关键词:
ARP协议与网络安全(精选九篇)
ARP协议与网络安全 篇1
我国社会已逐步进入信息化社会, 在社会的各个领域, 计算机、通信、网络等信息技术和其他相关的智能技术得到不断的推广和应用。在我们身边, 影响我们生活最深的就是计算机网络。计算机网络可以提供我们丰富的信息资源, 但也是各类网络病毒迅速传播的通道。网络安全问题已成为当前计算机界的一大难题。就以我校的校园网为例, 最近一段时间, 网络时断时续甚至根本连不上网络, 而影响了大部分师生正常上网的就仅是一个小小的ARP攻击病毒。本文试从ARP协议入手, 剖析该协议对网络安全方面的影响及相应的解决方案。
二、ARP协议工作原理简介
ARP (Address Resolution Protocol) 协议全称为地址解析协议, 是TCP/IP协议族中的一个协议。它的基本功能就是通过目标主机的IP地址, 查询目标主机的MAC地址, 以保证网络数据传输的顺利进行。在以太网络中, 底层网络实际传输的是“帧”, 帧里面包含目标主机的MAC地址 (物理地址) 。为了把帧通过物理网络从一台主机发送到另一台主机, 网络系统必须知道目标主机的MAC地址。而获得目标主机MAC地址的过程, 就是双方主机遵从ARP协议进行地址解析的过程。
例:主机A向主机B发送数据信息时, ARP协议工作的过程介绍。
为了减少网络当中ARP数据包的流量, 主机在本地维护着一个ARP缓存表, 存放最近获得的IP地址和MAC地址的绑定。ARP缓存表采用超时机制, 如果其中某一表项在规定时间都没有使用, 则自动从表中删除。在发送数据之前, A先检查本地的ARP缓存表。如果ARP缓存表中存在B的IP地址, 那么根据B的IP地址可以直接查到B的MAC地址。如果没有, A则在网络当中广播一个包含B的IP地址的ARP请求包, 网络当中的所有主机都会收到该包, 但只有B因发现ARP请求包中包含自己的IP地址而向A发送ARP回应包。A在收到ARP回应包后, 将ARP回应包中的MAC地址取出, 将MAC地址和B的IP地址绑定, 存入本地ARP缓存表。我们可以在操作系统命令提示符方式下, 输入命令arp-a查看本地机当前的ARP缓存表。
例:C:>arp-a回车
显示IP地址、MAC地址及绑定类型如下:
Type (绑定类型) 为dynamic表示该表项可以被动态更新, 如果为static, 则表示该表项绑定关系是静态的, 不能被改变。
三、ARP协议的安全问题
通过对ARP协议工作原理的介绍, 我们可以发现在双方遵从协议执行地址解析的过程中存在明显的安全问题。A对于收到的ARP回应包, 并没有判断它是不是真正来自于B, 而是不加检查的将其中MAC地址和B的IP地址一起绑定存入ARP缓存表。攻击者可以利用这点, 通过伪造IP地址和MAC地址来实现ARP欺骗。例如主机C想监听主机A和主机B之间的通信, 只需C向A不断发送ARP数据包告诉其B的MAC地址已经改变, 新改变的MAC地址为C, 那么A便会更新其ARP缓存表, 将B的IP地址和C的MAC地址绑定, 此时A发向B的所有信息都会被错误的发送至C, 这对于A和B而言, 数据就有泄密的危险。
ARP欺骗除了对数据安全造成威胁以外, 还给网络系统带来许多安全问题。目前就有许多病毒利用ARP欺骗, 实现了对网络系统的多种攻击。较常见的ARP攻击方式有
1攻击局域网中的主机
ARP病毒通过发送错误的网关MAC地址或错误的其它主机MAC地址给受害主机, 从而导致受害主机无法与网关或者本网段内的其它主机通信。攻击后的网络症状表现为局域网中的某些主机不能连上网络, 或者这些主机能够连上网络, 但网络连接因主机不断受到攻击而表现为时断时续。
2攻击局域网中的网关
ARP病毒通过发送错误的网络中的主机MAC地址给网关, 从而导致网关无法和受害主机通信。攻击后的网络症状表现为整个局域网中的主机都不能连上外部网络或者整个网络的主机与外部网络的网络连接时断时续。
3攻击整个局域网
ARP病毒通过在本网段内不断广播大量伪造的ARP数据包, 使得局域网内的主机和网关的ARP缓存表空间耗尽, 导致它们无法正常进行地址解析, 其结果是整个局域网都无法进行正常通信。因为伪造的ARP数据包里面的MAC地址是错误的, 数据信息发往该地址根本就不可达, 这将导致网络当中的ARP数据包流量大增, 造成网络拥塞。攻击后的网络症状表现为局域网的性能下降, 网速极度缓慢。
四、ARP安全问题的解决方案
通过上文介绍的ARP工作原理和常见的几种ARP攻击方式, 我们知道只要保证主机或网关等的IP和MAC地址绑定正常即可避免各种ARP攻击。这里给出几种相应的解决方案。
1静态绑定每台主机及网关的IP地址和MAC地址
使用arp-s命令分别在每台主机上绑定网关及本机的IP地址和MAC地址
例:在主机192.168.1.2上静态绑定主机和网关 (192.168.1.1) 的IP和MAC地址
每台主机上都需手工绑定主机和网关的IP地址和MAC地址, 工作量非常大, 我们考虑编写批处理文件bd.bat来实现自动绑定。为使批处理在进入系统时自动运行, 将bd.bat拖入Windows菜单中的“启动”项。可通过下面几个步骤创建bd.bat:在“附件”中找到记事本程序, 先运行记事本, 输入相应代码, 保存时, 在对话框文件名处输入bd.bat, 保存类型选择“所有文件”。下面给出bd.bat的具体代码
2在网关内部设置中, 手工绑定每台主机的IP和MAC地址。
3在每台主机安装防止ARP攻击的软件, 如:Anti Arp Sniffer、Arp Kill、360ARP防火墙等。
4使用带有可防止ARP攻击功能的交换机。如使用三层交换机, 设置绑定端口、MAC地址和IP地址, 限制ARP流量, 发现异常自动阻断ARP攻击的端口。
五、结束语
ARP协议被设计成为一种可信任协议, 协议规则中缺乏合法性验证, 本身就存在一定的缺陷, 这导致网络易受到ARP欺骗方式的攻击。目前要重新设计更改ARP协议是不现实的, 因此网络避免不了ARP攻击, 但我们可以通过采用软、硬件的办法, 双管齐下, 尽量预防网络受到ARP攻击, 使ARP攻击的危害降到最低。
摘要:本文分析了ARP协议工作的原理, 介绍了几种常见的ARP攻击方式及受到ARP攻击后网络可能的表现症状, 最后给出了解决ARP安全问题的几种解决方案。
关键词:ARP,ARP欺骗,ARP攻击
参考文献
[1]陈明:《网络协议教程》[M].北京:清华大学出版社, 2004.
[2]谢希仁:《计算机网络》[M]北京:电子工业出版社, 2003
[3]邓志华、朱庆:《网络安全与实训教程》[M].北京:人民邮电出版社, 2006.
计算机网络应用ARP协议 篇2
地址解析协议(Address Resolution Protocol,ARP)是一种能够实现IP地址到物理地址转化的协议。在计算机网络中,通过物理地址来识别网络上的各个主机,IP地址只是以符号地址的形式对目的主机进行编址。通过ARP协议将网络传输的数据报目的IP地址进行解析,将其转化为目的主机的物理地址,数据报才能够被目的主机正确接收。
实现IP地址到物理地址的映射在网络数据传输中是非常重要的,任何一次从互联网层及互联网层以上层发起的数据传输都使用IP地址,一旦使用IP地址,必须涉及IP地址到物理地址的映射,否则网络将不能识别地址信息,无法进行数据传输。
IP地址到物理地址的映射包括表格方式和非表格方式两种。其中,表格方式是事先在各主机中建立一张IP地址、物理地址映射表。这种方式很简单,但是映射表需要人工建立及人工维护,由于人工建立维护比较麻烦,并且速度较慢,因此该方式不适应大规模和长距离网络或映射关系变化频繁的网络。而非表格方式采用全自动技术,地址映射完全由设备自动完成。根据物理地址类型的不同,非表格方式有分为直接映射和动态联编两种方式。
1.直接映射
物理地址分为固定物理地址和可自由配置的物理地址两类,对于可自由配置的物理地址,经过配置后,可以将其编入IP地址码中,这样物理地址的解析就变的非常简单,即将它从IP地址的主机号部分取出来便是,这种方式就是直接映射。直接映射方式比较简单,但适用范围有限,当IP地址中主机号部分不能容纳物理地址时,这种方式将失去作用。另外,以太网的物理地址都是固定的,一旦网络接口更改,物理地址也随之改变,采用直接映射将会出现问题。
2.动态联编
由于以太网具有广播能力和物理地址是固定的特点,通常使用动态联编方式来进行IP地址到物理地址的解析。动态联编ARP方式的原理是,在广播型网络中,一台计算机A欲解析另一台计算机B的IP地址,计算机A首先广播一个ARP请求报文,请求计算机B回答其物理地址。网络上所有主机都将接收到该ARP请求,但只有计算机B识别出自己的IP地址,并做出应答,向计算机A发回一个ARP响应,回答自己的物理地址。
为提高地址解析效率,ARP使用了高速缓存技术,即在每台使用ARP的主机中,都保留一个专用的高速缓存,存放最近获得的IP地址-物理地址联编信息。当收到ARP应答报文时,主机就将信宿机的IP地址和物理地址存入缓存。在发送报文时,首先在缓存中查找相应的地址联编信息,若不存在相应的地址联编信息,再利用ARP进行地址解析。这样不必每发一个报文都进行动态联编,提高地址解析效率,从而使网络性能得到提高。
ARP协议与网络安全 篇3
Arp (Address Resolution Interface,地址解析协议) 是TCP/IP协议族中的关键成员之一,是联系网络层协议 (IP) 与数据链路层 (含介质访问控制子层) 协议 (如以太网,IEEE802.I) 的桥梁。
1.1 Arp数据包格式
以太网首部:
48比特:目的以太网地址,全1的地址表示为广播地址。
48比特:发送方以太网地址
16比特:帧类型,对于Arp请求来说,该值为0X0806
以太网数据包:
16比特: (ar$hrd) 硬件类型 (例如:以太网、令牌网) 它的值为1即表示以太网地址。
16比特: (ar$pro) 协议类型。协议类型字段表示要映射的协议地址类型。它的值为0x0800即表示I P地址。
8比特: (ar$hln) 硬件地址长度
8比特: (ar$pln) 协议地址长度
16比特: (ar$op) 包类型。Arp请求(值为1)、Arp应答(值为2)、RArp请求(值为3)和RArp应答(值为4)。
N比特: (ar$sha) 发方硬件地址, 长度n取决于ar$hln。以太网中,n=48。
M比特: (ar$spa) 发方协议地址, 长度n取决于ar$hln。IP中,m=48。
N比特: (ar$tha) 接收方硬件地址。
M比特: (ar$tpa) 接收方协议地址。
Arp高效运行的关键是由于每个主机上都有一个Arp地址转换表。这个地址转换表存放了最近应用协议地址到硬件地址之间的映射记录。高速缓存中每一项的生存时间一般为2 0分钟,起始时间从被创建时开始算起。我们可以用Arp–a命令来检查Arp缓存表中的内容。参数-a的意思是显示高速缓存中所有的内容。
2 Arp扫描原理
Arp扫描是指利用Arp协议对内网主机在线情况进行扫描探测的方式。当主机接收到对本机的Arp地址请求包后,将会发送本机的硬件地址到源主机。这样我们就可以编程模拟此通信过程,以是否能够获得目标主机的Arp回复包作为主机在线的判断标准,对主机进行在线状态探测。如果要对内网中的所有主机进行扫描,则须进行内网主机扫描遍历。对单个主机的扫描过程描述如下:
由于从数据请求包的发出到接收到目标主机的Arp回复包需要一定的时间延迟, 所以应当设置一个时间阀值来定义超时。
需要注意的是Arp请求包的发送过程, 需要自己构造以太网包头, 以太网包头内的目的MAC地址可以填写广播地址 (全1) , 也可以填写目标主机的真实MAC地址。并且这个检测流程仅可以对内网主机进行探测, 在对同一网段外的主机发送Arp请求时, 将会收到交换机发来的Arp回复包, 而非目的主机的Arp回复。
Arp扫描仅可以用于对主机的存活性检测。
2.1 Arp扫描耗时分析
在这里我们从时间角度去分析Arp扫描的性能,分析方法采用了环境试验测试的方法,程序实现了Arp扫描,通过监听网络数据包,测算出精确耗时,测试网络环境中采用单线程方式进行扫描测试。实验所用环境是一个通过Cisco Catalyst 3560交换机进行互联的内网,抓包软件选用wireshark 1.0.0版本。
1) 单包分析
对主机15.39.31.8的Arp请求报文在2.526355时刻发出,回复报文在时刻2.526516收到,整个过程耗时161微秒。如图2。
2) 单线程扫描分析
模拟程序对15.39.31.*网段内主机进行Arp扫描,耗时84毫秒。共探测到在线主机56台。
2.2 Arp扫描准确度分析
Arp协议是局域网通信中的基础协议,关闭Arp协议或者不支持Arp协议的网络仅能通过网关静态Arp地址表的方式进行网络通信,也就是说在不使用静态Arp地址表的局域网中,Arp协议是不可被禁止的。在这种情况下,使用Arp协议来扫描存活主机能够得到正确的结果。由于在当前的网络应用中,仅有极少数网络完全使用静态Arp地址表进行通信,因此我们的分析限定在基于动态Arp协议获取的网络内。
分析扫描的准确度包括两个方面,一方面是正确认定存活主机,另一方面是正确认定不存活的主机。目前的网络安全产品对正常的Arp协议并不进行过滤,因此理论上讲,使用Arp协议对内网主机存活性的认定正确率能达到100%。
3 Arp欺骗技术
Arp欺骗,又称Arp缓存欺骗,是对内网远程主机Arp地址表进行攻击的一种手段,在前几章我们讲到,一台主机如果需要和另外一台主机通信,需要两个地址的对应关系,一个是IP地址,另一个是MAC地址。Arp协议正式提供了这两种地址之间的转换功能,根据Arp地址协议,当主机收到Arp请求包时,主机将保存下请求包内的地址对应关系到本地缓存表中。Arp欺骗技术正是利用协议的这个漏洞,通过构造错误的对应关系报文来对主机进行Arp欺骗。主机收到包含错误对应关系的Arp请求报文后,更新本地Arp地址缓存表,之后的通信受错误地址对应关系影响,发往错误的MAC地址设备。如图3。
受到Arp欺骗的主机A中,错误的保存了主机B的MAC地址对应,导致本应发要发给主机B的数据将被网络发至主机Attacker。如果再对主机B实施Arp欺骗,通过构造错误的Arp包,更改主机B的Arp缓存表中的主机A的MAC地址纬Attacker的MAC地址,那么就实现了Attacker主机对主机A和主机B的通信欺骗和通信监听。
对主机A和B讲,并没有发现自己的通信异常,但是Attacker主机此时已经实现了对两者的通信监听。下面我们讨论下Arp欺骗具体的实现手段。
首先定义如下名称:
1) Target:Arp欺骗的目标主机
2) Attacker:攻击者主机
3) aIP, bIP:主机A和B的ip地址
4) aMAC, bMAC:主机A和B的MAC地址
5) TargetMAC:目标主机的MAC地址
6) TargetIP:目标主机的IP地址
7) AttackerMAC:攻击主机的MAC地址
8) AttackerIP:攻击主机的IP地址
9) Arprequest:A--->B with (aIP, aMAC, bIP, bMAC) :从主机A发往主机B的Arp地址请求报文, 该报文使用 (aIP, aMAC, bIP, bMAC) 构造。
10) Arpreply:A--->B with (aIP, aMAC, bIP, bMAC) :A到B的Arp回复报文。
a进行Arp欺骗
报文格式:
(1) Arprequest:Attacker--->Target with (aIP, AttackerMAC, TargetIP, TargetMAC)
(2) Arpreply:Attacker--->Target with (aIP, AttackerMAC, TargetIP, TargetMAC)
Arp请求报文包含了错误的主机A的MAC地址,目标主机收到该报文后,认定A主机的MAC地址是AttackerMAC,并保存aIP到AttackerMAC的地址转换关系,因此所有本应发往主机A的数据包被发给主机Attacker。
Arp回复报文用来维持Arp欺骗,同样的,目的主机在Arp缓存表中保存了aIP到AttackerMac的错误对应关系,发往主机A的数据包被错误的发给了Attacker。
b认定网络中存在相同IP地址
报文格式:
(1) Arpreply:Attacker--->Target with (TargetIP, aMAC, TargetIP, TargetMAC)
(2) Arprequest:Attacker--->Target with (TargetIP, a MAC, TargetIP, TargetMAC)
如果发送上面两种报文到目的主机,则目的主机认为在网络中存在一个与本地IP地址相同的主机,目的主机操作系统将会提示“IP地址冲突”。
c恢复Arp欺骗
报文格式:
Arpreply:Attacker--->Target with (aIP, a MAC, TargetIP, TargetMAC)
包含正确信息的Arp请求报文,能够恢复目的主机的Arp缓存表。
4 Arp攻击技术
Arp攻击是指应用Arp欺骗技术手段,以瘫痪对方主机和网络为目的的行为。在内网环境下,根据攻击范围的不同,攻击手段区分为两种,一种是全通信攻击,另一种是半通信攻击。全通信攻击是指向目标主机发送对内网所有主机的Arp欺骗报文,从而导至目标主机所有的对外通信中断。全通信攻击方式发送的报文量大,极易导致网络流量异常,特别是对整个网络实施攻击时,猛增的网络流量易被安防系统发现并阻止。半通信攻击仅向目标主机实施对网关的欺骗报文,影响主机对外网的通信。这种方式报文量小,但不能干扰主机在网内的通信。对网络实施Arp攻击的伪代码如下:
在实际的应用中,需要不断地重复上述代码来维持攻击效果,每次重复攻击之间需留有一定的时间间隔来避免网络流量的激增。间隔的设置可以根据实际的攻击需要和网络容量的大小来进行设定。
5 小结
Arp协议的应用性非常广,并且目前大多数网络设备并不屏蔽正常的Arp协议数据流,因此利用Arp进行网络渗透攻击不失一种较好的手段,通过本文的讨论,可以将此技术应用在军事网络战、军事技术情报获取、网络安全侦察等多个领域。
参考文献
[1]W.Richard Stevens.TCP/IP详解卷1:协议[M].北京:机械工业出版社, 2006.
[2]周贺, 彭婧, 冯光焰.Arp协议的安全问题及其解决方案[J].计算机与网络, 2007 (23) :33-35.
[3]杨杨, 房超, 刘辉.Arp欺骗及ICMP重定向攻击技术研究[J].计算机工程, 2008, 1 (34) :103-104.
ARP协议与网络安全 篇4
实验名称
利用wireshark分析ARP协议
实验编号
6.1
姓名
学号
成绩
2.6常见网络协议分析实验
一、实验室名称:
电子政务可视化再现实验室
二、实验项目名称:
利用wireshark分析ARP协议
三、实验原理:
Wireshark:Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试获取网络包,并尝试显示包的尽可能详细的情况。网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具,Wireshark 是最好的开源网络分析软件。
当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时,是根据48bit的以太网地址来确定目的接口的.设备驱动程序从不检查IP数据报中的目的IP地址。地址解析为这两种不同的地址形式提供映射:32bit的IP地址和数据链路层使用的任何类型的地址。
ARP根据IP地址获取物理地址的一个TCP/IP协议。ARP为IP地址到对应的硬件地址之间提供动态映射。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存。
四、实验目的:
目的是通过实验加深对数据包的认识,网络信息传输过程的理解,加深对协议的理解,并了解协议的结构与区别。
利用wireshark捕获发生在ping过程中的ARP报文,加强对ARP协议的理解,掌握ARP报文格式,掌握ARP请求报文和应答报文的区别。
五、实验内容:
利用wireshark分析ARP协议
六、实验器材(设备、元器件)
运行Windows的计算机,带有并正确安装网卡;wireshark软件;具备路由器、交换机等网络设备的网络连接。
七、实验步骤:
1、查看本机WLAN接口IP,得到192.168.1.112。
2、利用arp –a命令在本地的ARP 缓存中查看IP-MAC对应表。
3、找到与接口192.168.1.112,有过连接的IP,本实验选择192.168.1.109。
4、利用arp-d 192.168.1.109,删除相应缓存记录。
5、打开wireshark网络分析器,选择捕获数据接口,WLAN接口,开始捕获。
6、输入命令,ping 192.168.1.109。
7、此时wireshark会捕获到相应分组数据,停止捕获。
八、实验数据及结果分析
1、请求报文:
由最上方报文信息可以看到,由于之前删除了IP-MAC对应表中IP:192.168.1.109的缓存,因此进行广播,发送查找IP为192.168.1.109的主机,并要求将结果返回给IP地址为192.168.1.112的主机即本机,使用的协议是ARP协议。(1)分析第一行,帧的基本信息:
由结果分析可以得到: 帧的编号(Frame Number):856 帧的长度(Frame Length):42个字节 捕获到的长度(Capture Length):42个字节
帧被捕获的日期和时间(Arrival Time):2016年5月29日,23点15分45.851354000秒
距离前一个帧的捕获时间(Time delta from previous captured/displayed frame0.442497000秒
距离第一个帧的捕获时间差(Time since reference or first frame):181.741785000秒 帧装载的协议:eth:ethertype:arp
(2)分析第二行,数据链路层:
由结果分析得到:
目的地址(Destination):Broadcast(ff:ff:ff:ff:ff:ff)源地址(Source):HonHaiPr_3f:8a:55(b0:10:41:3f:8a:55)协议类型:ARP(0x0806)
(3)分析第三行,ARP协议:
由结果分析得到:
硬件类型(Hardware type):Ethernet(1)协议类型:IPv4(0x0800)硬件信息在帧中占的字节数(Hardware size):6 协议信息在帧中占的字节数(Protocol size):4 操作命令为:request(1)请求
发送方的MAC地址(Sender MAC address):HonHaiPr_3f:8a:55(b0:10:41:3f:8a:55)发送方的IP地址(Sender IP address):192.168.1.112 目标的MAC地址(Target MAC address):00:00:00_00:00:00(00:00:00:00:00:00)目标的IP地址(Target IP address): 192.168.1.109
2.响应报文:(1)截图:
由最上方报文信息可以看到,IP地址为192.168.1.109主机接收到该ARP请求后,就发送一个ARP的REPLY命令,其中包含自己的MAC地址。(1)分析第一行,帧的基本信息:
由结果分析可以得到: 帧的编号(Frame Number):857 帧的长度(Frame Length):42个字节 捕获到的长度(Capture Length):42个字节
帧被捕获的日期和时间(Arrival Time):2016年5月29日,23点15分41.911804000秒 距离前一个帧的捕获时间(Time delta from previous captured/displayed frame)0.060450000秒
距离第一个帧的捕获时间差(Time since reference or first frame):181.802235000秒 帧装载的协议:eth:ethertype:arp
(2)分析第二行,数据链路层:
由结果分析得到:
目的地址(Destination): HonHaiPr_3f:8a:55(b0:10:41:3f:8a:55)源地址(Source):HonHaiPr_ e1:3e:71(d0:7e:35:e1:3e:71)协议类型:ARP(0x0806)(3)分析第三行,ARP协议:
由结果分析得到:
硬件类型(Hardware type):Ethernet(1)协议类型:IPv4(0x0800)硬件信息在帧中占的字节数(Hardware size):6 协议信息在帧中占的字节数(Protocol size):4 操作命令为:reply(2)回应
发送方的MAC地址(Sender MAC address): HonHaiPr_e1:3e:71(d0:7e:35:e1:3e:71)发送方的IP地址(Sender IP address):192.168.1.109 目标的MAC地址(Target MAC address): HonHaiPr_3f:8a:55(b0:10:41:3f:8a:55)目标的IP地址(Target IP address): 192.168.1.112
九、实验结论
网络层使用IP地址,但在实际网络的链路上传送数据帧时,最终使用的是该网络的硬件地址。IP地址和下面的网络的硬件地址之间格式不同,在ARP的高速缓存中,存在其映射表。当一台主机在本局域网上向另一个主机发送IP数据包时,先在ARP高速缓存中查看是否其IP地址,再进行确定目的接口。发送时只知道目标IP地址,不知道其MAC地址,在数据链路层也不检查IP数据报中的目的IP地址。因此会使用ARP协议,根据网络层IP数据包包头中的IP地址信息解析出目标硬件地址(MAC地址)信息,以保证通信的顺利进行。
十、总结及心得体会
本实验利用wireshark抓取网络通信数据,分别给出了数据链路层和网络层数据传输的方式。直观的体现了当数据链路层不能解析IP地址时,ARP协议的作用。
在本次实验中,我掌握了wireshark的基本操作,加深了对数据包的认识,更进一步的理解了网络信息传输过程,对协议的理解也更为深刻,包括协议的结构与区别。与ARP有关的cmd命令,了解了IP/MAC信息的作用,更加直观的体会了主机间通信的过程。利用wireshark捕获发生在ping过程中的ARP报文,我加强了对ARP协议的理解,掌握了ARP报文格式以及ARP请求报文和应答报文的区别。
十一、对本实验过程及方式、手段的改进建议
1.首先要启动wireshark,并进行数据捕获,然后再去执行ping命令,避免捕获数据不及时。
2.在捕获到ping命令之后的数据后,及时停止捕获,避免捕获数据过多而不便于后续分析。
ARP协议与网络安全 篇5
有线电视网络(Hybrid Fiber Coaxial, HFC)采用单向广播模式传输电视节目,用户被动接收节目,只能通过增加电视频道数目的方式来改善用户体验,服务方式落后,业务类型单一,无法满足人们个性化、交互化的信息索取需求。各地有线电视运营商为了承载双向的数据业务,采用CMTS+CM、EPON+EoC/LAN等技术来改造HFC网[1],因EPON+EoC方案不需要改动已有光纤和电缆资源,且具有较好抗干扰性,网络改造成本低,性价比高,是国内有线网络改造的首选方案,已进行大范围部署[2]。
EPON+EoC方案可以承载视频、音频、数据等全媒体业务,但多用户共享上下行对称的带宽,会导致高峰期出现带宽紧缺,且无法满足视频点播这类非对称业务的带宽需求。为了充分利用HFC网的带宽,保护广电已有投资,各地运营商基于边缘调制器IPQAM开展各种互动电视业务[3],也有运营商基于EPON+EoC+IPQAM(简称EEQAM)构建双向网络[4],进一步利用IPQAM承载数据业务,但IPQAM的QAM通道信息必须通过应用层协议(如HTTP/XML、SOCKET)通知终端[5,6],数据封装的代价大,交互次数多。QAM通道地址可由频率和节目号来唯一标识,参考开放系统互连(Open System Interconnection, OSI)的网络分层模型[7],QAM通道地址与MAC地址同为二层的地址标识,通过网络层的协议交互完成最为合理。本文设计一种新颖的E-ARP协议,在标准ARP[8]协议中增加调制解调器(Tuner)和QAM通道信息的描述字段,并增加调制解调器和QAM通道信息的交互流程,以完成EEQAM网络的寻址功能,扩展的字段采用TLV格式编码[9]。E-ARP相比HTTP/XML、SOCEKT等通讯方式,交互次数少,封装开销低,通讯效率高,还具有良好的扩展性。
2 EEQAM方案介绍
2.1 系统架构
EEQAM系统架构如图1所示。
图1中①EPON+EoC网络功能模块:光线路终端(Optical Line Terminal, OLT)同光网络单元(Optical Network Unit,ONU)采用光纤进行数据交换,EoC局端(Ethernet over COAX)通过同轴电缆与EoC Moderm进行数据交换。机顶盒(Set top Box, STB )通过同轴电缆和五类线同EOC Moderm进行数据交换。
②EEQAM扩容设备:融合通道网关 (Converge Channel Gateway, CCGW)作为数据网关,统一调度双向IP通道和单向QAM下行通道的数据发送,包括资源管理、会话管理以及数据发送引擎等模块。CCGW将MPEG2传输流(Transport Stream, TS)封装为IP数据,发往IPQAM。IPQAM采用QAM调制方式将IP载荷中的TS转化为HFC网络射频信号进行传输。
③对外互联系统:包含互联网出口,业务运营支撑系统(Business&Operation Susport system, BOSS)和广电自建的应用服务器(Application Server)等。
2.2 寻址流程
终端上线过程采用如图2所示。过程进行寻址:
(1)CCGW定期在主频点上轮播服务组(Service Group, SG)信息和CCGW的地址信息。
(2)STB上线时通过搜索主频点中的轮播包,获取服务组信息及CCGW信息。
(3)STB采用应用层协议(如HTTP/XML、SOCKET)向CCGW申请通道。
(4)CCGW检查STB合法性。(4.1)若STB是非法终端,直接返回注册失败,禁止其使用网络(4.2)若终端为合法终端,继续执行通道决策过程。
(5)CCGW决策数据的发送通道。(5.1)若选择IP双向通道,CCGW发送数据,无需通知STB,(5.2)STB在IP通道可自动接收。(5.3)若选择QAM通道,则继续向下执行第6步。
(6)CCGW创建会话,并分配QAM通道资源。QAM通道信息包括:频率、节 目 号、 QAM 调 制 方 式、符号率等。
(7)CCGW将通道信息回复给STB。
(8)STB调用Tuner锁定QAM通道,将CCGW设置为其网关,进行其后续业务请求。
EEQAM也可执行多通道并行传输。当终端具备多个Tuner时,在步骤3中,STB可将多个Tuner的信息通知CCGW,步骤5中CCGW可决策将多个QAM通道分配给STB,以更大程度得提高STB的接入带宽。
如图3交互过程看来,申请消息必须采用应用层协议封装,共交互3.5次,而QAM的通道可由频率和节目号标识,对应OSI的网络分层结构,QAM通道地址和MAC地址,均为二层的地址标识,按照网络分层的理论可通过数据链路层的协议交互来完成寻址,但二层的ARP协议仅适用于以太网的地址解析[8,9],需扩展ARP协议以支持EEQAM网络寻址。
3 扩展的ARP协议E-ARP
3.1 E-ARP协议格式
为了向下兼容扩展和快速解析,E-ARP协议采用TLV格式进行编码,定义七类扩展字段,TLV的Type和Lenth长度固定为1Byte,Value值长度以字节为单位。相关定义如表1,表2所示:
E-ARP协议对标准ARP的字段不做任何修改,在ARP协议之后增加扩展字段。通过CCGW和STB的交互操作来实现终端QAM通道的寻址操作,兼容原有的ARP协议。
3.2 E-ARP寻址流程
扩展的E-ARP协议交互流程如图4所示,共分为2个步骤:
(1)MAC地址及Tuner信息交互过程。STB发送广播E-ARP-MAC请求查找CCGW,并上报Tuner状态信息。CCGW收到E-ARP-MAC请求后,向STB回复单播E-ARP-MAC响应,消息中携带了CCGW的MAC地址。
(2)QAM通道交互过程。CCGW根据全局的QAM通道使用情况及终端的Tuner状态信息决策数据的下发通道,若选择IP通道,则直接发送数据,若选择QAM通道,发送单播E-ARP-QAM 请求,请求中携带着分配的通道数目和QAM通道信息;终端接收到E-ARP-QAM请求后,锁定对应的QAM通道,并向服务端返回单播的E-ARP-QAM响应消息。
4 数值分析
本文将E-ARP协议同基于HTTP/XML和SOCKET的交互协议进行通讯效率对比。完整的QAM通道信息交互过程中的通讯开销均为通讯负载,有效的通讯负载为通道申请消息和QAM通道响应消息,在此给出通信效率的统一计算公式如下:
undefined (1)
其中QAMreq、QAMresp分别表示通道请求和响应的消息中有效信息的长度。采用3.1节的设计,扩展标识并非HTTP/XML、SOCKET通信时的必选字段,∑(QAMreq+QAMresp)的总长度为其他所有字段Value的总长度(1+2+32+32+1+9×N),共计(68+9×N)字节,N为CCGW为STB分配的通道数目,I为QAM通道交互过程中的消息总数,Messi为i第个消息(请求/响应)的长度,均为数据链路层以上所以消息的长度。
4.1 HTTP/XML通信效率
HTTP协议是基于文本流的信息交互过程,主要包括POST和GET方法,GET将所有数据都包含在头部之中,而POST方法将数据包含在消息体。在EEQAM网络中,STB向CCGW申请通道采用POST方法,将QAM通道信息以XML格式进行编码,放置消息体中。
以太网的最小、最大帧长度分别为64字节和1514字节,除去14字节的以太网包头,以太网封装IP数据包的最长包长为1500字节。当IP包长度超过1500字节时,需将执行数据包的拆分操作。如表3所示,Mess1~Mess5中ARP和TCP初始化建立过程中的消息长度均为64字节,Mess6~Mess7的HTTP交互过程中,假设HTTP包头均长为80字节,消息体中公用信息(如xml版本、编码格式)的平均长度为120字节,请求中单个Tuner和QAM通道的信息长度分别为40和80字节,通道请求/响应的消息体平均长度分别为200+70N字节,最多传输16个QAM通道时也小于1500字节,一个IP数据包即可。采用HTTP/XML交互QAM通道信息的通讯效率为
undefined (2)
4.2 SOCKET通信效率
采用任何的应用层协议进行封装时,都会导致不必要的头部开销,采用最简单的套接字方法进行通信,可减少不必要的包头开销,是采用应用层协议传输的最高效方法。采用3.1节定义的TLV方式封装通道的请求和响应消息,将其作为SOCKET通信的负载。按照这种方式,Mess1~Mess5的代价均为64字节。每个字段的类型和长度分别占用1个字节。SOCKET请求长度为Tuner数目、Tuner状态、用户名、密码等4个字段的TLV编码总长度,即(4×2+1+2+32+32),共计75字节。SOCKET响应为分配通道数目和所有分配QAM通道信息2个字段的TLV编码总长度,即(2+1+2N+9N),共计(3+11N)。采用SOCKET交互QAM通道信息的通信效率为
undefined (3)
4.3 E-ARP通信效率
E-ARP协议的扩展部分采用TLV是进行编码,采用3.2节的交互流程,共4个消息,Mess1~Mess4均包含标准ARP消息中14字节的以太网包头和28字节的ARP请求响应,在此,主要计算扩展字段的TLV总长度。E-ARP-MAC-REQ消息中携带扩展ARP标识,消息总长度为(14+28+1×2+1<64),即64字节;E-ARP-MAC-REQ携带用户名、密码、Tuner信息,TLV消息总长度为(14+28+3×2+32+32+2),即114字节;E-ARP-QAM-REQ消息中,携带分配通道数据和所有QAM消息,消息总长度为(14+28+2×1+2×N+9×N),即(44+11N)字节,E-ARP-QAM-REQ消息中,不携带任何字段,消息总长度为(14+28<64),即64字节。采用E-ARP交互QAM通道信息的通信效率为
undefined (4)
根据统一的通信效率的公式对比三种协议的通信效率发现,随着分配通道数目的增加,HTTP/XML的通信效率无明显变化,一直处于最低的状态,而SOCKET和E-ARP的通信效率逐步增大,E-ARP的效率最高。因为相比E-ARP,HTTP/XML和SOCKET都需要建立TCP连接,增加了1.5次的交互和封装开销,而HTTP/XML的封装开销过大,导致通信效率并无明显增加,SOCKET虽然传输效率逐步增加,但依旧无法高于E-ARP的通信效率,主要因为E-ARP仅有2次交互,且只增加了类型和字段长度的长度,故通信效率最高。传输效率对比见图5所示。
5 结束语
本文基于标准ARP设计一种EEQAM的网络寻址协议E-ARP,通过TLV编码格式,扩展标准ARP协议中的字段,增加了EEQAM网络中Tuner和QAM通道的描述信息,并定义了Tuner和QAM通道信息的交互过程。通过数值分析证明,E-ARP相比HTTP/XML、SOCEKT通讯方式,交互次数少1.5次,封装开销更低,通信效率更高,具有良好的扩展性。
参考文献
[1]马乾.有线网络双向化改造技术选型及应用实践[J].广播与电视技术,2011,38(6):89-90
[2]Liang-xian,L.U..Implementation of EPON+EOC Technology in DTV Bidirectional Transformation in Quzhou[J].China Dig-ital Cable TV,2009,(2):1-12
[3]Wei,J.The VoD services carried by hybrid PON+EoC networking[C].Broadband Network&Multimedia Technology,Beijing,China,2009.
[4]徐春华.基于EPON+宽窄合一EoC+IPQAM技术构建双向网络[J].中国有线电视,2012,13(6):718-722
[5]国家广播电影电视总局广播电视规划院.GY/T258-2012下一代广播电视网(NGB)视频点播系统技术规范[J/OL],fromhttp://124.42.5.8/biaozhun/soft_show.asp?id=419,2012.
[6]谢希仁.TCP/IP协议族[M].北京:清华大学出版社,2003.
[7]International Organization for Standardization and International Electrotechnical Commission.Information Technology—Open Sys-tems Interconnection—Basic Reference Model.International Standard ISO/IEC 7498,1984.
[8]Plummer,David.RFC826:Ethernet Address Resolution Protocol:Or converting network protocol addresses to 48.bit Ethernetaddress for transmission on Ethernet hardware,1982.
ARP协议与网络安全 篇6
1 ARP协议欺骗现象归纳
ARP欺骗攻击会直接导致局域网网络不稳定,随着APR协议欺骗手段的不断更新,计算机终端表现出的攻击症状也不尽相同。笔者结合多年来的实际工作经验,总结了客户端在使用计算机网络过程中经常出现的ARP欺骗攻击现象。
1.1“数据劫持”
众所周知,网络游戏如今已经风靡全球,网游“传奇”更是尤为盛行。以“传奇”游戏为例,游戏账号中的玩家装备在现实世界中被大量玩家争相购买。在高额利润的驱动下,一些不法份子利用ARP协议本身的漏洞盗取他人游戏账号。不法分子通过改变数据在LAN内的传输路径,最终达到数据劫持、盗取他人账号的目的。整个嗅探、劫持数据的过程,游戏用户毫不知情,只会感觉网络速度突然变慢,使用ping命令时偶尔出现丢包现象,数据返回延迟大。“数据劫持”攻击导致数据在传输过程中失去安全保证,为间谍软件提供可能。此类攻击隐藏性好,不宜察觉,网络管理难度大。
1.2“传输中断”
“传输中断”攻击严重影响网络的可用性和稳定性。计算机终端用户遇到“传输中断”攻击时,首先应检查网络中本地连接,如果本地连接显示正常,认证计费软件也显示工作正常,但客户端网络经常无故“掉线”,网页无法打开,网络软件无法使用,如QQ软件无法登陆,错误提示为“无法联系网关”时,用户可能正在遭受“传输中断”攻击。
1.3“数据篡改”
用户浏览任何网站时,杀毒软件都会出现感染木马病毒提示;计算机系统虽然安装了杀毒软件,也定期进行系统的补丁升级,但是系统依旧经常无故感染病毒;打开任意网站的页面源代码进行分析,页面内容为挂马程序,而访问的网站并无恶意代码,最终分析发现计算机终端用户正在遭遇ARP“数据篡改”攻击。这类攻击,可导致局域网终端用户全部感染病毒,中病毒机器又不断攻击其他主机,最终产生恶性循环。ARP“数据篡改”攻击现象是目前局域网内常见的网络问题,但其危害性极大。ARP欺骗攻击可归纳为两大类:一类是欺骗攻击LAN中的路由器;一类是欺骗攻击LAN中的PC机。
2 ARP协议欺骗原理分析
2.1 欺骗攻击的原因
在TCP/IP协议中,数据从源点传输到达目标,数据依次结构为传输层、网络层、网络接口层,每层封装的源地址、目标地址不同。传输层、网络层的目标地址是已知,网络接口层的源地址是已知,而目标地址未知。在TCP/IP协议中就是借助ARP协议来实现目标地址未知的过程,这个过程是网络中的一个薄弱环节,TCP/IP协议是网络接口层以上的通讯必须使用的协议,恶意攻击者能够方便利用这个协议进行攻击,攻击效果较好,作用范围较大。
2.2 欺骗攻击的目标
在TCP/IP网络中,主机通讯可分为两种模式,一种是同一LAN中的主机通讯,这个通讯过程不需要路由表和路由器支持,主机间通过ARP协议,便可得知目标主机的MAC地址,通讯即可完成;另一个是不同LAN之间的主机通讯,这个通讯过程需要路径选择,计算机网络使用路由表来确认数据传输路径。对于攻击者来说,ARP攻击就集中在路由器和客户端两方面。欺骗了路由器,就有可能欺骗网段内的主机,攻击效果好,破坏力强,而且不便处理;欺骗客户端攻击可能导致某些主机被欺骗,这个攻击比较隐蔽,攻击不宜被发现。
2.3 欺骗攻击的实现
2.3.1 构造ARP回应报文实现欺骗
当客户端A主机需要通过ARP协议获取客户端B主机的MAC地址时,A主机向B主机发送ARP请求,然而回应的并不是B主机,而是C主机。C主机构造了APR回应报文欺骗,即C回应的ARP报文源IP是222.27.200.4,这个实际上是B主机的IP地址,回应的MAC地址是3333.3333.3333,这个是C主机的MAC地址,这样A主机并非获得B主机的MAC地址,而是C主机的MAC地址。构造ARP回应报文欺骗会导致数据包封装成帧的时候,目标主机是C主机而不是B主机,从而达到“欺骗”的目的。
2.3.2 构造ARP请求报文实现欺骗
当C主机发送一个ARP请求报文,报文头部结构中源IP为B主机的IP地址,而并非C主机自身的IP地址,源MAC地址为C主机的MAC地址,目标IP地址为A主机的IP地址,目标MAC地址为1111.1111.1111,即A主机的MAC地址,此时A主机接受到这个请求时,将记录下这个请求报文中的源IP地址和源MAC地址,建立IP地址是B主机,MAC地址是C主机的对应关系,由于这个对应关系已被巧妙修改,而到达“欺骗”的目的。
2.4 欺骗攻击的效果
数据传输路径改变,ARP欺骗顺利完成。根据缺省网关路由信息,客户机的帧应该发送给缺省网关,欺骗攻击修改该客户的ARP高速缓存中网关对应的真实MAC地址,而将数据帧发送给被修改后的MAC地址主机,也就是将数据发送给了“欺骗者”,如果“欺骗者”将劫持的数据发送给路由器,源主机发送的数据经过一次绕行后到达路由器,这使源主机很难知道自己已被ARP攻击,这便是“数据劫持”。如果“欺骗者”将劫持的数据不发送给路由器,而是直接丢弃,则产生数据传输“中断”,也就是用户所说的网络“掉线”。
3 ARP协议欺骗新方法研究
3.1 网络监听
局域网具有设备共享、信息共享、可进行高速数据通讯和多媒体信息通信、分布式处理、具有较高的兼容性和安全性等基本功能和特点。目前局域网主要用于办公室自动化和校园教学及管理,一般可根据具体情况采用总线形、环形、树形及星形的拓扑结构。网络监听工具是提供给管理员的一类管理工具。使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息。
但是网络监听工具也是黑客们常用的工具。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以源源不断地将网上传输的信息截获。网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等。黑客们用得最多的是截获用户的口令。当黑客成功地登录进入局域网络的主机、并取得这台主机超级用户的权限之后,往往要扩大战果,尝试登录或者获取网络中其他主机的控制权。网络监听就是一种最简单而且最有效的方法,它常常能轻易地获得用其他方法很难获得的信息。在网络上,监听效果最好的是网关、路由器、防火墙一类的设备,这些设备通常由网络管理员来操作。
3.2 ARP病毒变种
ARP病毒已经出现了新的变种,该类ARP病毒同样是向全网发送伪造的ARP欺骗广播,但病毒把自身伪装成网关,在被害主机与网关之间建立起单向的转发代理,在用户请求访问的网页添加恶意代码,导致杀毒软件在用户访问任意网站均发出病毒警报,有的用户可能由于杀毒软件更新不及时而导致感染病毒。最明显的就是,所有访问的网站都会出现病毒,页面代码中加了代码,其中的链接地址是某个网站上的木马程序,这就使得所有打开的网页都会染毒。如果用户的杀毒软件放过这样的连接,将会导致木马程序被自动下载并运行,用户信息将完全暴露,黑客将很容易窃取到用户的各种账号和密码等重要信息。
4 结束语
校园网络、公众网络用户众多,随着经济的发展,“网民”数急剧膨胀,网络应用也从HTML服务、视频服务等信息服务发展到游戏、娱乐、电子商务、电子银行等应用,网络技术已经成为社会生活中不可缺少的部分,但自2006年“ARP”欺骗攻击以来,这种攻击就成为了不法分子首要利用的攻击手段,其覆盖面广,攻击效果明显。通过对ARP协议的分析,得知ARP攻击的根源来自ARP协议本身的漏洞。本文立足发动网络用户的主观能动性,改进传统的ARP双向绑定模式,而提出ARP自助绑定模式,极大减少网络管理员的工作压力;另外对攻击者及早进行自动隔离,从而极大减少对网络的危害性。
参考文献
[1]方自远.校园网环境下ARP攻击及防范措施[J].福建电脑.2009,2:66-74.
[2]郝兴伟.计算机网络原理、技术及应用[M].北京:高等教育出版社.2009:47-49.
[3]杨加等.基于IP控制网关和802.1X的校园网认证计费解决方案[J].通信学报.2009:18-21.
[4]谢志强.校园网中基于ARP协议欺骗及其解决方案研究[J].赤峰学院学报.2009:42-43.
[5]郝兴伟.计算机网络原理、技术及应用[M].北京:高等教育出版社.2009:47-49.
ARP协议与网络安全 篇7
ARP欺骗具有隐蔽性、随机性的特点, 在Internet上随处可下载的ARP欺骗工具使ARP欺骗更加普遍。目前利用ARP欺骗的木马病毒在局域网中广泛传播, 给网络安全运行带来巨大隐患, 是局域网安全的首要威胁。有时会出现网络设备完好, 运转正常的情况下, 局域网内用户上网速度缓慢甚至完全阻塞的情况, 这种现象往往是由于局域网内遭到ARP攻击引起的, 一些带有ARP欺骗功能的木马病毒, 利用ARP协议的缺陷, 像大规模爆发的流行性感冒一样, 造成网络时断时续, 无法正常上网。同时清理和防范都比较困难, 给不少的网络管理员造成了很多的困扰。
二、ARP协议概述
ARP协议全称为Address Resolution Protocol, 即地址解析协议, 是TCP/IP协议栈中的基础协议之一, 它工作于OSI模型的第二层, 在本层和硬件接口间进行联系, 同时为上层 (网络层) 提供服务。是将IP地址与网络物理地址一一对应的协议, 负责IP地址和网卡实际地址 (MAC) 之间的转换。也就是将网络层地址解析为数据链路层的M A C地址。在以太网中, 一个网络设备要和另一个网络设备进行直接的通信, 除了知道目标设备的I P地址外, 还要知道目标设备的M A C地址。A R P协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通讯的顺利进行。当一个网络设备需要和另一个网络设备通信时, 它首先把目标设备的I P地址与自己子网掩码进行“与”操作, 以判断目标设备与自己是否位于同一网段内, 如果目标设备与源设备在同一网段内, 则源设备以第二层广播的形式 (目标MAC地址全为1) 发送ARP请求报文, 在ARP请求报文中包含了源设备与目标设备的IP地址。如果目标设备与源设备不在同一网段, 则源设备首先把IP分组发向自己的缺省网关, 由缺省网关对该分组进行转发。
三、ARP协议的缺陷
1. 主机ARP列表是基于高速缓存动态更新的。
由于正常的主机间的MAC地址刷新都是有时限的, 这样恶意用户如果在下次交换之前成功地修改了被欺骗机器上的地址缓存, 就可以进行假冒或拒绝服务攻击。
2. 可以随意发送ARP应答分组。
由于ARP协议是无状态的, 任何主机即使在没有请求的时候也可以做出应答。因此任何时候发送ARP应答。只要应答分组是有效的, 接收到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机高速缓存。
四、ARP的主要攻击类型
ARP期骗是指利用ARP协议的漏洞, 通过向目标设备主机发送虚假的ARP报文, 达到监听或者截获目标主机数据的攻击手段。主要攻击类型:冒充主机欺骗网关 (对路由器ARP表的欺骗) 、冒充网关欺骗主机 (对内网P C的网关欺骗) 。
1. 冒充主机欺骗网关
攻击主机C发出一个报文, 其中源MAC地址为MAC C, 源IP地址为IP A。这样任何发往主机A的报文都会被发往攻击主机C。网关无法与真实主机A直接通信。假如攻击主机不断地利用自己的真实MAC地址和其他主机的IP地址作为源地址发送ARP包, 则网关无法与网段内的任何主机 (攻击主机C除外) , 进行直接通信。然而, 这种情况下, 交换机是不会产生任何报警日志的, 原因在于, 多个IP地址对应一个MAC地址在交换机看来是正常的, 不会影响其通过IP所对应的MAC来交付报文。
如果攻击者将网关ARP缓存中的MAC地址全部改为根本就不存在的地址, 那么网关向外发送的所有以太网数据帧会丢失, 使得上层应用忙于处理这种异常而无法响应外来请求, 也就导致网关产生拒绝服务 (不能响应外界请求, 不能对外提供服务) 。
2. 冒充网关欺骗主机
(1) 在主动攻击中, 攻击者C主动向A发送ARP应答数据包, 告诉A, B (网关) 的IP地址所对应的MAC地址是CC-CC-CC-CC-CC-CC, 从而使得A修改自己的ARP列表, 把B的IP地址对应的M A C地址修改为攻击者C的M A C地址。
(2) 同时, 攻击者C也主动向B发送ARP应答数据包, 告诉B, A的IP地址所对应的MAC地址是CC-CC-CC-CC-CC-CC, 从而使得B修改自己的ARP列表, 把A的IP地址对应的MAC地址修改为攻击者C的MAC地址。
(3) 从而使得A←→B之间的通信形式变成A←→C←→B, 实现了中间人攻击。
在被动攻击中, 攻击者C只在A或者B发送ARP请求数据包时, 延时一段时间发送应答数据包, 使得自己的应答包在正确的应答包之后到达, 防止自己修改的相应主机的ARP列表被正确的应答包再次修改。
那么主机A发往网关B的报文都会被发往攻击主机C, 造成主机A突然断网。如果攻击主机向网关B转发了来自主机A的报文, 那么主机A能通过攻击主机C继续上网, 但其上网质量完全取决于攻击主机C, 通常表现为时断时续。
例如, 网络上有3台主机, 有如下的信息:
主机名IP地址硬件地址
A 202.206.208.1 AA:AA
B 202.206.208.2 BB:BB
C 202.206.208.3 CC:CC
这三台主机中, C是一台被入侵者控制了的主机, 而A信任B, 入侵者的目的就是要伪装成B获得A的信任, 以便获得一些无法直接获得的信息等。
四、ARP欺骗防范和解决方案
1.手动防御
防御A R P欺骗的简单方法是网络管理员分别在主机和路由器上静态绑定
另一方面通过arp-s命令, 在PC上绑定网关的MAC和IP地址, 这样可以防御冒充网关欺骗主机的A R P欺骗。
另一种有效的手动防御方法是在局域网中增加VLAN的数目, 减少V L A N中的主机数量。局域网管理员可以根据本单位的网络拓扑结构划分若干个VLAN, 这样既能够在发生ARP攻击时减少所影响的网络范围, 又能够在发生ARP攻击时便于定位出现的网段和具体的主机。缺点同样是增加了网络维护的复杂度, 也无法自动适应网络的动态变化。
2.使用ARP服务器
在局域网内部的设置一台机器作为ASP服务器, 专门保存并且维护网络内的所有主机的IP地址与MAC地址映射记录, 使其他计算机的ARP配置只接受来自ARP服务器的ARP响应。当有ARP请求时该服务器通过查阅自己缓存的静态记录并以被查询主机的名义响应ARP局域网内部的请求, 从而防止了ARP欺骗攻击的发生。但是这个方法也有不足, 首先要保证ARP服务器不被攻击, 确保ARP服务器的安全;其次要保证主机只接受指定ARP服务器的ARP响应报文。如何做到这一点, 目前还是比较困难的。
3. ARP欺骗的解决措施
以上只是对A R P欺骗的防御手段, 但对于局域网中已经有机器中了A R P欺骗木马, 伪造网关, 则可采用以下方法解决。
判断攻击机的IP地址
某计算机所处网段的路由IP地址为xx.xx.xx.1, 本机地址为xx.xx.xx.8, 在计算机上DOS命令行中运行arp-a后输出如下:
C:Documents and SettingsAdministrator>arp-a
Interface:xx.xx.xx.8---0x10003
Internet Address Physical Address Type
xx.xx.xx.1 00-01-02-03-04-05 dynamic
其中, 00-01-02-03-04-05就是路由器xx.xx.xx.1对应的MAC地址, 类型为动态, 因此可被改变。正常情况下, xx.xx.xx.1和00-01-02-03-04-05始终对应。被攻击后, 重复使用该命令查看, 就会发现该MAC已经被替换成攻击机器的MAC, 而且攻击机器的M A C地址和真正的网关M A C地址会出现交替现象, 如
C:Documents and SettingsAdministrator>arp-a
Interface:xx.xx.xx.8---0x10003
Internet Address Physical Address Type
xx.xx.xx.1 00-01-02-03-04-05 dynamic
xx.xx.xx.6 00-01-02-03-04-05 dynamic
由此可判断xx.xx.xx.6的计算机就是攻击机, 接下来就要判断攻击机的MAC地址并对连接该主机端口进行定位, 定位操作主要通过S N M P协议完成。最后关闭交换机上受病毒感染的端口并对通过端口查出的相应用户进行彻底查杀。当然也可以直接下载ARP欺骗检测工具, 如ARP Checker可以有效的定位到发起ARP欺骗的主机。
五、结论
通过以上几种方法来解决A R P病毒对于局域网的欺骗攻击是比较有效果的。但是由于ARP病毒版本在不断更新升级中, 所以仍会给局域网用户带来新的冲击与危害。因此有必要提前做好局域网ARP病毒的防范工作, 使得ARP病毒的危害减少到最小程度。当然, 在网络安全领域, 没有任何一种技术手段可以解决所有的问题, 对于各种类型的网络攻击, 经常查看当前的网络状态, 对网络活动进行分析、监控、采取积极、主动的防御行动是保证网络安全和畅通的重要方法。网络管理员应当密切检查网络, 不断提高自身的技术水平, 确保网络安全的正常运行。
参考文献
[1]张胜伟:基于DAI的ARP欺骗深度防御[J].计算机安全, 2009, (01)
[2]李新:ARP欺骗防御技术的研究[J].商场现代化, 2008 (36)
ARP协议与网络安全 篇8
关键词:局域网,ARP攻击,攻击防范
1 引言
在大型局域网中,ARP攻击非常严重。当ARP攻击泛滥的时候,大批计算机无法正常上网。为了对抗ARP攻击,网络中心采取了多种技术措施,例如要求所有上网电脑安装杀毒软件和ARP防火墙,封禁ARP攻击者的交换机端口,对进行ARP攻击的计算机断网、对机主进行通告批评等行政措施。即使如此,ARP攻击现象仍然泛滥成灾。现实应用中局域网往往是非常庞大与复杂的:例如某高校有上万个网络节点,网络拓补结构中,接入层用Cisco二层交换机,然后汇聚到Cisco三层路由器,核心层则是两台Cisco6509(配交换和路由模块)。同时,用户使用计算机随意性强(特别是宿舍区),要求每台机器都安装ARP防火墙非常困难。大家都知道MAC地址与IP地址的绑定是最简单有效的ARP攻击防御方法,然而,在这样的大型上网环境中使用静态IP地址和MAC地址的绑定会带来巨大的管理负荷,无法有效对每一台终端、服务器与网络设备都使用静态ARP表。大型局域网的基本组成结点是用户主机、交换机以及连接不同网段的路由器。从用户的角度看,路由器就是TCP/IP配置中的网关,因此可以从用户主机、交换机和网关这三个组成部分来分析ARP攻击的方式和采取新的更有力的集中监控管理方法来有效防治ARP病毒。
2 ARP协议的缺陷
ARP攻击的突破口是ARP协议缺陷,来源于协议自身设计的不足。因为协议设计者认为局域网是可信赖的,同时考虑传输效率,所以ARP协议开始被设计成一个无状态的、可信任协议,缺乏合法性验证手段。由于存在这样重大的缺陷,所以每台主机的ARP表的更新是信任广播域内所有机器的回应包的,也就是在说在ARP协议中,接受回应帧的主机无法验证回应包的真伪。因此,在ARP协议中就很容易实现在以太网中的ARP欺骗。利用ARP协议漏洞进行攻击的方式有多种,但主要都是依靠篡改ARP协议包的方法来实施欺骗,达到攻击的目的。常见的利用协议缺陷的攻击方式,主要有中间人(man-in-the middle)攻击与拒绝服务攻击等。
3 基于网络结点的ARP攻击分析
3.1 针对用户主机的攻击
病毒主机以代理计算机的身份插入两台计算机之间,获取与篡改用户的数据,使用户上网的速度变慢或者上不了网。这种ARP欺骗最常见的形式就是病毒主机将自己伪造成网关:病毒主机使用网关的IP地址和自己的MAC地址伪造一个ARP应答帧,并将该帧以一定的频率发送给被欺骗主机;ARP协议的原理决定了无论一台计算机是否发送过ARP请求帧,当它收到一个ARP应答帧时都会检查并更新自己的ARP缓存表,于是被欺骗主机的ARP缓存表中网关的IP地址就指向了假网关的MAC地址,以后该用户计算机发往网关的数据帧则全部发给了这台病毒主机。
3.2 针对路由器网关的攻击
病毒主机向网关发送伪造的ARP应答帧,造成网关ARP缓存表中的错误记录,使网关将原本发送给用户计算机的数据发送给了错误的机器,严重时网关将无法工作。这种ARP欺骗最常见的形式就是病毒主机将自己伪造成用户计算机。病毒主机用伪造的IP地址和自己的MAC地址伪造一个ARP应答帧,并将该帧以一定的频率发送给网关;网关检查并更新自己的ARP缓存表;于是网关的ARP缓存表中伪造的IP地址就指向了病毒主机的MAC地址;以后,网关发往该IP地址的数据帧则全部发给了这台病毒主机。病毒主机有时会做的更“过分”一些,直接冒充网关。在局域网中,网关的IP地址一般为192.168.0.1。如果病毒主机向全网不停的发送ARP欺骗广播,大声说:“我的IP地址是192.168.0.1,我的硬件地址是MAC-A”这时局域网中的其它主机并没有察觉到什么,因为局域网通信的前提条件是信任任何主机发送的ARP广播包。这样,局域网中的其它电脑都会更新自身的ARP缓存表,记录192.168.0.1-MAC-A这样的记录,当它们发送给网关,也就是IP地址为192.168.0.1这台电脑的数据,结果都会发送到病毒主机中,病毒主机就将监听整个局域网发送出的数据包。
3.3 针对交换机的攻击
3.3.1 对交换机的MAC欺骗
交换机上同样维护着一个动态的MAC缓存。交换机的一般工作原理是:首先,交换机内部有一个对应的列表,交换机的端口对应MAC地址表Port to Mac记录着每一个端口下面存在那些MAC地址,这个表开始是空的,交换机从来往数据帧中学习。与对计算机的ARP欺骗相类似,如果把交换机上的MAC-PORT表修改了,那么对应的MAC to PORT就一样跟着改变,本来不应该发送到探测器的数据结果发送过来了,这样也达到了探测的目的。
3.3.2 对交换机的泛洪攻击
由于MAC-Port缓存表是动态更新的,那么让整个交换机的接口表都改变的方法是对交换机进行MAC地址欺骗的洪泛攻击,不断发送大量假MAC地址的数据包让交换机更新MAC-Port缓存。如果能通过这样的办法把以前正常的MAC和Port对应表更换。那么交换机就会进行洪泛发送给每一个接口,让交换机基本变成一个Hub,向所有的接口发送数据包,A造成交换机MAC-Port缓存的崩溃。
4 基于网络结点的防范
4.1 改进的路由器与主机双向绑定法
在主机和路由器面对攻击时,常使用双向绑定法。顾名思义,就是要在两端绑定IP-MAC地址,其中一端是在路由器中,把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定。另外一端是局域网中的每个客户机,在客户端设置网关的静态ARP信息,这叫PC机的IP-MAC绑定。“双向绑定法”一般在网吧里面应用的居多。如:华为的H3C-AR-18-6X系列全千兆以太网路由器就是采用这样的机制防范ARP病毒的。
但是,这种方法也有许多的缺陷:一是构建这张完全静态ARP缓存表工作量非常大,而且更改了IP地址或更换了网卡,就必须修改这张静态ARP缓存表;二是所有的主机上绑定网关的IP+MAC地址并非易事,假设在一个200台电脑的网络中,网络管理员就会不停的来回在200台电脑上奔波,费时费力,对网络管理员的忍耐力绝对是个考验;三是网关会因缓存表过大而使查询时间变长、处理能力下降。实践表明,局域网内的数据通信绝大多数时间是用户计算机与网关之间在进行通信,因此我们可以采用静态与动态相结合的方式来维护正确的ARP缓存表:1)用户计算机的ARP缓存表中只需设置一条静态的网关IP地址和MAC地址条目;2)网关采用ARP协议动态维护ARP缓存表,只要用户按照一个适当的频率向网关发送ARP应答,报告自己的IP地址与MAC地址对应关系,或者网关(路由器)定时定向的向局域网广播正确的网关(路由器)IP+MAC信息,那么网关就能维护一张正确的ARP缓存表。
4.2 基于交换机的MAC地址管理
Cisco交换机中可以在具体的交换机端口上绑定特定的主机的MAC地址,或是在端口上绑定MAC地址扩展访问列表。例如融合科技推出的交换机,可以实现IP+MAC+端口的绑定。另外在全部是Cisco交换网络里,可以用思科Dynamic ARP Inspection机制解决。DAI在交换机上提供IP地址和MAC地址的绑定,并动态建立绑定关系。DAI以DHCP Snooping绑定表为基础,对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access-list实现。DAI配置针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。通过这样配置,可以有效防止各VLAN间的攻击,更好提高网络安全性和稳定性。
4.3 基于路由器的MAC-IP变化数据的管理
病毒主机一般不会改变其MAC地址,因为在接入层实现了MAC和交换机端口的绑定,因此不可能存在仿冒的MAC地址。病毒主机往往会假冒成被攻击者的IP,或者修改本机的TCP/IP协议实现,否则即使其他计算机上当,改向攻击者的MAC地址发送数据,攻击者提取IP报文时,会发现目的IP不是自己而抛弃掉。同时,攻击者会针对网关以及许多台计算机,因此攻击者往往表现为同一个MAC地址对应许多IP,并且对应的IP不断的变化。
不论是以广播方式发送的ARP欺骗,还是针对网关的非广播欺骗,路由器都能够接收到,并且记录在其ARP缓存中。路由器同计算机一样,都会在ARP缓存中保存当前所知道的MAC-IP条目,ARP缓存默认保存时间是20分钟,会不断的根据接收到的ARP应答包更新缓存表内容。因此,如果建立一台MAC-IP变化数据的监控服务器同路由器相连,每隔一个时间段向路由器发送指令,取出路由器的MAC-IP表并保存起来,就能根据同一个MAC对应IP的变化记录来发现ARP攻击。图1就是依据此方法开发的基于路由器检测ARP攻击的系统。
5 结束语
ARP病毒是一种很顽固,在不断发展进化中的病毒,新的变种不断出先现,当然新的防护设备,新的防范措施也在不断涌现。新的IPv6协议的使用,将有可能从根本上遏制这一病毒,因为在IPv6定义了邻机发现协议(NDP),把ARP纳入NDP并运行于因特网控制报文协议(ICMP)上,使ARP更具有一般性,包括更多的内容,而且不用为每种链路层协议定义一种ARP。
参考文献
[1]张琦.交换机与ARP病毒间的对决[N].中国计算机报,2008-07-14.
[2]谢希仁.计算机网络[M].4版.北京:电子工业出版社,2003.
ARP协议与网络安全 篇9
校园网内的ARP攻击及网络资源盗用一直以来都是比较头疼的问题。针对这些问题的出现, 校园网络管理人员当然要对网络进行相应的调整。但要想彻底的防范这些问题的发生, 就必须先了解其产生的原理, 在这里我首先介绍一下ARP攻击。
2 ARP攻击
2.1 ARP的定义
我首先来介绍一下什么是ARP。ARP的英文全称是Address Resolution Protocol, 意思是地址解析协议, 它是TCP/IP协议栈中的一个底层的协议, 主要负责将IP地址解析成对应的MAC地址。
2.2 ARP中毒表象
ARP的中毒表象为:在使用局域网上网时会突然掉线, 但过一段时间后又会自动恢复正常。具体的表现为PC客户端无法获取到地址、网络使用时断时续、IE浏览器访问页面出错等故障。
2.3 ARP攻击的严重后果
ARP病毒木马只要感染一台PC终端, 就会造成同一个VLAN下的局域网无法正常上网, 严重的会导致整个网络瘫痪。同时也会窃取用户的资料, 比如QQ、网银、网游的账号密码, 从而进行非法的交易, 给用户带来巨大的经济损失。
2.4 ARP病毒攻击原理
ARP病毒的原理就是伪造和欺骗。通过伪造IP地址和用户终端的MAC地址实现ARP的欺骗, 然后通过伪造的地址在网络中产生大量的通信量从而导致网络阻塞。攻击端只要不断发出伪造的ARP响应包就可以更改目标PC的ARP缓存中的IP-MAC信息, 造成网络终端和中间PC的攻击。其主要是存在于局域网中。
打个打个比方, 中了木马的电脑屏蔽掉路由器将自己伪装成路由器, 当路由器突破屏障并夺回控制权时, 网络进行切换, 用户会掉线。ARP共计越厉害, 掉线越频繁。
2.5 ARP攻击的防范
说到ARP攻击, 那肯定要说一下如何对ARP攻击进行防范。对ARP攻击完全的防范是比较困难的, 如果要通过修改ARP协议的方式也不大可能。但可以对本机进行一些设置, 将被ARP病毒入侵的几率降到最小。这里简单介绍两种方法。
1) 安装ARP防火墙。目前比较流行的就是360ARP防火墙, 360ARP防火墙解决ARP攻击问题采用的方案是:主要是通过在系统内核层拦截ARP攻击数据包, 采取措施保证网关的MAC地址不被修改, 保证数据正确流向, 通讯数据不被第三者控制。如图1。
2) 也就是最原始的办法, 即“双向绑定”+“ARP广播”。在路由器上绑定客户机的IP和MAC地址, 在客户机上绑定路由器的IP和MAC地址, 同时开启路由上的ARP广播, 不停地广播正确网关的ARP信息。步骤如下:
在客户机上绑定路由的IP和MAC地址, 可以通过DOS命令, 如arp-s 172.31.24.239 0013-026F-CF06来实现绑定;在路由上绑定客户机的IP和MAC地址:
进入路由的Web控制→“防火墙”→“访问控制 (ACL) ”→“MAC与IP绑定”, 开启MAC与IP绑定, 并将内网所有主机的IP和对应MAC地址加入到绑定列表中即可。
我们学校目前使用的即是双向绑定, 特别是针对学生网, 为每个合法的学生用户都分配了一个IP地址, 并在核心交换上进行IP-MAC的绑定。这种方法固然能对ARP攻击进行一定防范, 但对一些通过非法软件扫描他人网络资源, 进而盗用的“非法用户”, 就无法进行防范。下面我来介绍一些校园网中常见的IP地址的盗用。
3 网络资源的盗用
网络管理员解决网络资源被盗用问题, 是保证网络安全的众多工作中的一项非常重要而又棘手的工作。ARP协议是将网际互连中的IP地址与网络接口卡的物理地址 (MAC) 相关联起来的协议。前几年IP地址绑定MAC地址即可解决IP地址被盗用的问题, 然而随着计算机网络技术的不断进步, 全球唯一的MAC地址, 同样可以随意进行修改, 这样通过IP地址与MAC地址绑定已无法凑效。
目前在校园网中, 特别是学生公寓, 盗用IP地址的现象非常的多, 很多学生用户通过盗用别人地址的方法来隐藏自己的身份。IP地址的盗用行为严重扰乱了校园网络的正常运行, 侵害了网络用户的利益, 给网络管理人员带了很大的麻烦, 因此解决IP地址盗用问题成为校园网络安全建设的一个重要课题。
3.1 两种常见的盗取IP地址的方法
第一种方法:人为修改机器的IP地址。
用户电脑终端配置IP地址时不是自动获取, 也没有设置网络管理人员制定的IP地址, 而是人为修改本机的IP地址, 产生IP地址盗用。
第二种方法:同时修改IP地址和MAC地址的方法。
针对第一种方法可以通过IP+MAC绑定技术进行解决。然而现在一些兼容型网卡的MAC地址可以通过配置程序和第三方软件进行修改, 非法用户通过将自己的电脑终端的IP和MAC地址同时修改成另一台合法终端对应的IP和MAC地址, 则IP+MAC捆绑失效。我们学校学生公寓网发生的数起盗用网络资源事件, 就是通过这种方法进行盗用的。
3.2 防范IP地址盗用的方法
3.2.1 定期扫描及防范机制
定期扫描网络中路由器的ARP表, 将扫描到的IP-MAC的对照关系与合法的IP-MAC表进行比对, 如果发现有的信息不一样, 则说明IP地址有可能被盗用。也可以通过用户投诉的故障现象来判断是否出现IP地址盗用的行为。常用的几种防范机制有:代理服务器技术、IP+MAC绑定技术, IP-MAC-USER认证授权技术以及透明网关技术等等。
但这几种防范技术都存在一定的局限性。例如IP-MAC绑定技术, 很难对用户进行管理;透明网关技术需要专用的机器转发数据, 所有数据都通过此节点, 造成这个专用机器的性能很大程度上可能成为网络运行的瓶颈。最重要的局限在于, 这些防范技术只是阻止了盗用IP地址的终端直接访问外部的网络资源, 没有从本质上规避和解决盗用IP地址而产生危害的风险。盗用了IP地址的终端仍然可以在此IP所在的子网中进行网络访问, 干扰了其他正常用户的使用, 同时也可能造成子网中的其他终端和网络设备被IP地址盗用者攻击, 带来危害。
3.2.2 利用端口定位技术及时终止IP地址盗用
很多情况下需要利用端口技术来阻止IP地址盗用行为, 此技术是根据交换机的工作原理而采取的策略。一般的二层交换机都是通过MAC地址来过滤和转发数据包, 在数据链路层上工作。根据交换机的设计, 工作中的交换机需要自动创建一个与端口对应的MAC地址表, 此表存储的信息就是与其有信息交换的并处于同一个子网中的所有主机MAC地址。交换机通过SNMP协议与其他交换机进行信息交换, 获取其他交换机存储MAC地址信息, 生成一个实时的Switch-Port-MAC对应表, 将此表与原来合法的完整表进行比对, 可以找出与之连接的不合法MAC地址, 通过深入一步工作后, 即可判定是否存在IP地址盗用的情况发生。如果在不同的交换机非级联端口上都有一个相同的MAC地址, 则存在IP-MAC的成对盗用。
通过以上的工作确定了网络中有人盗用IP地址, 可以直接锁定到交换机的端口, 再检索Switch-Port-MAC对应表, 就可以确定发生盗用行为的物理地点。
确定IP地址盗用后, 应立即采取预案响应, 将此行为的影响和损失降到最低。从技术层面上, 可以通过SNMP管理站向交换机代理发送SNMP消息, 切断有IP地址盗用情况的端口, 从而使得盗用IP地址的终端不能与网络中其他设备产生信息的互通, 保证整个网络正常运行。如图2所示。
关闭出现异常的交换机端口, 找到相应的用户, 进行处理是否发现异常, IP-MA-交换机端口地址对应采集各交换机非级联端口ARP Cache数据分析采集的ARP Cache数据是否正常。
通过改变端口管理状态来切断对应端口。给在MIB中代表端口管理状态的可读写对象if Admin Status (对象标识符号为1.3.6.1.2.1.2.2.1.7) 赋不同的值, 可以改变端口的管理状态 (“1”代表开启端口, “2”代表关闭端口, “3”代表供测试用) 。
开启和关闭响应端口, 需要由管理站向交换机发送赋值信息。例如要关闭某一交换机 (172.31.34.5) 的2号端口, 可以向该交换机发出如下信息:
因此, 在现实的网络管理工作中, 快速有效地发现和阻止IP地址盗用行为的方法是:科学管理交换机端口, 结合IP-MAC绑定技术;此方法有效解决IP-MAC成对盗用问题, 并且不影响网络的运行效率。
4 结束语
以上介绍了校园网中常见的两种比较严重的问题。其中对ARP攻击的防范, 使用目前比较流行的IP-MAC双向绑定较为普遍, 当然安装ARP防火墙更是必不可少。网络资源的盗用可以通过IP-MAC绑定+交换机端口管理进行防治, 效果是非常显著的。校园网的稳定与和谐要靠大家共同来维护, 了解掌握一些网络安全的知识, 会给大家在使用网络资源工作的过程中减少一些不必要的麻烦, 更大地提高工作效率。
参考文献
[1]曹丹海, 孙公达.校园网IP地址管理系统的设计与实现[J].西安邮电学院学报, 1998 (1) .
[2]张尧学, 王晓春, 赵艳标.计算机网络与Internet教程[M].北京:清华大学出版社, 1999.
相关文章:
arp协议的主要功能是01-04
ARP地址解析协议应用01-04
平衡原理01-04
ARP病毒的攻击原理01-04
训练原理01-04
结晶原理01-04
美学原理试卷及答案美学原理试卷01-04
分类计数原理和分步计数原理教案01-04
计算机网络实验利用wireshark分析ARP协议—实验六实验报告01-04
冷却原理01-04
