資源描述:
《局域網(wǎng)中arp重定向攻擊及防御措施》由會員上傳分享���,免費在線閱讀,更多相關內容在行業(yè)資料-天天文庫����。
1、局域網(wǎng)中的ARP重定向攻擊及防御措施隨著計算機網(wǎng)絡應用的普及���,網(wǎng)絡已日益成為生活中不可或缺的工具�����,但伴之而來的非法入侵也一直威脅著計算機網(wǎng)絡系統(tǒng)的安全��。由于以太網(wǎng)中采用廣播方式��,因此��,在某個廣播域中可以監(jiān)聽到所有的信息包��。網(wǎng)絡監(jiān)聽是黑客們常用的一種方法����。當成功地登錄進一臺網(wǎng)絡上的主機,并取得了這臺主機的超級用戶的權限之后����,往往要擴大戰(zhàn)果,嘗試登錄或者奪取網(wǎng)絡中其他主機的控制���。而網(wǎng)絡監(jiān)聽則是一種最簡單而且最有效的方法����,他常常能輕易地獲得用其他方法很難獲得的信息�。在網(wǎng)絡上,監(jiān)聽效果最好的地方是在網(wǎng)關�、路由器、防火墻一類的設備處�,通常由網(wǎng)絡管理員來操作。使用
2�����、最方便的是在一個以太網(wǎng)中的任何一臺上網(wǎng)的主機上����,這是大多數(shù)黑客的做法。事實上��,很多黑客入侵時都把以太網(wǎng)掃描和偵聽作為其最基本的步驟和手段�����,原因是想用這種方法獲取其想要的密碼等信息����。但另一方面,我們對黑客入侵活動和其他網(wǎng)絡犯罪進行偵查��、取證時���,也可以使用網(wǎng)絡監(jiān)聽技術來獲取必要的信息��。因此�,了解以太網(wǎng)監(jiān)聽技術的原理����、實現(xiàn)方法和防范措施就顯得尤為重要����。1網(wǎng)絡監(jiān)聽的基本原理 以太網(wǎng)可以把相鄰的計算機��、終端��、大容量存儲器的外圍設備����、控制器、顯示器以及為連接其他網(wǎng)絡而使用的網(wǎng)絡連接器等相互連接起來�����,具有設備共享�����、信息共享�����、高速數(shù)據(jù)通訊等特點。以太網(wǎng)這種工作方式�����,
3�、如同有很多人在一個大房間內,大房間就像是一個共享的信道��,里面的每個人好像是一臺主機��。人們所說的話是信息包����,在大房間中到處傳播��。當我們對其中某個人說話時�,所有的人都能聽到。正常情況下只有名字相同的那個人才會做出反應����,并進行回應。其他人了解談話的內容�,也可對所有談話內容做出反應。因此�����,網(wǎng)絡監(jiān)聽用來監(jiān)視網(wǎng)絡的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡上傳輸?shù)男畔⒌?�。當信息以明文的形式在網(wǎng)絡上傳輸時���,使用監(jiān)聽技術進行攻擊并不是一件難事��,只要將網(wǎng)絡接口設置成監(jiān)聽模式�,便可以源源不斷地將網(wǎng)上傳輸?shù)男畔⒔孬@���。1.1廣播式以太網(wǎng)中的網(wǎng)絡監(jiān)聽 廣播式以太網(wǎng)在邏輯上由一條總線和一群掛在
4��、總線上的節(jié)點組成���。任何一個節(jié)點主機發(fā)出的數(shù)據(jù)包都是在共享的以太網(wǎng)傳輸介質上進行傳輸?shù)模總€數(shù)據(jù)包的包頭部分都包含了源地址和目的地址�����。網(wǎng)絡上所有節(jié)點都通過網(wǎng)絡接口(網(wǎng)卡)負責檢查每一個數(shù)據(jù)包�,如果發(fā)現(xiàn)其目的地址是本機,則接收該數(shù)據(jù)包并向上層傳遞��,以進行下一步的處理;如果目的地址不是本機����,則數(shù)據(jù)包將被丟棄不作處理。以太網(wǎng)數(shù)據(jù)包過濾機制分為鏈路層��、網(wǎng)絡層和傳輸層����。在鏈路層,網(wǎng)卡驅動程序判斷收到包的目標MAC地址是否是自己的MAC地址����;在網(wǎng)絡層判斷目標IP地址是否為本機所綁定的IP地址���;在傳輸層如TCP層或者UDP層判斷目標端口是否在本機已經(jīng)打開�����。如果以上判斷
5�、否定����,數(shù)據(jù)包將被丟棄。 在進行網(wǎng)絡數(shù)據(jù)包的“監(jiān)聽”時�����,首先通過將系統(tǒng)的網(wǎng)絡接口設定為“混雜模式”��,網(wǎng)絡監(jiān)聽程序繞過系統(tǒng)正常工作的處理機制��,直接訪問網(wǎng)絡底層����。不論數(shù)據(jù)包的目的地址是否是本機,都能夠截獲并傳遞給上層進行處理(只能監(jiān)聽經(jīng)過自己網(wǎng)絡接口的那些包)��,通過相應的軟件進一步地分析處理����,就能夠得到數(shù)據(jù)包的一些基本屬性,如包類型����、包大小、目的地址�、源地址等,可以實時分析這些數(shù)據(jù)的內容��,如用戶名、口令以及所感興趣的內容����。 同理����,正確地使用網(wǎng)絡監(jiān)聽技術也可以發(fā)現(xiàn)入侵并對入侵者進行追蹤定位,在對網(wǎng)絡犯罪進行偵查取證時獲取有關犯罪行為的重要信息����,成為打擊網(wǎng)絡
6、犯罪的有力手段�。1.2交換式以太網(wǎng)中的監(jiān)聽 交換機的工作原理不同于HUB的共享式報文方式,交換機轉發(fā)的報文是一一對應的��,能夠隔離沖突域和有效的抑制廣播風暴的產(chǎn)生��。由此看來���,交換環(huán)境下再采用傳統(tǒng)的共享式以太網(wǎng)下網(wǎng)絡監(jiān)聽是不可能了,由于報文是一一對應轉發(fā)的����,普通的網(wǎng)絡監(jiān)聽軟件此時無法監(jiān)聽到交換環(huán)境下其他主機任何有價值的數(shù)據(jù)�。但是�����,以太網(wǎng)內主機數(shù)據(jù)包的傳送完成不是依靠IP地址��,而是依靠ARP找出IP地址對應的MAC地址實現(xiàn)的��。而ARP協(xié)議是不可靠和無連接的����,通常即使主機沒有發(fā)出ARP請求,也會接受發(fā)給他的ARP回應����,并將回應的MAC和IP對應關系放入自己的
7、ARP緩存中��。因此利用ARP協(xié)議�,交換機的安全性也面臨著嚴峻的考驗。1.2.1交換機緩沖區(qū)溢出攻擊 交換機大多使用存貯轉發(fā)技術����,工作時維護著一張MAC地址與端口的映射表,這個表中記錄著交換機每個端口綁定的MAC地址�。他的工作原理是對某一段數(shù)據(jù)包進行分析判別尋址��,并進行轉發(fā)�,在發(fā)出前均存貯在交換機的緩沖區(qū)內�����。但是���,交換機緩沖區(qū)是有限的�。如用大量無效IP包���,包含錯誤MAC地址的數(shù)據(jù)幀對交換機進行攻擊��。該交換機將接收到大量的不符合分裝原則的包�,造成交換機處理器工作繁忙��,從而導致數(shù)據(jù)包來不及轉發(fā)�,進而導致緩沖區(qū)溢出產(chǎn)生丟包現(xiàn)象�����。這時交換機就會退回到HUB的廣
8��、播方式,向所有的端口發(fā)送數(shù)據(jù)包��。這樣��,監(jiān)聽就變得非常容易了�����。1.2.2ARP協(xié)議和欺騙 在以
