局域網(wǎng)中arp重定向攻擊及防御措施

局域網(wǎng)中arp重定向攻擊及防御措施

ID:8148511

大小:27.50 KB

頁數(shù):5頁

時間:2018-03-07

局域網(wǎng)中arp重定向攻擊及防御措施_第1頁
局域網(wǎng)中arp重定向攻擊及防御措施_第2頁
局域網(wǎng)中arp重定向攻擊及防御措施_第3頁
局域網(wǎng)中arp重定向攻擊及防御措施_第4頁
局域網(wǎng)中arp重定向攻擊及防御措施_第5頁
資源描述:

《局域網(wǎng)中arp重定向攻擊及防御措施》由會員上傳分享,免費在線閱讀,更多相關內容在行業(yè)資料-天天文庫。

1、局域網(wǎng)中的ARP重定向攻擊及防御措施隨著計算機網(wǎng)絡應用的普及,網(wǎng)絡已日益成為生活中不可或缺的工具,但伴之而來的非法入侵也一直威脅著計算機網(wǎng)絡系統(tǒng)的安全。由于以太網(wǎng)中采用廣播方式,因此,在某個廣播域中可以監(jiān)聽到所有的信息包。網(wǎng)絡監(jiān)聽是黑客們常用的一種方法。當成功地登錄進一臺網(wǎng)絡上的主機,并取得了這臺主機的超級用戶的權限之后,往往要擴大戰(zhàn)果,嘗試登錄或者奪取網(wǎng)絡中其他主機的控制。而網(wǎng)絡監(jiān)聽則是一種最簡單而且最有效的方法,他常常能輕易地獲得用其他方法很難獲得的信息。在網(wǎng)絡上,監(jiān)聽效果最好的地方是在網(wǎng)關、路由器、防火墻一類的設備處,通常由網(wǎng)絡管理員來操作。使用

2、最方便的是在一個以太網(wǎng)中的任何一臺上網(wǎng)的主機上,這是大多數(shù)黑客的做法。事實上,很多黑客入侵時都把以太網(wǎng)掃描和偵聽作為其最基本的步驟和手段,原因是想用這種方法獲取其想要的密碼等信息。但另一方面,我們對黑客入侵活動和其他網(wǎng)絡犯罪進行偵查、取證時,也可以使用網(wǎng)絡監(jiān)聽技術來獲取必要的信息。因此,了解以太網(wǎng)監(jiān)聽技術的原理、實現(xiàn)方法和防范措施就顯得尤為重要。1網(wǎng)絡監(jiān)聽的基本原理  以太網(wǎng)可以把相鄰的計算機、終端、大容量存儲器的外圍設備、控制器、顯示器以及為連接其他網(wǎng)絡而使用的網(wǎng)絡連接器等相互連接起來,具有設備共享、信息共享、高速數(shù)據(jù)通訊等特點。以太網(wǎng)這種工作方式,

3、如同有很多人在一個大房間內,大房間就像是一個共享的信道,里面的每個人好像是一臺主機。人們所說的話是信息包,在大房間中到處傳播。當我們對其中某個人說話時,所有的人都能聽到。正常情況下只有名字相同的那個人才會做出反應,并進行回應。其他人了解談話的內容,也可對所有談話內容做出反應。因此,網(wǎng)絡監(jiān)聽用來監(jiān)視網(wǎng)絡的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡上傳輸?shù)男畔⒌?。當信息以明文的形式在網(wǎng)絡上傳輸時,使用監(jiān)聽技術進行攻擊并不是一件難事,只要將網(wǎng)絡接口設置成監(jiān)聽模式,便可以源源不斷地將網(wǎng)上傳輸?shù)男畔⒔孬@。1.1廣播式以太網(wǎng)中的網(wǎng)絡監(jiān)聽  廣播式以太網(wǎng)在邏輯上由一條總線和一群掛在

4、總線上的節(jié)點組成。任何一個節(jié)點主機發(fā)出的數(shù)據(jù)包都是在共享的以太網(wǎng)傳輸介質上進行傳輸?shù)模總€數(shù)據(jù)包的包頭部分都包含了源地址和目的地址。網(wǎng)絡上所有節(jié)點都通過網(wǎng)絡接口(網(wǎng)卡)負責檢查每一個數(shù)據(jù)包,如果發(fā)現(xiàn)其目的地址是本機,則接收該數(shù)據(jù)包并向上層傳遞,以進行下一步的處理;如果目的地址不是本機,則數(shù)據(jù)包將被丟棄不作處理。以太網(wǎng)數(shù)據(jù)包過濾機制分為鏈路層、網(wǎng)絡層和傳輸層。在鏈路層,網(wǎng)卡驅動程序判斷收到包的目標MAC地址是否是自己的MAC地址;在網(wǎng)絡層判斷目標IP地址是否為本機所綁定的IP地址;在傳輸層如TCP層或者UDP層判斷目標端口是否在本機已經(jīng)打開。如果以上判斷

5、否定,數(shù)據(jù)包將被丟棄。  在進行網(wǎng)絡數(shù)據(jù)包的“監(jiān)聽”時,首先通過將系統(tǒng)的網(wǎng)絡接口設定為“混雜模式”,網(wǎng)絡監(jiān)聽程序繞過系統(tǒng)正常工作的處理機制,直接訪問網(wǎng)絡底層。不論數(shù)據(jù)包的目的地址是否是本機,都能夠截獲并傳遞給上層進行處理(只能監(jiān)聽經(jīng)過自己網(wǎng)絡接口的那些包),通過相應的軟件進一步地分析處理,就能夠得到數(shù)據(jù)包的一些基本屬性,如包類型、包大小、目的地址、源地址等,可以實時分析這些數(shù)據(jù)的內容,如用戶名、口令以及所感興趣的內容。  同理,正確地使用網(wǎng)絡監(jiān)聽技術也可以發(fā)現(xiàn)入侵并對入侵者進行追蹤定位,在對網(wǎng)絡犯罪進行偵查取證時獲取有關犯罪行為的重要信息,成為打擊網(wǎng)絡

6、犯罪的有力手段。1.2交換式以太網(wǎng)中的監(jiān)聽  交換機的工作原理不同于HUB的共享式報文方式,交換機轉發(fā)的報文是一一對應的,能夠隔離沖突域和有效的抑制廣播風暴的產(chǎn)生。由此看來,交換環(huán)境下再采用傳統(tǒng)的共享式以太網(wǎng)下網(wǎng)絡監(jiān)聽是不可能了,由于報文是一一對應轉發(fā)的,普通的網(wǎng)絡監(jiān)聽軟件此時無法監(jiān)聽到交換環(huán)境下其他主機任何有價值的數(shù)據(jù)。但是,以太網(wǎng)內主機數(shù)據(jù)包的傳送完成不是依靠IP地址,而是依靠ARP找出IP地址對應的MAC地址實現(xiàn)的。而ARP協(xié)議是不可靠和無連接的,通常即使主機沒有發(fā)出ARP請求,也會接受發(fā)給他的ARP回應,并將回應的MAC和IP對應關系放入自己的

7、ARP緩存中。因此利用ARP協(xié)議,交換機的安全性也面臨著嚴峻的考驗。1.2.1交換機緩沖區(qū)溢出攻擊  交換機大多使用存貯轉發(fā)技術,工作時維護著一張MAC地址與端口的映射表,這個表中記錄著交換機每個端口綁定的MAC地址。他的工作原理是對某一段數(shù)據(jù)包進行分析判別尋址,并進行轉發(fā),在發(fā)出前均存貯在交換機的緩沖區(qū)內。但是,交換機緩沖區(qū)是有限的。如用大量無效IP包,包含錯誤MAC地址的數(shù)據(jù)幀對交換機進行攻擊。該交換機將接收到大量的不符合分裝原則的包,造成交換機處理器工作繁忙,從而導致數(shù)據(jù)包來不及轉發(fā),進而導致緩沖區(qū)溢出產(chǎn)生丟包現(xiàn)象。這時交換機就會退回到HUB的廣

8、播方式,向所有的端口發(fā)送數(shù)據(jù)包。這樣,監(jiān)聽就變得非常容易了。1.2.2ARP協(xié)議和欺騙  在以

當前文檔最多預覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當前文檔最多預覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學公式或PPT動畫的文件,查看預覽時可能會顯示錯亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權歸屬用戶,天天文庫負責整理代發(fā)布。如果您對本文檔版權有爭議請及時聯(lián)系客服。
3. 下載前請仔細閱讀文檔內容,確認文檔內容符合您的需求后進行下載,若出現(xiàn)內容與標題不符可向本站投訴處理。
4. 下載文檔時可能由于網(wǎng)絡波動等原因無法下載或下載錯誤,付費完成后未能成功下載的用戶請聯(lián)系客服處理。