亚洲综合社区欧美综合色-欧美逼逼一区二区三区-国产老熟女高潮精品网站-国产日韩最新视频在线看

始創(chuàng)于2000年 股票代碼:831685
咨詢熱線:0371-60135900 注冊(cè)有禮 登錄
  • 掛牌上市企業(yè)
  • 60秒人工響應(yīng)
  • 99.99%連通率
  • 7*24h人工
  • 故障100倍補(bǔ)償
全部產(chǎn)品
您的位置: 網(wǎng)站首頁(yè) > 幫助中心>文章內(nèi)容

淺談局域網(wǎng)ARP攻擊的危害及防范方法(圖)

發(fā)布時(shí)間:  2012/9/15 19:25:39

自去年5月份開(kāi)始出現(xiàn)的校內(nèi)局域網(wǎng)頻繁掉線等問(wèn)題,對(duì)正常的教育教學(xué)帶來(lái)了極大的不便,可以說(shuō)是談“掉”色變,造成這種現(xiàn)象的情況有很多,但目前最常見(jiàn)的是ARP攻擊了。本文介紹了 ARP攻擊的原理以及由此引發(fā)的網(wǎng)絡(luò)安全問(wèn)題,并且結(jié)合實(shí)際情況,提出在校園網(wǎng)中實(shí)施多層次的防范方法,以解決因ARP攻擊而引發(fā)的網(wǎng)絡(luò)安全問(wèn)題,最后介紹了一些實(shí)用性較強(qiáng)且操作簡(jiǎn)單的檢測(cè)和抵御攻擊的有效方法。

您是否遇到局域網(wǎng)內(nèi)頻繁性區(qū)域或整體掉線,重啟計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備后恢復(fù)正常?您的網(wǎng)速是否時(shí)快時(shí)慢,極其不穩(wěn)定,但單機(jī)進(jìn)行光纖數(shù)據(jù)測(cè)試時(shí)一切正常?您是否時(shí)常聽(tīng)到教職工的網(wǎng)上銀行、游戲及QQ賬號(hào)頻繁丟失的消息?……

這些問(wèn)題的出現(xiàn)有很大一部分要?dú)w功于ARP攻擊,我校局域網(wǎng)自去年5月份開(kāi)始ARP攻擊頻頻出現(xiàn),目前校園網(wǎng)內(nèi)已發(fā)現(xiàn)的“ARP攻擊”系列病毒已經(jīng)有了幾十個(gè)變種。據(jù)檢測(cè)數(shù)據(jù)顯示,APR攻擊從未停止過(guò),為此有效的防范ARP形式的網(wǎng)絡(luò)攻擊已成為確保網(wǎng)絡(luò)暢通必要條件。

一、ARP的基本知識(shí)

1、什么是ARP?

ARP協(xié)議是“Address Resolution Protocol”(地址解析協(xié)議)的縮寫(xiě)。在局域網(wǎng)中,網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖?ldquo;幀”,幀里面是有目標(biāo)主機(jī)的MAC地址的。在以太網(wǎng)中,一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信,必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得的呢?它就是通過(guò)地址解析協(xié)議獲得的。

所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過(guò)程。ARP協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址,查詢目標(biāo)設(shè)備的MAC地址,以保證通信的順利進(jìn)行。

在局域網(wǎng)中,通過(guò)ARP協(xié)議來(lái)完成IP地址轉(zhuǎn)換為第二層物理地址(即MAC地址)的,ARP協(xié)議對(duì)網(wǎng)絡(luò)安全具有重要的意義。

2、ARP協(xié)議的工作原理

正常情況下,每臺(tái)主機(jī)都會(huì)在自己的ARP緩沖區(qū)中建立一個(gè) ARP列表,以表示IP地址和MAC地址的對(duì)應(yīng)關(guān)系。當(dāng)源主機(jī)需要將一個(gè)數(shù)據(jù)包要發(fā)送到目的主機(jī)時(shí),會(huì)首先檢查自己 ARP列表中是否存在該 IP地址對(duì)應(yīng)的MAC地址,如果有﹐就直接將數(shù)據(jù)包發(fā)送到這個(gè)MAC地址;

如果沒(méi)有,就向本地網(wǎng)段發(fā)起一個(gè)ARP請(qǐng)求的廣播包,查詢此目的主機(jī)對(duì)應(yīng)的MAC地址。此ARP請(qǐng)求數(shù)據(jù)包里包括源主機(jī)的IP地址、硬件地址、以及目的主機(jī)的IP地址。網(wǎng)絡(luò)中所有的主機(jī)收到這個(gè)ARP請(qǐng)求后,會(huì)檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。

如果不相同就忽略此數(shù)據(jù)包;如果相同,該主機(jī)首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已經(jīng)存在該IP的信息,則將其覆蓋,然后給源主機(jī)發(fā)送一個(gè) ARP響應(yīng)數(shù)據(jù)包,告訴對(duì)方自己是它需要查找的MAC地址;源主機(jī)收到這個(gè)ARP響應(yīng)數(shù)據(jù)包后,將得到的目的主機(jī)的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息開(kāi)始數(shù)據(jù)的傳輸。
如圖:

 

1. 要發(fā)送網(wǎng)絡(luò)包給192.168.1.1,但不知MAC地址?

2. 在局域網(wǎng)發(fā)出廣播包“192.168.1.1的MAC地址是什么?”

3. 其他機(jī)器不回應(yīng),只有192.168.1.1回應(yīng)“192.168.1.1的MAC地址是00-aa-00-62-c6-09”

從上面可以看出,ARP協(xié)議的基礎(chǔ)就是信任局域網(wǎng)內(nèi)所有的人,那么就很容易實(shí)現(xiàn)在以太網(wǎng)上的ARP欺騙。更何況ARP協(xié)議是工作在更低于IP協(xié)議的協(xié)議層,因此它的危害就更加隱蔽。


二、ARP欺騙的原理

ARP類型的攻擊最早用于盜取密碼之用,網(wǎng)內(nèi)中毒電腦可以偽裝成路由器,盜取用戶的密碼, 后來(lái)發(fā)展成內(nèi)藏于軟件,擾亂其他局域網(wǎng)用戶正常的網(wǎng)絡(luò)通信,下面我們簡(jiǎn)要闡述ARP欺騙的原理:假設(shè)這樣一個(gè)網(wǎng)絡(luò),一個(gè)交換機(jī)連接了3臺(tái)機(jī)器,依次是計(jì)算機(jī)A,B,C

A的地址為:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AA

B的地址為:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB

C的地址為:IP:192.168.1.3 MAC: CC-CC-CC-CC-CC-CC

第二步:正常情況下在A計(jì)算機(jī)上運(yùn)行ARP -A查詢ARP緩存表應(yīng)該出現(xiàn)如下信息。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 CC-CC-CC-CC-CC-CC dynamic

第三步:在計(jì)算機(jī)B上運(yùn)行ARP欺騙程序,來(lái)發(fā)送ARP欺騙包。

B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答,而這個(gè)應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本來(lái)應(yīng)該是CC-CC-CC-CC-CC-CC,這里被偽造了)。當(dāng)A接收到B偽造的ARP應(yīng)答,就會(huì)更新本地的ARP緩存(A可不知道被偽造了)。而且A不知道其實(shí)是從B發(fā)送過(guò)來(lái)的,A這里只有192.168.10.3(C的IP地址)和無(wú)效的DD-DD-DD-DD-DD-DD MAC地址。

第四步:欺騙完畢我們?cè)贏計(jì)算機(jī)上運(yùn)行ARP -A來(lái)查詢ARP緩存信息。你會(huì)發(fā)現(xiàn)原來(lái)正確的信息現(xiàn)在已經(jīng)出現(xiàn)了錯(cuò)誤。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 DD-DD-DD-DD-DD-DD dynamic

上面例子中在計(jì)算機(jī)A上的關(guān)于計(jì)算機(jī)C的MAC地址已經(jīng)錯(cuò)誤了,所以即使以后從A計(jì)算機(jī)訪問(wèn)C計(jì)算機(jī)這個(gè)192.168.1.3這個(gè)地址也會(huì)被ARP協(xié)議錯(cuò)誤的解析成MAC地址為DD-DD-DD-DD-DD-DD的。

當(dāng)局域網(wǎng)中一臺(tái)機(jī)器,反復(fù)向其他機(jī)器,特別是向網(wǎng)關(guān),發(fā)送這樣無(wú)效假冒的ARP應(yīng)答信息包時(shí),嚴(yán)重的網(wǎng)絡(luò)堵塞就會(huì)開(kāi)始。由于網(wǎng)關(guān)MAC地址錯(cuò)誤,所以從網(wǎng)絡(luò)中計(jì)算機(jī)發(fā)來(lái)的數(shù)據(jù)無(wú)法正常發(fā)到網(wǎng)關(guān),自然無(wú)法正常上網(wǎng)。

這就造成了無(wú)法訪問(wèn)外網(wǎng)的問(wèn)題,另外由于很多時(shí)候網(wǎng)關(guān)還控制著我們的局域網(wǎng)LAN上網(wǎng),所以這時(shí)我們的LAN訪問(wèn)也就出現(xiàn)問(wèn)題了。下圖更直觀的展示了ARP欺騙攻擊的情況:

 

三、ARP欺騙的危害

ARP類型的攻擊在校園網(wǎng)中最早出現(xiàn)在去年5月份,目前校園網(wǎng)內(nèi)的計(jì)算機(jī)所感染的“ARP欺騙”系列病毒已經(jīng)有了幾十個(gè)變種。根據(jù)這些變種的工作特點(diǎn)和外部特性大概可以分為三大類,其中“ARP欺騙”和“惡意竊聽(tīng)”兩類對(duì)學(xué)校局域網(wǎng)的正常運(yùn)行和網(wǎng)絡(luò)用戶的信息安全的威脅最大。

ARP攻擊只要一開(kāi)始就造成局域網(wǎng)內(nèi)計(jì)算機(jī)無(wú)法和其他計(jì)算機(jī)進(jìn)行通訊,而且網(wǎng)絡(luò)對(duì)此種病毒沒(méi)有任何耐受度,只要局域網(wǎng)中存在一臺(tái)感染“ARP欺騙”病毒的計(jì)算機(jī)將會(huì)造成整個(gè)局域網(wǎng)通訊中斷。

“惡意竊聽(tīng)”病毒是“ARP欺騙”系列病毒中影響和危害最為惡劣的。它不會(huì)造成局域網(wǎng)的中斷,僅僅會(huì)使網(wǎng)絡(luò)產(chǎn)生較大的延時(shí),但是中毒主機(jī)會(huì)截取局域網(wǎng)內(nèi)所有的通訊數(shù)據(jù),并向特定的外網(wǎng)用戶發(fā)送所截獲的數(shù)據(jù),對(duì)局域網(wǎng)用戶的網(wǎng)絡(luò)使用造成非常非常嚴(yán)重的影響,直接威脅著局域網(wǎng)用戶自身的信息安全。

四、出現(xiàn)ARP攻擊的原因及特征

一個(gè)正常運(yùn)行的局域網(wǎng)是不應(yīng)該出現(xiàn)ARP攻擊的,經(jīng)過(guò)長(zhǎng)時(shí)間的觀測(cè),發(fā)現(xiàn)ARP攻擊的出現(xiàn)主要是由以下幾個(gè)原因造成的:

1、人為破壞

主要是內(nèi)網(wǎng)有人安裝了P2P監(jiān)控軟件,如P2P終結(jié)者,網(wǎng)絡(luò)執(zhí)法官,聚生網(wǎng)管,QQ第六感等,惡意監(jiān)控其他機(jī)器,限制流量,或者進(jìn)行內(nèi)網(wǎng)DDOS攻擊。

2、木馬病毒

傳奇、跑跑卡丁車、勁舞團(tuán)等游戲外掛,如:及時(shí)雨P(guān)K版,跑跑牛車,勁舞小生等,他內(nèi)含一些木馬程序,也會(huì)引起ARP欺騙。

其實(shí)真正有人惡意搗亂的是很少的,一次兩次搗亂,次數(shù)多了自己也就膩了,更何況事后網(wǎng)管肯定會(huì)找到搗亂的主機(jī),所以說(shuō)人為破壞是比較好解決的。最麻煩的就是使用帶木馬的游戲外掛和瀏覽帶有惡意代碼的網(wǎng)頁(yè)。

當(dāng)出現(xiàn)ARP攻擊后最明顯的特征是網(wǎng)絡(luò)頻繁掉線,速度變慢,查看進(jìn)程你會(huì)發(fā)現(xiàn)增加了 down.exe 1.exe cmd.exe 9sy.exe中的任意一個(gè)或多個(gè),嚴(yán)重的還能自動(dòng)還下載威金病毒,logo_1.exe.rundl132.exe,感染可執(zhí)行文件,圖標(biāo)變花還。

五、常用的防范方法

目前ARP系列的攻擊方式和手段多種多樣,因此還沒(méi)有一個(gè)絕對(duì)全面有效的防范方法。從實(shí)踐經(jīng)驗(yàn)看最為有效的防范方法即打全Windows的補(bǔ)丁、正確配置和使用網(wǎng)絡(luò)防火墻、安裝防病毒軟件并及時(shí)更新病毒庫(kù)。

對(duì)于Windows補(bǔ)丁不僅僅打到SP2(XP)或SP4(2000),其后出現(xiàn)的所有安全更新也都必須及時(shí)打全才能最大限度的防范病毒和木馬的襲擊。此外,正確使用U盤(pán)等移動(dòng)存儲(chǔ)設(shè)備,防止通過(guò)校外計(jì)算機(jī)傳播病毒和木馬。

下面介紹防范ARP攻擊的幾種常用方法:

1、靜態(tài)綁定

將IP和MAC靜態(tài)綁定,在網(wǎng)內(nèi)把主機(jī)和網(wǎng)關(guān)都做IP和MAC綁定。

欺騙是通過(guò)ARP的動(dòng)態(tài)實(shí)時(shí)的規(guī)則欺騙內(nèi)網(wǎng)機(jī)器,所以我們把ARP全部設(shè)置為靜態(tài)可以解決對(duì)內(nèi)網(wǎng)PC的欺騙,同時(shí)在網(wǎng)關(guān)也要進(jìn)行IP和MAC的靜態(tài)綁定,這樣雙向綁定才比較保險(xiǎn)。缺點(diǎn)是每臺(tái)電腦需綁定,且重啟后任需綁定,工作量較大,雖說(shuō)綁定可以通過(guò)批處理文件來(lái)實(shí)現(xiàn),但也比較麻煩。

2、使用防護(hù)軟件

目前關(guān)于ARP類的防護(hù)軟件出的比較多了,我校常用的一款軟件是彩影軟件的ARP防火墻.

ARP防火墻采用系統(tǒng)內(nèi)核層攔截技術(shù)和主動(dòng)防御技術(shù),包含六大功能模塊可解決大部分欺騙、ARP攻擊帶來(lái)的問(wèn)題,從而保證通訊安全(保障通訊數(shù)據(jù)不被網(wǎng)管軟件/惡意軟件監(jiān)聽(tīng)和控制)、保證網(wǎng)絡(luò)暢通。

3、具有ARP防護(hù)功能的網(wǎng)絡(luò)設(shè)備

由于ARP形式的攻擊而引發(fā)的網(wǎng)絡(luò)問(wèn)題是目前網(wǎng)絡(luò)管理,特別是局域網(wǎng)管理中最讓人頭疼的攻擊,他的攻擊技術(shù)含量低,隨便一個(gè)人都可以通過(guò)攻擊軟件來(lái)完成ARP欺騙攻擊,同時(shí)防范ARP形式的攻擊也沒(méi)有什么特別有效的方法。目前只能通過(guò)被動(dòng)的亡羊補(bǔ)牢形式的措施了,本文介紹的方法希望對(duì)大家有所幫助。
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ:1501281758(億恩星辰)   聯(lián)系電話:0371—63322220


本文出自:億恩科技【1tcdy.com】

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]

  • 您可能在找
  • 億恩北京公司:
  • 經(jīng)營(yíng)性ICP/ISP證:京B2-20150015
  • 億恩鄭州公司:
  • 經(jīng)營(yíng)性ICP/ISP/IDC證:豫B1.B2-20060070
  • 億恩南昌公司:
  • 經(jīng)營(yíng)性ICP/ISP證:贛B2-20080012
  • 服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話:0371-60135900
  • 虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話:0371-60135900
  • 專注服務(wù)器托管17年
    掃掃關(guān)注-微信公眾號(hào)
    0371-60135900
    Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權(quán)所有  地址:鄭州市高新區(qū)翠竹街1號(hào)總部企業(yè)基地億恩大廈  法律顧問(wèn):河南亞太人律師事務(wù)所郝建鋒、杜慧月律師   京公網(wǎng)安備41019702002023號(hào)
      0
     
     
     
     

    0371-60135900
    7*24小時(shí)客服服務(wù)熱線