会员注册 | 登录 | 微信快捷登录 支付宝快捷登录 QQ登录 微博登录 | 帮助中心 人人文库renrendoc.com美如初恋!
站内搜索 百度文库

热门搜索: 直缝焊接机 矿井提升机 循环球式转向器图纸 机器人手爪发展史 管道机器人dwg 动平衡试验台设计

通信学论文-ARP协议分析及ARP欺骗类病毒的防御.doc通信学论文-ARP协议分析及ARP欺骗类病毒的防御.doc -- 2 元

宽屏显示 收藏 分享

页面加载中... ... 广告 0 秒后退出

资源预览需要最新版本的Flash Player支持。
您尚未安装或版本过低,建议您

通信学论文ARP协议分析及ARP欺骗类病毒的防御摘要目前利用TCP/IP协议安全漏洞进行欺骗攻击的事件经常发生,攻击者利用ARP欺骗进行拒绝服务攻击DoS或中间人攻击,造成网络通信中断或数据被截取和窜改,严重影响网络的安全。本文通过ARP协议原理分析揭示ARP协议欺骗,并对ARP病毒攻击提出一套有效可行的防犯措施和解决办法。关键词ARP协议ARP欺骗ARP病毒一、引言ARP欺骗具有隐蔽性、随机性的特点,在Internet上随处可下载的ARP欺骗工具使ARP欺骗更加普遍。目前利用ARP欺骗的木马病毒在局域网中广泛传播,给网络安全运行带来巨大隐患,是局域网安全的首要威胁。有时会出现网络设备完好,运转正常的情况下,局域网内用户上网速度缓慢甚至完全阻塞的情况,这种现象往往是由于局域网内遭到ARP攻击引起的,一些带有ARP欺骗功能的木马病毒,利用ARP协议的缺陷,像大规模爆发的流行性感冒一样,造成网络时断时续,无法正常上网。同时清理和防范都比较困难,给不少的网络管理员造成了很多的困扰。二、ARP协议概述ARP协议全称为AddressResolutionProtocol,即地址解析协议,是TCP/IP协议栈中的基础协议之一,它工作于OSI模型的第二层,在本层和硬件接口间进行联系,同时为上层网络层提供服务。是将IP地址与网络物理地址一一对应的协议,负责IP地址和网卡实际地址MAC之间的转换。也就是将网络层地址解析为数据链路层的MAC地址。在以太网中,一个网络设备要和另一个网络设备进行直接的通信,除了知道目标设备的IP地址外,还要知道目标设备的MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通讯的顺利进行。当一个网络设备需要和另一个网络设备通信时,它首先把目标设备的IP地址与自己子网掩码进行与操作,以判断目标设备与自己是否位于同一网段内,如果目标设备与源设备在同一网段内,则源设备以第二层广播的形式目标MAC地址全为1发送ARP请求报文,在ARP请求报文中包含了源设备与目标设备的IP地址。如果目标设备与源设备不在同一网段,则源设备首先把IP分组发向自己的缺省网关,由缺省网关对该分组进行转发。三、ARP协议的缺陷1.主机ARP列表是基于高速缓存动态更新的。由于正常的主机间的MAC地址刷新都是有时限的,这样恶意用户如果在下次交换之前成功地修改了被欺骗机器上的地址缓存,就可以进行假冒或拒绝服务攻击。2.可以随意发送ARP应答分组。由于ARP协议是无状态的,任何主机即使在没有请求的时候也可以做出应答。因此任何时候发送ARP应答。只要应答分组是有效的,接收到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机高速缓存。四、ARP的主要攻击类型ARP期骗是指利用ARP协议的漏洞,通过向目标设备主机发送虚假的ARP报文,达到监听或者截获目标主机数据的攻击手段。主要攻击类型冒充主机欺骗网关对路由器ARP表的欺骗、冒充网关欺骗主机对内网PC的网关欺骗。1.冒充主机欺骗网关攻击主机C发出一个报文,其中源MAC地址为MACC,源IP地址为IPA。这样任何发往主机A的报文都会被发往攻击主机C。网关无法与真实主机A直接通信。假如攻击主机不断地利用自己的真实MAC地址和其他主机的IP地址作为源地址发送ARP包,则网关无法与网段内的任何主机攻击主机C除外,进行直接通信。然而,这种情况下,交换机是不会产生任何报警日志的,原因在于,多个IP地址对应一个MAC地址在交换机看来是正常的,不会影响其通过IP所对应的MAC来交付报文。如果攻击者将网关ARP缓存中的MAC地址全部改为根本就不存在的地址,那么网关向外发送的所有以太网数据帧会丢失,使得上层应用忙于处理这种异常而无法响应外来请求,也就导致网关产生拒绝服务不能响应外界请求,不能对外提供服务。2.冒充网关欺骗主机1在主动攻击中,攻击者C主动向A发送ARP应答数据包,告诉A,B网关的IP地址所对应的MAC地址是CCCCCCCCCCCC,从而使得A修改自己的ARP列表,把B的IP地址对应的MAC地址修改为攻击者C的MAC地址。2同时,攻击者C也主动向B发送ARP应答数据包,告诉B,A的IP地址所对应的MAC地址是CCCCCCCCCCCC,从而使得B修改自己的ARP列表,把A的IP地址对应的MAC地址修改为攻击者C的MAC地址。3从而使得A←→B之间的通信形式变成A←→C←→B,实现了中间人攻击。在被动攻击中,攻击者C只在A或者B发送ARP请求数据包时,延时一段时间发送应答数据包,使得自己的应答包在正确的应答包之后到达,防止自己修改的相应主机的ARP列表被正确的应答包再次修改。那么主机A发往网关B的报文都会被发往攻击主机C,造成主机A突然断网。如果攻击主机向网关B转发了来自主机A的报文,那么主机A能通过攻击主机C继续上网,但其上网质量完全取决于攻击主机C,通常表现为时断时续。例如,网络上有3台主机,有如下的信息主机名IP地址硬件地址A202.206.208.1AAAAB202.206.208.2BBBBC202.206.208.3CCCC这三台主机中,C是一台被入侵者控制了的主机,而A信任B,入侵者的目的就是要伪装成B获得A的信任,以便获得一些无法直接获得的信息等。四、ARP欺骗防范和解决方案1.手动防御防御ARP欺骗的简单方法是网络管理员分别在主机和路由器上静态绑定地址映射。这种方法非常有效,但仅适用于小规模的局域网,而且这种方法不适用于DHCP自动分配地址的情况,也不能适应网络的动态变化。对于大型动态IP的网络,建立DHCP服务器建议建在网关上。所有客户机的IP地址及其相应主机信息,只能由网关这里取得,网关开通DHCP服务,保持网内的机器IP/MAC一一对应的关系。在由DHCP服务器构成的动态分配主机IP的环境中,主机申请IP时的MAC地址和IP地址是一一配对的,也是唯一的,上述的攻击主机C也不能例外,不可能利用一个MAC地址申请到多个IP地址,更不可能申请到网关地址。同时,网关机器关闭ARP动态刷新的过程,使用静态路由,这样的话,即使犯罪嫌疑人使用ARP欺骗攻击网关的话,这样对网关也是没有用的,确保主机安全,即可防御冒充主机欺骗网关的ARP欺骗。另一方面通过arps命令,在PC上绑定网关的MAC和IP地址,这样可以防御冒充网关欺骗主机的ARP欺骗。另一种有效的手动防御方法是在局域网中增加VLAN的数目,减少VLAN中的主机数量。局域网管理员可以根据本单位的网络拓扑结构划分若干个VLAN,这样既能够在发生ARP攻击时减少所影响的网络范围,又能够在发生ARP攻击时便于定位出现的网段和具体的主机。缺点同样是增加了网络维护的复杂度,也无法自动适应网络的动态变化。2.使用ARP服务器在局域网内部的设置一台机器作为ASP服务器,专门保存并且维护网络内的所有主机的IP地址与MAC地址映射记录,使其他计算机的ARP配置只接受来自ARP服务器的ARP响应。当有ARP请求时该服务器通过查阅自己缓存的静态记录并以被查询主机的名义响应ARP局域网内部的请求,从而防止了ARP欺骗攻击的发生。但是这个方法也有不足,首先要保证ARP服务器不被攻击,确保ARP服务器的安全其次要保证主机只接受指定ARP服务器的ARP响应报文。如何做到这一点,目前还是比较困难的。3.ARP欺骗的解决措施以上只是对ARP欺骗的防御手段,但对于局域网中已经有机器中了ARP欺骗木马,伪造网关,则可采用以下方法解决。判断攻击机的IP地址某计算机所处网段的路由IP地址为xx.xx.xx.1,本机地址为xx.xx.xx.8,在计算机上DOS命令行中运行arpa后输出如下C\DocumentsandSettings\AdministratorarpaInterfacexx.xx.xx.80x10003InternetAddressPhysicalAddressTypexx.xx.xx.1000102030405dynamic其中,000102030405就是路由器xx.xx.xx.1对应的MAC地址,类型为动态,因此可被改变。正常情况下,xx.xx.xx.1和000102030405始终对应。被攻击后,重复使用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,而且攻击机器的MAC地址和真正的网关MAC地址会出现交替现象,如C\DocumentsandSettings\AdministratorarpaInterfacexx.xx.xx.80x10003InternetAddressPhysicalAddressTypexx.xx.xx.1000102030405dynamicxx.xx.xx.6000102030405dynamic由此可判断xx.xx.xx.6的计算机就是攻击机,接下来就要判断攻击机的MAC地址并对连接该主机端口进行定位,定位操作主要通过SNMP协议完成。最后关闭交换机上受病毒感染的端口并对通过端口查出的相应用户进行彻底查杀。当然也可以直接下载ARP欺骗检测工具,如ARPChecker可以有效的定位到发起ARP欺骗的主机。五、结论通过以上几种方法来解决ARP病毒对于局域网的欺骗攻击是比较有效果的。但是由于ARP病毒版本在不断更新升级中,所以仍会给局域网用户带来新的冲击与危害。因此有必要提前做好局域网ARP病毒的防范工作,使得ARP病毒的危害减少到最小程度。当然,在网络安全领域,没有任何一种技术手段可以解决所有的问题,对于各种类型的网络攻击,经常查看当前的网络状态,对网络活动进行分析、监控、采取积极、主动的防御行动是保证网络安全和畅通的重要方法。网络管理员应当密切检查网络,不断提高自身的技术水平,确保网络安全的正常运行。参考文献1张胜伟基于DAI的ARP欺骗深度防御J.计算机安全,2009,012李新ARP欺骗防御技术的研究J.商场现代化,2008363陈天洲陈纯谷小妮等计算机安全策略M.浙江大学学报,2004年
编号:201312172114592702    大小:12.61KB    格式:DOC    上传时间:2013-12-17
  【编辑】
2
关 键 词:
生活休闲 网络生活 精品文档 通信学论
温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 人人文库网仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
  人人文库网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

当前资源信息

4.0
 
(2人评价)
浏览:7次
zhaozilong上传于2013-12-17

官方联系方式

客服手机:17625900360   
2:不支持迅雷下载,请使用浏览器下载   
3:不支持QQ浏览器下载,请用其他浏览器   
4:下载后的文档和图纸-无水印   
5:文档经过压缩,下载后原文更清晰   

相关资源

相关资源

相关搜索

生活休闲   网络生活   精品文档   通信学论  
关于我们 - 网站声明 - 网站地图 - 友情链接 - 网站客服客服 - 联系我们
copyright@ 2015-2017 人人文库网网站版权所有
苏ICP备12009002号-5