浅析ARP病毒入侵局域网的途径与防治

xxxx 高等专科学校毕业论文 设计 0 目录目录 摘要摘要 2 1 ARP 的知的知识识概述概述 2 1 1 ARP 协议的含义 2 1 2 ARP 协议的工作原理 3 2 ARP 病毒攻击的病毒攻击的途途径及防治措施径及防治措施 3 2 1 几种常见的 ARP 攻击方式 3 2 2 ARP 攻击的防治措施 4 3 ARP 实例分实例分析析及解决方案及解决方案 5 3 1 实例描述 5 3 2 实例分析 5 3 3 实例步骤 10 4 总结总结 11 参考文献参考文献 11 致谢致谢 12 本人声明本人声明 12 xxxx 高等专科学校毕业论文 设计 1 浅析浅析 ARP 病毒入侵局域网的途径与防治病毒入侵局域网的途径与防治 作 者 xxx 指导老师 xxxx xxxx 高等专科学校物理与信息技术系 xx 541xxx 摘要摘要 本文分析了 ARP 协议工作的原理 介绍了几种常见的 ARP 攻击方式及受 到 ARP 攻击后网络可能的表现症状 最后给出了解决 ARP 安全问题的解决方案 在第一章 简要的介绍了 ARP 的含义及工作原理 第二章才介绍了 ARP 攻击的 几种途经和解决方案 ARP 协议制定时间比较早 当时对这些协议的缺陷考虑 不周 使得 ARP 攻击的破坏性比较大 但其也有局限性 比如 ARP 攻击只局限 在本地网络环境中 这里只介绍了一些简单的 ARP 原理和基本的解决方案 在 本文的第三章 列出了一个 ARP 攻击实例 在这个实例中 描述了 ARP 攻击的 现象及怎么攻击的 然后给出了一个解决的方案 通过本文 想让大家更了解 ARP 尽可能的避免上网的的问题 关键词 关键词 网络安全 ARP 协议 ARP 欺骗 1 ARP 的知识概述的知识概述 1 1 arp 协议的含义协议的含义 ARP协议是Address Resolution Protocol地址解析协议的缩写 在局域网中 以帧的方式进行传输数据 并且根据帧中目标主机的MAC地址来进行寻址 在以 太网中 一台主机要和另一台主机进行直接通信 就必须要知道目的主机的MAC地 xxxx 高等专科学校毕业论文 设计 2 址 这个目的MAC地址就是通过ARP协议获取的 地址解析就是主机在发送帧前将 目的主机的IP地址转换成目的主机MAC地址的过程 这样才能保证局域网内各主 机间可靠快速的通信 1 2 arp 协议的工作原理协议的工作原理 假设主机A和B在同一个网段 主机A要向主机B发送信息 具体的地址解析过 程如下 1 主机A首先查看自己的ARP缓存表 确定其中是否包含有主机B对应的ARP 表项 如果找到了主机B对应的MAC地址 则主机A直接利用ARP表中的MAC地址 对 IP数据包进行帧封装 并将数据包发送给主机B 2 如果主机A在ARP缓存表中找不到对应的MAC地址 则将缓存该数据报文 然后以广播方式发送一个ARP请求报文 由于ARP请求报文以广播方式发送 该网 段上的所有主机都可以接收到该请求 但只有被请求的主机B会对该请求进行处 理 3 主机B比较自己的IP地址和ARP请求报文中的目标IP地址 如果相同则 将ARP请求报文中的发送端主机A的IP地址和MAC地址存入自己的ARP表中 之后 以单播方式发送ARP响应报文给主机A 4 主机A收到ARP响应报文后 将主机B的MAC地址加入到自己的ARP缓存表 中以用于后续报文的转发 同时将IP数据包进行封装后发送出去 当主机 A 和主机 B 不在同一网段时 主机 A 就会先向网关发出 ARP 请求报 文 当主机 A 从收到的响应报文中获得网关的 MAC 地址后 将报文封装并发给网 关 如果网关没有主机 B 的 ARP 表项 网关会广播 ARP 请求 目标 IP 地址为主机 B 的 IP 地址 当网关从收到的响应报文中获得主机 B 的 MAC 地址后 就可以将报 文发给主机 B 如果网关已经有主机 B 的 ARP 表项 网关直接把报文发给主机 B 2 ARP 病毒攻击的途径及防治措施病毒攻击的途径及防治措施 2 1 几种常见的几种常见的 ARP 攻击方式攻击方式 xxxx 高等专科学校毕业论文 设计 3 1 拒绝服务攻击 拒绝服务攻击就是使目标主机不能响应外界请求 从而 不能对外提供服务的攻击方法 2 克隆攻击 攻击者首先对目标主机实施拒绝服务攻击 使其不能对外界 作出任何反应 然后攻击者就可以将自己的IP与MAC地址分别改为目标主机的IP 与MAC地址 这样攻击者的主机变成了与目标主机一样的副本 3 ARP欺骗 网络欺骗是黑客常用的攻击手段之一 网络ARP欺骗分为两种 一 种是对路由器ARP表的欺骗 另一种是对内网主机的网关欺骗 前一种欺骗的原 理是攻击者通过截获分析网关数据 并通知路由器一系列错误的内网IP地址和 MAC地址的映射 按照一定的频率不断进行使真实的地址信息映射无法通过更新 保存在路由器中 结果路由器转发数据到错误的MAC地址的主机 造成正常主机无 法收到信息 后一种ARP欺骗的原理是伪造网关 它的原理是把真实网关的的IP地 址映射到错误的MAC地址 这样主机在向网关发送数据时 不能够到达真正的网关 如 果假网关不能上网 那么真实的主机通过假网关也不能上网 4 ARP泛洪攻击 攻击主机持续把伪造的IP地址和MAC地址的映射对发给 受害主机 对于局域网内的所有主机和网关进行广播 抢占网络带宽并干扰正常 通信 导致网络中的主机和交换机不停地来更新自己的IP地址和MAC地址的映射 表 浪费网络带宽和主机的CPU 使主机间都不能正常通信 2 2 ARP 攻击的防治措施攻击的防治措施 1 IP地址和MAC地址的静态绑定 1 在用户端进行绑定 ARP欺骗是通过ARP的动态刷新 并不进行验证的漏洞 来欺骗内网主机的 所以我们把ARP表全部设置为静态可以解决对内网的欺骗 也就是在用户端实施 IP和MAC地址绑定 可以再用户主机上建立一个批处理文件 此文件内容是绑定内 网主机IP地址和MAC地址 并包括网关主机的IP地址和MAC地址的绑定 并把此批 处理文件放到系统的启动目录下 使系统每次重启后 自动运行此文件 自动生成 内网主机IP地址到MAC地址的映射表 这种方法使用于小型的网络中 2 在交换机上绑定 在核心交换机上绑定用户主机IP地址和网卡的MAC地址 同时在边缘交换 xxxx 高等专科学校毕业论文 设计 4 机上将用户计算机网卡的IP地址和交换机端口绑定的双重安全绑定方式 这样 可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的 盗取 可以防止非法用户随意接入网络 网络用户如果擅自改动本机网卡的IP或 MAC地址 该机器的网络访问将被拒绝 从而降低了ARP攻击的概率 2 采用VLAN技术隔离端口 局域网的网络管理员可根据需要 将本单位网络规划出若干个VLAN 当发现 有非法用户在恶意利用ARP欺骗攻击网络 或因合法用户受病毒ARP病毒感染而影 响网络时 网络管理员可先找到该用户所在的交换机端口 然后将该端口划一个 单独的VLAN 将该用户与其它用户进行隔离 以避免对其它用户的影响 当然也可 以利用将交换机的该端口关掉来屏蔽该用户对网络造成影响 3 防火墙和杀毒软件 可以安装ARP防火墙或者开启局域网ARP防护 比如360安全卫士等ARP病毒专 杀工具 并且实时下载安装系统漏洞补丁 关闭不必要的服务等来减少病毒的攻 击 查找病毒源 对病毒源头的机器进行处理 杀毒或重新安装系统 解决了ARP 攻击的源头PC机的问题 可以保证内网免受攻击 经常更新杀毒软件 病毒库 设置允许的可设置为每天定时自动更新 安装并使用网络防火墙软件 3 ARP 攻击实例分析及解决方案攻击实例分析及解决方案 3 1 实例描述实例描述 动态ARP监测 这个特性我们最关心的是arp数据包 它是一种验证网络中 的arp包的安全特性 可以阻止 记录 非法更改ip和mac地址绑定的arp数据包 使 网络崩溃 不能上网 3 2 实例分析实例分析 局配置模式下 ip arp inspection vlan id 定义 DAI 检查数据包的那些部分 ip arp inspection validate 进入端口 设置成信任的或者是非信任的 同时设置速度的限制 xxxx 高等专科学校毕业论文 设计 5 默认的情况下是不限速的 且是不信任的端口 注 DAI 的支持只有 3560 以上才可以 组网及说明 组网及说明 图 3 1 组网结构 如图 3 1 组网是一个非常常见的组网结构 DHCP server 在核心交换机 750 6E 上 也可以用其他的服务器 3600 EI 与 7506E 为 TRUNK 相连 网关在 750 6E 上 PC1 PC2 同属一个 VLAN 测试中要模拟非法 ARP 攻击 因此需要 ARP 发包工具 本次测试使用的交换机是 3600 EI 软件版本为 3 10 R1602P02 攻击测试过程 攻击测试过程 首先需要测试在未启用动态ARP检测特性时的现象 3600 EI除启用dhcp snooping不做任何特殊配置 PC1和PC2都通过DHCP获取地址 分别为 172 17 2 1 24和172 17 2 21 24 测试前保证PC1 PC2与网关互通 如图3 2在PC1上打开一个DOS窗口 可以看到172 17 2 254的MAC地址是 000f e27b f74e 常PING 172 17 2 254 可以看到是通的 xxxx 高等专科学校毕业论文 设计 6 图 3 2 pc1 DOS 窗口 在 PC2 上打开网络执法官 做如下配置 如图 3 3 图 3 3 网络执法官 选择当前使用的网卡 并添加监控网段 xxxx 高等专科学校毕业论文 设计 7 图 3 4 设置关键主机 选择 设置 关键主机 将网关的 IP 增加到关键主机列表中 如图 3 4 此时还需要在 PC2 同时打开 ethereal 抓包工具收集证据 开始抓包 做好准备 工作后就可以发动攻击了 图 3 5 设定权限 xxxx 高等专科学校毕业论文 设计 8 在主页面中右击 PC1 对应的条目上 选择 设定权限 如图 3 5 进行设置 此时切换到 ethereal 查看刚刚抓的包 图 3 6 ethereal 数据包 在图 3 6 可以看到 PC2 伪造了 2 个 ARP 回应包 分别是 172 17 2 1 172 2 254 172 17 2 254 172 17 2 1 源 MAC 都做了修改 切换到常 PING 172 17 2 254 的 DOS 窗口 可以发现已经不通了 网关 ARP 已 被更改 如图 3 7 所示 图 3 7 DOS 窗口 在 3600 EI 上查看 ARP 表 PC1 的 MAC 地址同样被更改 xxxx 高等专科学校毕业论文 设计 9 disp arp vlan 2 Type S Static D Dynamic IP Address MAC Address VLAN ID Interface Aging Type 172 17 2 1 00c0 9fa2 53fa 2 GE2 0 3 17 D 172 17 2 21 0002 3f03 192a 2 GE2 0 3 20 D 以上可以很明显地看到 ARP 攻击的表现 3 3 实例步骤实例步骤 接下来就展现3600 EI如何有效地防范了 在3600 EI上增加如下配置 vlan 2 arp detection enable interface Ethernet1 0 4 port access vlan 2 把端口加入 VLAN 2 中 ip check source ip address mac address 检查 IP MAC 地址源 interface Ethernet1 0 5 interface Ethernet1 0 6 port access vlan 2 ip check source ip address mac address interface GigabitEthernet1 1 4 port link type trunk 把端口设为 TRUNK port trunk permit vlan 1 to 3 10 dhcp snooping trust ip source static binding ip address 172 17 2 254 mac address 000f e27b f74e 配置 IP 静 态绑定 xxxx 高等专科学校毕业论文 设计 10 dhcp snooping 此时再按上述步骤依次演示 注意同样要保证测试开始前PC1 PC2与网关 互通 可以看到最后PC2发动攻击后PC1还是可以正常PING通网关 图 3 8 DOS 窗口 查看PC2上ethereal所抓的包 发现依然还是伪造包发出 但3600 EI和PC1 的ARP表都没有被更改 4 总结总结 在本文中 我们知道了ARP的工作原理 也了解了它的攻击现象 我们通过 它攻击的现象 来运用ARP的工作原理去防治ARP的攻击 从而保护我们的网络 现在是科技时代 发展迅猛 我们只能尽量的去防治网络的攻击 不可能万无 一失 在此希望科技更加发达 让我们的网络生活更加方便 参考文献参考文献 1 谢希仁 计算机网络 第4版 2 陈明强 校园网建设的设计与实施 2004 3