|
本文介紹了ARP攻擊的原理以及由此引發(fā)的網(wǎng)絡安全問題����,并且結(jié)合實際情況,提出在校園網(wǎng)中實施多層次的防范方法��,以解決因ARP攻擊而引發(fā)的網(wǎng)絡安全問題����,最后介紹了一些實用性較強且操作簡單的檢測和抵御攻擊的有效方法。
您是否遇到局域網(wǎng)內(nèi)頻繁性區(qū)域或整體掉線���,重啟計算機或網(wǎng)絡設備后恢復正常?您的網(wǎng)速是否時快時慢�����,極其不穩(wěn)定�����,但單機進行光纖數(shù)據(jù)測試時一切正常?您是否時常聽到教職工的網(wǎng)上銀行����、游戲及QQ賬號頻繁丟失的消息?
這些問題的出現(xiàn)有很大一部分要歸功于ARP攻擊,我校局域網(wǎng)自去年5月份開始ARP攻擊頻頻出現(xiàn)����,目前校園網(wǎng)內(nèi)已發(fā)現(xiàn)的“ARP攻擊”系列病毒已經(jīng)有了幾十個變種。據(jù)檢測數(shù)據(jù)顯示�����,APR攻擊從未停止過�,為此有效的防范ARP形式的網(wǎng)絡攻擊已成為確保網(wǎng)絡暢通必要條件。
一����、ARP的基本知識
1、什么是ARP?
ARP協(xié)議是“Address Resolution Protocol”(地址解析協(xié)議)的縮寫���。在局域網(wǎng)中�����,網(wǎng)絡中實際傳輸?shù)氖?ldquo;幀”,幀里面是有目標主機的MAC地址的�。在以太網(wǎng)中��,一個主機要和另一個主機進行直接通信����,必須要知道目標主機的MAC地址�����。但這個目標MAC地址是如何獲得的呢?它就是通過地址解析協(xié)議獲得的�����。
所謂“地址解析”就是主機在發(fā)送幀前將目標IP地址轉(zhuǎn)換成目標MAC地址的過程�。ARP協(xié)議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址����,以保證通信的順利進行。
在局域網(wǎng)中�����,通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址(即MAC地址)的���,ARP協(xié)議對網(wǎng)絡安全具有重要的意義�����。
2�����、ARP協(xié)議的工作原理
正常情況下���,每臺主機都會在自己的ARP緩沖區(qū)中建立一個 ARP列表����,以表示IP地址和MAC地址的對應關(guān)系���。當源主機需要將一個數(shù)據(jù)包要發(fā)送到目的主機時����,會首先檢查自己 ARP列表中是否存在該 IP地址對應的MAC地址�,如果有﹐就直接將數(shù)據(jù)包發(fā)送到這個MAC地址;
如果沒有,就向本地網(wǎng)段發(fā)起一個ARP請求的廣播包�,查詢此目的主機對應的MAC地址。此ARP請求數(shù)據(jù)包里包括源主機的IP地址�����、硬件地址�、以及目的主機的IP地址。網(wǎng)絡中所有的主機收到這個ARP請求后��,會檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致���。
如果不相同就忽略此數(shù)據(jù)包;如果相同�����,該主機首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中��,如果ARP表中已經(jīng)存在該IP的信息�,則將其覆蓋��,然后給源主機發(fā)送一個 ARP響應數(shù)據(jù)包���,告訴對方自己是它需要查找的MAC地址;源主機收到這個ARP響應數(shù)據(jù)包后���,將得到的目的主機的IP地址和MAC地址添加到自己的 ARP列表中,并利用此信息開始數(shù)據(jù)的傳輸�����。
如圖:
1. 要發(fā)送網(wǎng)絡包給192.168.1.1,但不知MAC地址?
2. 在局域網(wǎng)發(fā)出廣播包“192.168.1.1的MAC地址是什么?”
3. 其他機器不回應���,只有192.168.1.1回應“192.168.1.1的MAC地址是00-aa-00-62-c6-09”
從上面可以看出��,ARP協(xié)議的基礎就是信任局域網(wǎng)內(nèi)所有的人����,那么就很容易實現(xiàn)在以太網(wǎng)上的ARP欺騙���。更何況ARP協(xié)議是工作在更低于IP協(xié)議的協(xié)議層���,因此它的危害就更加隱蔽。
二��、ARP欺騙的原理
ARP類型的攻擊最早用于盜取密碼之用����,網(wǎng)內(nèi)中毒電腦可以偽裝成路由器,盜取用戶的密碼�����, 后來發(fā)展成內(nèi)藏于軟件,擾亂其他局域網(wǎng)用戶正常的網(wǎng)絡通信���,下面我們簡要闡述ARP欺騙的原理:假設這樣一個網(wǎng)絡,一個交換機連接了3臺機器��,依次是計算機A����,B,C
A的地址為:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AA
B的地址為:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB
C的地址為:IP:192.168.1.3 MAC: CC-CC-CC-CC-CC-CC
第二步:正常情況下在A計算機上運行ARP -A查詢ARP緩存表應該出現(xiàn)如下信息��。
Interface: 192.168.1.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.3 CC-CC-CC-CC-CC-CC dynamic
第三步:在計算機B上運行ARP欺騙程序���,來發(fā)送ARP欺騙包�����。
B向A發(fā)送一個自己偽造的ARP應答�����,而這個應答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3(C的IP地址)����,MAC地址是DD- DD-DD-DD-DD-DD(C的MAC地址本來應該是CC-CC-CC-CC-CC-CC,這里被偽造了)�����。當A接收到B偽造的ARP應答����,就會更新本地的ARP緩存(A可不知道被偽造了)。而且A不知道其實是從B發(fā)送過來的����,A這里只有192.168.10.3(C的IP地址)和無效的DD-DD- DD-DD-DD-DD MAC地址。
第四步:欺騙完畢我們在A計算機上運行ARP -A來查詢ARP緩存信息�。你會發(fā)現(xiàn)原來正確的信息現(xiàn)在已經(jīng)出現(xiàn)了錯誤。
Interface: 192.168.1.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.3 DD-DD-DD-DD-DD-DD dynamic
上面例子中在計算機A上的關(guān)于計算機C的MAC地址已經(jīng)錯誤了�����,所以即使以后從A計算機訪問C計算機這個192.168.1.3這個地址也會被 ARP協(xié)議錯誤的解析成MAC地址為DD-DD-DD-DD-DD-DD的��。
當局域網(wǎng)中一臺機器���,反復向其他機器�����,特別是向網(wǎng)關(guān)��,發(fā)送這樣無效假冒的ARP應答信息包時�,嚴重的網(wǎng)絡堵塞就會開始。由于網(wǎng)關(guān)MAC地址錯誤��,所以從網(wǎng)絡中計算機發(fā)來的數(shù)據(jù)無法正常發(fā)到網(wǎng)關(guān)���,自然無法正常上網(wǎng)。
本文出自:億恩科技【1tcdy.com】
服務器租用/服務器托管中國五強�����!虛擬主機域名注冊頂級提供商�����!15年品質(zhì)保障���!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
