絡(luò)出現(xiàn)問(wèn)題。ARP欺騙分為兩種��,一種是攻擊者將自己偽裝成主機(jī),給網(wǎng)關(guān)發(fā)送一系列錯(cuò)誤的MAC地址�����,并且按照一定的頻率不斷進(jìn)行���,讓真實(shí)的地址
7����、信息無(wú)法通過(guò)更新保存在路由器中�����,結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送到錯(cuò)誤的MAC地址�����,從而導(dǎo)致主機(jī)無(wú)法正常收到信息�����。第二種是偽造網(wǎng)關(guān)����,即建立假網(wǎng)關(guān)���,讓被它欺騙的主機(jī)向假網(wǎng)關(guān)發(fā)送數(shù)據(jù),從而截獲了這些信息��。四���、ARP攻擊的發(fā)現(xiàn)與定位要定位感染ARP木馬電腦的MAC地址有三種方法可供選擇:方法一:可以查看三層交換機(jī)網(wǎng)段里面的ARP信息(如cisco6509中可以輸入showARP
8�����、include網(wǎng)段相同部分),如果發(fā)現(xiàn)里面存在有不同IP對(duì)應(yīng)相同MAC列表的情況�,就可以肯定該網(wǎng)段內(nèi)有ARP欺騙,這個(gè)MAC地址就是感染ARP木馬的電腦MAC���。方法二:用戶端可以通
9�、過(guò)輸入命令的方式���,輸入arp-a命令即可顯示與該電腦直連設(shè)備的MAC���,就會(huì)發(fā)現(xiàn)電腦網(wǎng)關(guān)所對(duì)應(yīng)的MAC地址是否被修改,如果被修改就可判定該
