ARP欺骗防御技术(精选七篇)
ARP欺骗防御技术 篇1
1、A R P的相关知识
1.1 ARP协议的概念
ARP协议 (Address Resolution Protocol) 即地址解析协议是一种将计算机的网络地址 (IP地址32位) 转化为物理地址 (MAC地址48位) 的协议, 其基本功能就是通过目的设备的IP地址, 查询到目的设备的物理地址即MAC地址, 从而保证通信的顺利进行。局域网中的所有IP通讯最终都要转换成基于物理地址 (MAC) 的通信, ARP协议的工作就是查找目的主机的IP地址所对应的MAC地址, 并实现双方通信。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。
1.2 ARP协议的工作原理
ARP协议工作在TCP/IP协议的IP层, 所有安装有TCP/IP协议的主机都有一个ARP高速缓存, 里面存放计算机目前知道的局域网上各主机和路由器的IP地址到MAC地址的映射表。查看当前ARP缓存表的方法是在windows操作系统的命令行窗口输入“arp–a”命令, 保存的就是IP地址与MAC地址的对应关系。
下面以主机A (IP为192.168.0.1, MAC为00-00-40-ca-65) 向本局域网内的主机B (IP为192.168.0.2, MAC为00-00-36-cb-78) 发送数据为例来说明ARP协议的工作原理 (如图所示) 。
当主机A欲向某主机B发送IP数据报时, 主机A先在自己的ARP高速缓存表中查找是否有目标主机B的映射信息即IP地址与对应MAC信息。如果有就可以查出目标主机B的MAC地址, 再将其硬件地址写入MAC帧中, 通过局域网直接发送数据。若主机A的ARP高速缓存表中没有找不到主机B的映射信息, 它就会在网络上向所有主机发送一个ARP请求的广播数据包, 向同一网段内的所有主机询问IP为“192.168.0.2”主机的MAC地址。正常情况下, 网络上除B以外的其他主机虽然收到该数据包, 但并不回应这个ARP请求数据包, 只有主机B接收到这个广播帧后, 以ARP应答包的方式向主机A做出回应, 通知对方本机是“192.168.0.2”, MAC地址是“00-00-36-cb-78”。主机A在收到应答包后, 就可以根据IP地址与MAC地址的对应表发送数据包。同时, 主机A还要动态更新自己的ARP缓存表, 把主机B的映射信息写入缓存表, 下次再向主机B发送信息时, 直接从ARP缓存表里查找其MAC地址。
ARP缓存表还采用了时间老化机制, 即ARP表中的内容有存活时间 (这一段时间称为ARP缓存的超时时限) , 在设置的存活时间内如果表中的某一行没有使用就会被删除, 完成自动更新, 加快查询时间。
1.3 ARP协议存在的设计缺陷
ARP协议是一个高效的数据链路层协议, 属于无状态的协议, 建立在信任局域网内所有节点的基础之上。可见其设计前提是在网络绝对安全和信任的情况下进行的, 不会自动检查是否发送过请求包, 也不了解接收到的应答是否合法, 只要收到目标MAC是自己的ARPREPLY包或ARP广播包都要接收并缓存, 因此ARP协议不可避免的存在着设计缺陷。其缺陷表现在以下方面:
(1) 主机ARP高速缓存依据接收到的ARP协议包进行动态更新。因此正常的主机间MAC地址刷新都是有时限的, 假冒者正是利用更新数据前的时段成功地修改被攻击机器上的地址缓存进行假冒或拒绝服务攻击。
(2) ARP协议没有连接的概念, 局域网内的任意主机在没有ARP请求时也可以做出应答。许多系统都会接受未请求的ARP响应, 并用虚假信息篡改其缓存, 这是ARP协议的一大安全隐患。
(3) ARP协议没有认证机制, 只要接收到的协议包是有效的, 主机就无条件的根据协议包的内容自动更新本机ARP缓存, 并不检查该协议包的合法性, 这种对局域网内主机完全信任的策略, 给局域网的安全埋下隐患。
可见, ARP协议建立在完全信任局域网内所有节点的基础上, 是一种高效但缺乏安全性的无状态协议。存在广播性、无序性、无连接性、无认证和动态性等安全漏洞, 导致了ARP攻击具有合法性、欺骗性和隐蔽性, 对其进行入侵检测和防范的难度加大, 加之ARP欺骗技术门槛低, 所以对ARP欺骗的防范是一个长期的日常性工作[4]。
1.4 感染ARP病毒网络症状
在校园网中, 原本可以正常上网的计算机, 当被ARP病毒攻击后, 常常出现以下症状:
(1) 网络异常。表现为:同一网段的所有上网主机均无法正常连接网络。 (2) 网络性能下降。表现为:网速很慢、网络时断时续, 客户端无法正常访问网络, 查看“本地连接”会发现收包数据量远远小于发包数据量。 (3) 打开Windows任务管理器, 可以查看到一些可疑进程 (例如“MIE0.dat”等) 。 (4) 客户端执行“arp-a”命令, 则返回的网关MAC地址与实际网关MAC地址存在差异。 (5) 交换机指示灯会呈现出大面积相同频率的闪烁。如果出现以上网络现象, 则表明该网段中至少有一台主机感染了ARP病毒。
2、常见A R P欺骗形式
根据被欺骗对象的不同, ARP欺骗可以分为欺骗主机、欺骗网关和双向欺骗3种类型[5]。
2.1 对主机的欺骗
这一类型的欺骗是欺骗者伪装成网络中网关的MAC地址进行欺骗攻击, 导致被欺骗主机直接断网。它是通过欺骗主机不断发送ARP应答包或请求广播包, 以自身MAC地址所对应的IP地址冒充网关IP地址, 使被欺骗主机ARP缓存中的真正网关MAC地址错误的更新为欺骗主机的MAC地址, 导致受骗主机时不时的出现网络掉线现象。
2.2 对交换机的欺骗
交换机能主动学习客户端的MAC地址, 将各端口和端口所连接的主机的MAC地址的对应关系进行记录, 以此来构建并维护端口和MAC的对应表, 即CAM表。如果欺骗源主机持续向交换机快速发送大量有错误的MAC地址ARP包, 快速填满CAM表, 并导致CAM表的溢出, 交换机就会以广播方式处理通过交换机的报文, 这时, 流量以洪泛方式发送到所有接口, 会造成交换机负荷过大, 网络缓慢和丢包甚至瘫痪。同时, 欺骗者可以利用各种嗅探攻击获取网络信息。
2.3 对路由器/网关的欺骗
ARP欺骗网关是欺骗者假冒局域网中其它主机的MAC地址, 截获主机数据, 或伪造一系列错误的局域网MAC地址, 按照一定的频率不断发送给局域网的路由器, 使真实的地址信息无法更新保存在路由器中, 造成路由器的数据只能发送给错误的MAC地址, 使得网络中的众多主机无法收到信息, 无法响应正常的ARP请求, 导致路由器繁忙通信无法正常进行。
2.4 双向欺骗
这类ARP欺骗是指既欺骗主机也欺骗网关/路由器的一类欺骗, 其危害性更大。
3、AR P欺骗的预防措施
ARP欺骗主要来自高校校园网内部的主机, 由于校园网是一个特殊的网络, 局域网内用户数量众多、群体特殊, 给ARP的防范带来了一定的难度, 我们必须针对其特点采取综合措施加以防范。对于ARP欺骗的防范, 目前国内外尚没有统一的有效的防范措施, 防范ARP欺骗方法通常采用IP和MAC静态绑定以及启用ARP报文限速功能等, 大致可分为两种:一种是通过交换机的网管功能来进行限制;另一种是在各个用户端进行检测。
3.1 客户端的检测和防范
(1) windows环境下检测客户端ARP;在客户端主机正常的情况下, 首先应通过IPconfig/all命令查看并保存本机正确的IP、DNS及默认网管等信息。其次使用ARP-a命令查看本机的ARP缓存表, 记录其网关及其对应的MAC地址信息, DNS及其对应的MAC地址。当客户端主机出现异常时, 继续使用ARP-a命令查看此时的显示结果与正常值是否一致, 如果存在差异说明主机已感染了ARP病毒。
(2) 防御措施;首先要及时给客户端主机的操作系统打上最新补丁, 增强系统自身的防御能力。其次对初期ARP的处理可以通过重启计算机、禁用本地连接和用ARP-d命令来清除ARP缓存表等方法来暂时解决这一问题, 而要做到永久防御, 可通过A R P-s IPMAC命令, 把本机IP和MAC进行绑定, 把绑定命令写入到一个批处理文件中, 并把该文件放到windows的启动项中。第三可以在网段的主机上安装诸如Antiarp、Arp Fix、360ARP网络执法管理等防御ARP攻击的软件, 并及时查找、处理病毒源。
3.2 交换机的检测与防范
(1) 交换机的ARP检测;在交换机上, 可以通过日志文件和ARP缓存表进行全网监控, 及时发现ARP病毒。
利用SHOWARP命令查看ARP缓存表信息, 检查同一VLAN中是否有多个地址对应同一MAC的情况出现, 如果出现下列情况, 就能说明存在ARP攻击。
(2) 交换机的防范;通过上述检测, 发现某个VLAN有ARP欺骗攻击后, 通过继续查看该VLAN接入层交换机上的日志信息, 找到感染ARP攻击的计算机所在的端口, 拔出该主机的连接线, 通知用户进行病毒清理。
3.3 其他防范方法
(1) 防范ARP欺骗还可采用在局域网内安装ARP服务器, 替代局域网中的主机应答ARP包。这种方法防范效果好, 但需安装大量的服务器, 成本高、配置复杂, 也需更改客户端设置。
(2) 安装A R P防火墙[6]。常见的防火墙有彩影防火墙 (A n tIARP) 、金山防火墙、360防火墙、风云防火墙和瑞星防火墙等。其中风云防火墙适用于Windows XP、Windows2003等操作系统, 简单易用, 还提供TCP/IP终止、SSL终止、URL过滤、请求分析、等全面防护。对于Vista等操作系统, 则金山ARP防火墙更为合适。
(3) 也可在交换机端口上绑定IP和MAC地址, 限制ARP流量, 设置交换机的ARP信任端口, 开启端口上的ARP报文限速功能等措施杜绝ARP攻击。
(4) 用户的网络安全意识也很重要。不要随便接收、打开或运行陌生可疑文件和程序, 严禁访问不健康的网站, 养成及时更新操作系统补丁的好习惯。
4、结语
由于ARP协议存在的固有缺陷, ARP欺骗不能从根本上避免。因此我们只有清楚地了解ARP协议的工作原理和其存在的漏洞后, 才能够有效地检测和防御相应的欺骗攻击。本文在分析了ARP欺骗原理的基础上, 提出了多种可行的安全防御措施。这些防范策略也存在各自的局限性, 不可能对所有的ARP欺骗都能起到防范作用。在今后的检测上, 将趋向于如何综合利用上述检测方法, 达到互相补充、互相弥补、提高检测的精确度。当然解决ARP欺骗攻击最根本的方法应该是改进或扩展ARP协议, 甚至是重新设计一种安全的地址解析协议, 从根本上增强ARP协议的安全性, 这将是以后防御ARP欺骗研究的重点。
摘要:近年来对校园网造成巨大安全威胁的主要因素就是ARP欺骗, 其攻击通常会导致用户账号、密码丢失, 严重时无法正常访问网络。本文分析了ARP协议的工作原理以及ARP欺骗原理, 阐述ARP欺骗的主要类型, 并在此基础上, 通过对ARP协议分析及ARP欺骗分析, 提出了几种快速、有效防止ARP欺骗的措施以及技术实现要点。改进和完善ARP协议将成为ARP欺骗防御的发展趋势。
关键词:ARP,ARP欺骗,网络安全
参考文献
[1]孔政, 姜秀柱.DNS欺骗原理及其防御方案[J].计算机工程, 2010, 36 (3) :125-127.
[2]郭卫兴, 刘旭, 吴灏.基于ARP缓存超时的中间人攻击检测方法[J].计算机工程, 2008, 34 (13) :133-135.
[3]李俊民, 郭丽艳等.网络安全与黑客攻防 (第2版) [M].北京:电子工业出版社, 2010.
[4]李启南.基于FARIMA的ARP欺骗入侵检测[J].计算机工程, 2011, 37 (2) :139-140.
[5]秦丰林, 段海新, 郭汝廷.ARP欺骗的监测与防范技术综述[J].计算机应用研究, 2009, 26 (1) :30-33.
ARP欺骗的防御 篇2
关键词:ARP欺骗,原理,中毒现象,防御
随着网络技术日新月异的飞速发展,以太网技术由于标准化程度高、应用广泛、带宽提供能力强、扩展性良好、技术成熟,设备性价比高,对IP的良好支持,成为城域网和接入网的发展趋势。但是,以太网技术的开放性和其应用的广泛性,也带来了一些安全上的问题。2007年6月上旬,国家计算机病毒应急处理中心通报一种新型“地址解析协议欺骗”(简称:ARP欺骗)的恶意木马程序正在互联网络中传播。从此,ARP(Address Resolution Protocol)欺骗逐渐在小区网、校园网、企业网及网吧等局域网中蔓延,严重影响了正常网络通讯。因而如何有效防范ARP欺骗,避免受其影响,已成网络安全工作的重中之重。
一、ARP欺骗的原理及中毒现象
1. ARP欺骗的原理
ARP欺骗攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP病毒,则感染该ARP病毒的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
在局域网中,我们的通信一般都是通过ARP协议来完成IP地址到第二层物理地址(即MAC地址)的第二层转换。ARP协议对网络安全具有重要的意义。ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或“中间人”攻击。
ARP病毒是一种木马程序,其本质就是通过伪造IP地址和MAC地址实现欺骗,在网络中产生大量的ARP通信量使网络阻塞,或使信息流向实际并不存在的看似合法的“IP地址和MAC地址”主机,致使真实地接收方收不到信息。
2. 中毒现象
局域网出现突然掉线,过一段时间后又会恢复正常的现象;计算机系统也会受到影响,出现IP地址冲突,频繁断网、IE浏览器频繁出错,以及一些系统内常用软件出现故障等现象;严重时会导致整个局域网瘫痪。ARP欺骗病毒只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能引起整个网络瘫痪。该病毒发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。
二、ARP欺骗的主要方式及防御技术
1. ARP欺骗的主要方式
ARP欺骗性攻击常见有以下几种。
(1)“中间人”攻击,即冒充计算机欺骗计算机,达到信息截取或传播恶意程序目的。攻击源会以正常身份伪造虚假的ARP应答,欺骗其它计算机,结果其它计算机发给被冒充计算机的数据全部被攻击源截取。如果冒充计算机启动IP转发功能,将很容易获取发往被冒充计算机的数据而不被发现或传播恶意数据。
正常的传输方式:Host A—正常数据—Host B;“中间人”攻击传输方式:Host A—正常数据—Host C—修改好的数据(带有恶意的)—Host B。
(2)ARP报文泛洪攻击。攻击源伪造出大量的ARP报文(内含MAC和IP地址),对局域网内广播,造成设备的ARP表项溢出,影响正常用户的转发,干扰正常通信。
(3)冒充网关欺骗局域网内计算机。通过建立假网关,让被它欺骗的计算机向假网关发数据,而不能通过正常的路由途径上网。从用户的角度看来,就是上不了网或网络掉线了。
(4)冒充计算机欺骗网关。这个与“中间人”攻击类似,感染ARP病毒的计算机通知网关一系列错误的内网MAC地址,并按照一定的频率不断进行,致使真实的地址信息无法通过更新保存在网关ARP表中,结果网关发给正常计算机的数据被欺骗计算机拦截或发送给并不存在的错误的MAC地址,造成正常计算机无法收到信息。
2. 常用ARP欺骗的防御技术
(1)静态绑定。最常用的方法就是将IP和MAC作静态绑定,此方法适用于较小型网络。欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网计算机的欺骗。同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。
首先,在每台计算机上绑定网关IP和MAC。打开命令提示符窗口,输入命令:ARP-d,清除本地ARP缓存表,然后输入命令ARP-s网关IP网关MAC;也可将上述命令做成批处理放在启动项内,省去每次开机都要输入的麻烦。
其次,在交换机或路由器上,为每个网内IP对应的MAC地址进行静态绑定。对于内网IP是自动获取的方式,可以通过DHCP服务器进行设置IP与MAC的对应关系。
(2)安装ARP防护软件和杀毒软件。目前关于ARP类的软防火墙产品比较多,比较常用的有360安全卫士、彩影ARP防火墙、欣向巡路ARP工具和金山ARP防火墙等。常用的杀毒软件也比较多,国内品牌有瑞星、江民、金山毒霸等;国外品牌有卡巴斯基、Macfee等,但就目前使用效果而言,还没一款杀毒软件能真正查杀ARP病毒。
(3)使用具有ARP防护功能的路由设备。对于ARP病毒攻击,我们主要是通过在路由器与PC终端机进行双向绑定IP地址与MAC地址,这样即使出现ARP欺骗攻击,也不会使ARP表混乱,从而达到相应的防御目标。但是在路由器端与计算机端对IP地址与MAC地址的绑定比较复杂,需要查找每台计算机的IP地址与MAC地址,其工作量非常大,操作过程中出也容易出现问题。因而,就有了第3种防御方法,这样不但减小了工作量,而且可以有效地拒绝ARP对网关的欺骗,防止ARP病毒的攻击。
随着计算机技术的发展,ARP欺骗也在不断地发展和变化中,网络的安全需要广大网络用户和管理员共同努力,密切配合,提高警惕性,加强网络安全意识和责任感,从而减少ARP欺骗对网络的影响。
参考文献
[1]http://www.antivirus-china.org.cn/head/yubao/yubao_227.htm.
[2]华为技术有限公司.ARP专题学习指导.2-7.
[3]王坚,梁海军.ARP欺骗原理及其防范策略的探讨[J].计算机与现代化,2008,(2):100.
ARP欺骗的防御策略 篇3
关键词:ARP,ICMP,TCP/IP
1. ARP协议
1.1 ARP协议
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议。所谓地址解析就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议属于链路层协议,在以太网中数据帧从一个主机到达网内另一台主机是根据48位以太网地址(硬件地址)来确定接口,而不是根据32位IP地址。内核(如驱动)必须知道目的端的硬件地址才能发送数据。在安装了以太网网络适配器的计算机中都有专门的ARP缓存,包含一个或多个表,用于保存IP地址及经过解析的MAC地址。ARP协议对网络安全具有重要意义。通过伪造IP地址和MAC地址实现ARP欺骗,能在网络中产生大量ARP通信量使网络阻塞。
1.2 工作过程
当一个基于TCP/IP的应用程序需要从一台主机发送数据给另一台主机时,它把信息分割并封装成包,附上目的主机的IP地址。然后,寻找IP地址到实际MAC地址的映射,这需要发送ARP广播消息。当ARP找到了目的主机MAC地址后,就可以形成待发送帧的完整以太网帧头。最后,协议栈将IP包封装到以太网帧中进行传送。在每台主机的内存中,都有一个arp-->硬件mac的转换表。通常是动态的转换表(该arp表可以手工添加静态条目)。也就是说,该对应表会被主机在一定的时间间隔后刷新。这个时间间隔就是ARP高速缓存的超时时间。通常主机在发送一个ip包之前,它要到该转换表中寻找和ip包对应的硬件mac地址,如果没有找到,该主机就发送一个ARP广播包,于是,主机刷新自己的ARP缓存。然后发出该ip包。ARP协议只使用于本网络,不能通过IP路由器发送广播,所以不能用来确定远程网络设备的硬件地址。ARP协议的所有操作都是内核自动完成的,同其他的应用程序没有任何关系。
1.3 ARP协议的缺陷
ARP协议建立在信任局域网内所有节点基础上,高效但不安全。它是无状态的协议,不会检查自己是否发过请求包,也不管是否是合法的应答,只要收到目标MAC是自己的ARP reply包或ARP广播包(包括ARP request和ARP reply)都会接受并缓存。这就为ARP欺骗提供了可能,恶意节点可以发布虚假ARP报文,从而影响网内节点的通信。
2. ARP欺骗技术
2.1 ARP欺骗
ARP欺骗是指使用大量编造的MAC地址对网络发送数据包这样会导致ARP表快速膨胀从而降低网络质量。ARP欺骗的主要用途就是进行在交换网络中的嗅探。把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的。在特别安全的网络上,ARP映射可以用固件,并且具有自动抑制协议达到防止干扰的目的。
2.2 ARP欺骗的方法
ARP协议对于网络来说是一把双刃剑:一方面ARP协议是网络通信中不可或缺的协议,就好像是一个问路人,在一定程度上决定了数据的传输路径;另一方面,ARP协议又容易被攻击者使用,担当不恰当的角色。一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。
ARP欺骗是黑客常用的攻击手段之一,ARP欺骗分为两种:一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由途径上网。在PC看来,就是上不了网了,“网络掉线了”。
ARP病毒也叫ARP地址欺骗类病毒,这是一类特殊的病毒。该病毒一般属于木马病毒,不具备主动传播的特性,不会自我复制,但是由于其发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至比一些蠕虫病毒还要严重得多。ARP病毒发作时,通常会造成网络掉线,但网络连接正常,内网的部分电脑不能上网,或者所有电脑均不能上网,无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象,严重影响到企业网络、网吧、校园网络等局域网的正常运行。
3. 防御策略
ARP欺骗攻击存在的原因,究其根本在于ARP协议本身的不完善,要从根本上解决ARP欺骗的问题,必须要在局域网内的通信双方之间建立起一个可信任的验证体系。为了防范ARP攻击,我们给出一些初步的防御方法。
(1)做好IP-MAC地址的绑定工作(即将IP地址与硬件识别地址绑定),在交换机和客户端都要绑定,这是可以使局域网免疫ARP病毒侵扰的好办法。
(2)设置静态的mac-->ip对应表,不要让主机刷新你设定好的转换表。
(3)除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。在linux下可以用ifconfig-arp可以使网卡驱动程序停止使用ARP。
(4)使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器ARP广播,确保ARP服务器不被黑。
(5)使用代理网关发送外出的通讯。
(6)使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
(7)管理员定期用响应的IP包中获得一个RARP请求,然后检查ARP响应的真实性。
(8)管理员定期轮询,检查主机上的ARP缓存。
(9)修改系统拒收ICMP重定向报文。
(10)安装杀毒软件,及时升级病毒库,定期全网杀毒。
(11)使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
另外,在linux下可以通过在防火墙上拒绝ICMP重定向报文或者是修改内核选项重新编译内核来拒绝接收ICMP重定向报文。在Win2000下可以通过防火墙和IP策略拒绝接收ICMP报文。
4. 结束语
随着互联网的迅速发展,网络办公在各行各业得到充分应用,网络安全也成为企业关注的焦点。因为ARP而导致企业网络瘫痪的例子举不胜举,很多企业面对这些攻击束手无策。遭遇ARP欺骗攻击的网络,不仅严重影响办公效率,还可能泄露秘密,给企业带来不可估量的损失。因此,了解ARP欺骗的原理,采取相应的防范措施,是网络用户确保网络安全、避免损失一种途径,对网络安全具有重要的意义。
参考文献
[1]DOUGLAS E.COMER and DAVID L.STEVENS著.《用TCP/IP进行网际互连》.电子工业出版社,1998.
[2]WILLIAM STALLINGS著.《局域网与城域网》.电子工业出版社,1998.
ARP欺骗防御技术 篇4
ARP欺骗具有隐蔽性、随机性的特点, 在Internet上随处可下载的ARP欺骗工具使ARP欺骗更加普遍。目前利用ARP欺骗的木马病毒在局域网中广泛传播, 给网络安全运行带来巨大隐患, 是局域网安全的首要威胁。有时会出现网络设备完好, 运转正常的情况下, 局域网内用户上网速度缓慢甚至完全阻塞的情况, 这种现象往往是由于局域网内遭到ARP攻击引起的, 一些带有ARP欺骗功能的木马病毒, 利用ARP协议的缺陷, 像大规模爆发的流行性感冒一样, 造成网络时断时续, 无法正常上网。同时清理和防范都比较困难, 给不少的网络管理员造成了很多的困扰。
二、ARP协议概述
ARP协议全称为Address Resolution Protocol, 即地址解析协议, 是TCP/IP协议栈中的基础协议之一, 它工作于OSI模型的第二层, 在本层和硬件接口间进行联系, 同时为上层 (网络层) 提供服务。是将IP地址与网络物理地址一一对应的协议, 负责IP地址和网卡实际地址 (MAC) 之间的转换。也就是将网络层地址解析为数据链路层的M A C地址。在以太网中, 一个网络设备要和另一个网络设备进行直接的通信, 除了知道目标设备的I P地址外, 还要知道目标设备的M A C地址。A R P协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通讯的顺利进行。当一个网络设备需要和另一个网络设备通信时, 它首先把目标设备的I P地址与自己子网掩码进行“与”操作, 以判断目标设备与自己是否位于同一网段内, 如果目标设备与源设备在同一网段内, 则源设备以第二层广播的形式 (目标MAC地址全为1) 发送ARP请求报文, 在ARP请求报文中包含了源设备与目标设备的IP地址。如果目标设备与源设备不在同一网段, 则源设备首先把IP分组发向自己的缺省网关, 由缺省网关对该分组进行转发。
三、ARP协议的缺陷
1. 主机ARP列表是基于高速缓存动态更新的。
由于正常的主机间的MAC地址刷新都是有时限的, 这样恶意用户如果在下次交换之前成功地修改了被欺骗机器上的地址缓存, 就可以进行假冒或拒绝服务攻击。
2. 可以随意发送ARP应答分组。
由于ARP协议是无状态的, 任何主机即使在没有请求的时候也可以做出应答。因此任何时候发送ARP应答。只要应答分组是有效的, 接收到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机高速缓存。
四、ARP的主要攻击类型
ARP期骗是指利用ARP协议的漏洞, 通过向目标设备主机发送虚假的ARP报文, 达到监听或者截获目标主机数据的攻击手段。主要攻击类型:冒充主机欺骗网关 (对路由器ARP表的欺骗) 、冒充网关欺骗主机 (对内网P C的网关欺骗) 。
1. 冒充主机欺骗网关
攻击主机C发出一个报文, 其中源MAC地址为MAC C, 源IP地址为IP A。这样任何发往主机A的报文都会被发往攻击主机C。网关无法与真实主机A直接通信。假如攻击主机不断地利用自己的真实MAC地址和其他主机的IP地址作为源地址发送ARP包, 则网关无法与网段内的任何主机 (攻击主机C除外) , 进行直接通信。然而, 这种情况下, 交换机是不会产生任何报警日志的, 原因在于, 多个IP地址对应一个MAC地址在交换机看来是正常的, 不会影响其通过IP所对应的MAC来交付报文。
如果攻击者将网关ARP缓存中的MAC地址全部改为根本就不存在的地址, 那么网关向外发送的所有以太网数据帧会丢失, 使得上层应用忙于处理这种异常而无法响应外来请求, 也就导致网关产生拒绝服务 (不能响应外界请求, 不能对外提供服务) 。
2. 冒充网关欺骗主机
(1) 在主动攻击中, 攻击者C主动向A发送ARP应答数据包, 告诉A, B (网关) 的IP地址所对应的MAC地址是CC-CC-CC-CC-CC-CC, 从而使得A修改自己的ARP列表, 把B的IP地址对应的M A C地址修改为攻击者C的M A C地址。
(2) 同时, 攻击者C也主动向B发送ARP应答数据包, 告诉B, A的IP地址所对应的MAC地址是CC-CC-CC-CC-CC-CC, 从而使得B修改自己的ARP列表, 把A的IP地址对应的MAC地址修改为攻击者C的MAC地址。
(3) 从而使得A←→B之间的通信形式变成A←→C←→B, 实现了中间人攻击。
在被动攻击中, 攻击者C只在A或者B发送ARP请求数据包时, 延时一段时间发送应答数据包, 使得自己的应答包在正确的应答包之后到达, 防止自己修改的相应主机的ARP列表被正确的应答包再次修改。
那么主机A发往网关B的报文都会被发往攻击主机C, 造成主机A突然断网。如果攻击主机向网关B转发了来自主机A的报文, 那么主机A能通过攻击主机C继续上网, 但其上网质量完全取决于攻击主机C, 通常表现为时断时续。
例如, 网络上有3台主机, 有如下的信息:
主机名IP地址硬件地址
A 202.206.208.1 AA:AA
B 202.206.208.2 BB:BB
C 202.206.208.3 CC:CC
这三台主机中, C是一台被入侵者控制了的主机, 而A信任B, 入侵者的目的就是要伪装成B获得A的信任, 以便获得一些无法直接获得的信息等。
四、ARP欺骗防范和解决方案
1.手动防御
防御A R P欺骗的简单方法是网络管理员分别在主机和路由器上静态绑定
另一方面通过arp-s命令, 在PC上绑定网关的MAC和IP地址, 这样可以防御冒充网关欺骗主机的A R P欺骗。
另一种有效的手动防御方法是在局域网中增加VLAN的数目, 减少V L A N中的主机数量。局域网管理员可以根据本单位的网络拓扑结构划分若干个VLAN, 这样既能够在发生ARP攻击时减少所影响的网络范围, 又能够在发生ARP攻击时便于定位出现的网段和具体的主机。缺点同样是增加了网络维护的复杂度, 也无法自动适应网络的动态变化。
2.使用ARP服务器
在局域网内部的设置一台机器作为ASP服务器, 专门保存并且维护网络内的所有主机的IP地址与MAC地址映射记录, 使其他计算机的ARP配置只接受来自ARP服务器的ARP响应。当有ARP请求时该服务器通过查阅自己缓存的静态记录并以被查询主机的名义响应ARP局域网内部的请求, 从而防止了ARP欺骗攻击的发生。但是这个方法也有不足, 首先要保证ARP服务器不被攻击, 确保ARP服务器的安全;其次要保证主机只接受指定ARP服务器的ARP响应报文。如何做到这一点, 目前还是比较困难的。
3. ARP欺骗的解决措施
以上只是对A R P欺骗的防御手段, 但对于局域网中已经有机器中了A R P欺骗木马, 伪造网关, 则可采用以下方法解决。
判断攻击机的IP地址
某计算机所处网段的路由IP地址为xx.xx.xx.1, 本机地址为xx.xx.xx.8, 在计算机上DOS命令行中运行arp-a后输出如下:
C:Documents and SettingsAdministrator>arp-a
Interface:xx.xx.xx.8---0x10003
Internet Address Physical Address Type
xx.xx.xx.1 00-01-02-03-04-05 dynamic
其中, 00-01-02-03-04-05就是路由器xx.xx.xx.1对应的MAC地址, 类型为动态, 因此可被改变。正常情况下, xx.xx.xx.1和00-01-02-03-04-05始终对应。被攻击后, 重复使用该命令查看, 就会发现该MAC已经被替换成攻击机器的MAC, 而且攻击机器的M A C地址和真正的网关M A C地址会出现交替现象, 如
C:Documents and SettingsAdministrator>arp-a
Interface:xx.xx.xx.8---0x10003
Internet Address Physical Address Type
xx.xx.xx.1 00-01-02-03-04-05 dynamic
xx.xx.xx.6 00-01-02-03-04-05 dynamic
由此可判断xx.xx.xx.6的计算机就是攻击机, 接下来就要判断攻击机的MAC地址并对连接该主机端口进行定位, 定位操作主要通过S N M P协议完成。最后关闭交换机上受病毒感染的端口并对通过端口查出的相应用户进行彻底查杀。当然也可以直接下载ARP欺骗检测工具, 如ARP Checker可以有效的定位到发起ARP欺骗的主机。
五、结论
通过以上几种方法来解决A R P病毒对于局域网的欺骗攻击是比较有效果的。但是由于ARP病毒版本在不断更新升级中, 所以仍会给局域网用户带来新的冲击与危害。因此有必要提前做好局域网ARP病毒的防范工作, 使得ARP病毒的危害减少到最小程度。当然, 在网络安全领域, 没有任何一种技术手段可以解决所有的问题, 对于各种类型的网络攻击, 经常查看当前的网络状态, 对网络活动进行分析、监控、采取积极、主动的防御行动是保证网络安全和畅通的重要方法。网络管理员应当密切检查网络, 不断提高自身的技术水平, 确保网络安全的正常运行。
参考文献
[1]张胜伟:基于DAI的ARP欺骗深度防御[J].计算机安全, 2009, (01)
[2]李新:ARP欺骗防御技术的研究[J].商场现代化, 2008 (36)
通过帧过滤自动防御ARP欺骗攻击 篇5
ARP欺骗攻击病毒的泛滥严重干扰网络的正常运行, 防治ARP欺骗攻击病毒成为网管人员的一项重要任务。病毒利用了一种通过ARP欺骗实现网络监听的技术。当LAN过渡到单播式交换型以太网之后, 基于广播式以太网的监听技术就失效了。但是很快有人发明了通过ARP欺骗在交换型以太网实现监听的技术。这种技术利用了ARP协议固有的两个漏洞:一是ARP协议缺乏身份认证的机制, 欺骗者可以构造假冒的ARP帧来假冒其它用户;二是利用免费ARP, 欺骗者可以随时广播假冒的ARP帧方便地实施假冒行为。图1是这种技术的原理图。C代表监听者, 它想监听A、B之间的通信。C事先向A发送假冒的免费ARP帧, 将自己假冒为B;同时向B发送假冒的免费ARP帧, 将自己假冒为A。这样A原本要发送给B的帧将错误地发送给C;B原本要发送给A的帧将错误地发送给C。C得以成功地拦截A、B之间的通信。为了防止监听行为被发现, C在A和B之间拦截数据的同时, 也中转A、B之间的帧。在A和B看来, 似乎一切正常。当然, 监听者也可以在转发帧前篡改帧, 或者有选择地丢弃某些帧, 以达到某种不可告人的目的。
ARP病毒不仅危害主机的安全, 而且会影整个LAN的正常运行, 甚至会使整个LAN瘫痪。经过分析, 主要原因如下: (1) ARP病毒要中转LAN内所有主机和网关之间的数据流, 这是个很大的开销。主机的处理能力有限, 如果流量大到感染病毒的主机一时无法处理, 来不及处理的数据要么延迟超时, 要么被丢弃掉, 这样就会出现掉线的情况。 (2) 当网络有多台主机中了ARP欺骗攻击病毒, 可能出现一些无法意料的情况, 比如形成数据传输环路, 生成大量数据垃圾, 堵塞网络。 (3) 病毒本身的Bug导致数据中转过程出现问题。不少病毒的框架代码是从网上下载的, 这些框架代码是演示性的, 并不完善。如果病毒编写者直接引用这些代码, 不加完善, 出问题是很正常的。如果帧中转机制出了问题, 出现掉线的情况就不奇怪了。
2 ARP欺骗攻击的检测
这种攻击的检测非常简单, 网络管理员可以在网关设备上显示ARP表来确定ARP欺骗攻击的存在。图2是个发生ARP欺骗攻击时的例子, 我们可以看到大量IP地址对应于同一个物理地址0090-2742-1c05, 这就是中了病毒的主机的物理地址, 它将许多其它IP地址对应的物理地址篡改成了它自己的物理地址。
3 ARP欺骗攻击的防治策略
查杀病毒是治本的方法。通过检查ARP表, 可以迅速获得中病毒主机的MAC地址。如果对主机的MAC地址做了登记, 可以很快的查出出问题的主机, 通知机主立即中断主机与网络的连接, 查杀病毒。只有当病毒清除完毕之后才可以恢复与网络的连接。
但是, 查找和清理病毒需要时间;有些不自觉的机主不积极配合也是个很大的问题。在病毒清除之前, 网络可能长时间出于瘫痪状态。所以还需要辅之以其它的一些手段。
从图1可以看出, 如果主机和网关采用静态绑定IP地址和MAC地址的方法可以有效的防止ARP欺骗攻击。为了防止病毒假冒网关的物理地址, 主机可以手工绑定网关的IP地址和它的物理地址。比如, Windows系统通过下面的命令将IP地址157.55.85.212和物理地址00-aa-00-62-c6-09绑定起来。
另外, 一些安全工具具备自动绑定网关IP地址和MAC地址的功能, 即使不熟练的用户也可以使用。
不过这只是解决了一半的问题, 网关也需要将LAN内的各个主机的IP地址和它们的物理地址绑定起来。这才是问题的关键, 因为在网关上绑定地址不是那么简单。网络中的主机如果很多, 工作量将特别大。而且, 一旦绑定工作完成, 新增用户、用户更换网卡或者修改IP地址都需要增加绑定关系或者修改绑定关系, 对于用户和网管人员来说都非常麻烦。
最好的解决方案是给网关设备开发抵抗ARP欺骗攻击的能力。随着ARP欺骗攻击日益普遍, 一些设备厂商开发了抵抗ARP欺骗攻击的技术, 作为产品的卖点。如果网络采用DHCP方式分配IP地址的话, 可以考虑采用DHCP Snooping技术。DHCP Snooping也是一种构建ARP表的技术, 但是它不是通过ARP协议。DHCP Snooping通过检测可信DHCP Server为主机分配IP地址的帧 (其中包含主机的物理地址和DHCP Server为它分配的IP地址) 来发现IP地址和物理地址的映射关系, 由此构建ARP表。由于它不是基于ARP协议的, 自然对ARP欺骗攻击免疫。可惜的是这种解决方案不具备通用性, 一是不是所有的网络都是采用DHCP来分配IP地址;二是这种方案对设备的要求高, 它需要将所有接入层交换机更换为支持DHCP Snooping的交换机, 代价太高了。
4 通过帧过滤防止病毒“污染”ARP表
在经过了一段时间的对付ARP欺骗攻击的实践后, 我们发现过滤假冒ARP帧是一种防止病毒"污染"网关设备ARP表的有效方法。它具备代价小, 响应速度快的特点。
它的原理如下: (1) 发现攻击源的MAC地址; (2) 配置帧过滤规则, 拒绝接受来自攻击源的ARP帧; (3) 清除ARP表中和攻击源有关的条目
通过上述步骤, 交换机不再接收任何来自攻击源的ARP帧, 攻击源也就无法污染交换机的ARP表了。下面以华为6509交换机为例, 介绍具体的实现方法。
发现攻击源MAC地址的方法在第二节已经介绍过了, 方法是搜索ARP表, 查找有多个条目的MAC地址。显示ARP表的命令是:disparp
要启用帧过滤模式, 首先要开启帧过滤模式, 相应的命令是:acl mode link-based
然后创建一个用于帧过滤的访问控制列表 (ACL) :acl name antiarpcheat link
上面的命令添加了一条名为antiarpcheat的帧过滤ACL。然后可以在这个ACL中加入对应的过滤规则, 比如:
acl name antiarpcheat link
rule 1 deny arp ingress 5078-4c71-194e
为名为antiarpcheat的ACL加入一条规则, 拒绝接受来自5078-4c71-194e的任何ARP帧。这条规则要起作用, 还需应用到对应的端口上 (端口号可以从ARP表中获得) , 比如:
接下来应该清除攻击源在ARP表中的假冒条目。可惜的是各种交换机都没有清除动态ARP条目的命令, 所以也无法实现这个功能了。不过这不是什么问题, 一旦攻击源的干扰消失, 通过超时和更新机制, ARP表会逐渐恢复正常的状态。
5 程序实现
程序采用Borland C++Builder 4.0开发, 采用图形化界面, 运行于Windows平台。程序有一个主窗口, 用来显示运行中的各种状态、操作和报警信息。程序菜单包括以下命令:
开始:连接并登录到交换机上, 然后启动定时器, 定时间隔默认是10秒。当定时时间到达后, 程序向交换机发送"disp arp"命令, 获得完整的ARP表。如果搜索ARP表发现可疑攻击源, 将发送警报 (通过声音报警并显示在主窗口内) , 并按照第4节介绍的方法构造过滤规则并应用到相应的端口上, 最后将操作显示于主窗口并记录于日志文件中。
停止:关闭定时器, 关闭到交换机的连接。
解除过滤:如果攻击源的病毒被清除, 需要解除对它的过滤。这个命令弹出一个对话框, 供管理员选择要解除过滤的主机MAC地址。当管理员选择好MAC地址并确定后, 程序负责将响应的过滤规则删除掉。
查看日志:显示程序运行日志信息。
选项:用于配置程序的各类选项, 包括定时器间隔、交换机IP地址和账号信息等参数的配置。
一般地, 这个程序运行在网络中心的工作站上。
摘要:本文介绍了ARP cheat attack的原理和危害, 讨论了ARP欺骗攻击的检测和防治策略, 特别是通过帧过滤程序自动防止这种攻击。
关键词:ARP欺骗攻击,防御,帧过滤
参考文献
[1]rfc-826-Ethernet Address Resolution Protoco
局域网ARP欺骗的分析和防御 篇6
关键词:局域网,ARP协议,ARP欺骗
随着信息技术的快速发展和日益普及, 信息网络已成为人们学习、生活、工作中的重要组成部分, 在日常业务中发挥着极其重要的作用, 但同时由于网络的开放性、共享性, 网络中存在很多不安全因素, 网络安全问题也越来越引起人们的关注[1,2]。在众多不安全因素中, 基于ARP欺骗的网络木马和病毒对网络的安全影响也越来越大[3]。该文对ARP协议内容、工作原理进行介绍, 对ARP协议漏洞和ARP欺骗原理进行说明, 并对ARP欺骗的日常诊断和预防进行解释。
1 ARP协议
1.1 ARP协议内容
ARP协议是“Address Resolution Protocol” (地址解析协议) 的缩写。在局域网中, 网络中实际传输的是“帧”, 帧里面有目标主机的MAC地址。在以太网中, 一个主机要和另一个主机进行直接通信, 必须要知道目标主机的MAC地址, 其一般通过地址解析协议获得。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。
1.2 ARP工作原理
ARP工作分为局域网和跨网段2种, 下面将局域网ARP工作原理 (图1) 介绍如下。
局域网内每台主机会在自己的ARP缓冲区建立1个ARP列表, 以表示IP地址和MAC地址的对应关系, 主机A在传输数据前, 首先要对初始数据进行封存, 在这个过程中, 会把目的主机B的IP地址和MAC地址封存进去, 在通讯最初阶段, 主机A只知道目的主机B的IP地址, 而不知道MAC地址。主机A首先将数据包中的目标IP地址在本地的ARP地址转换表中寻找对应的MAC地址, 如果有对应的地址, 则直接根据找到的MAC地址转发数据包。如果没有, 则通过广播方式发送1个含有目标主机B的IP地址, 被称为ARP请求的以太帧到局域网的其他主机, 请求含有该IP地址的主机回复需要的MAC地址信息数据包。局域网中的目标主机B在收到广播帧后, 就以1个ARP应答包的方式回复主机A, 该应答包中含有IP地址与MAC地址的对应表。主机A在收到应答包后, 就可以根据IP地址与MAC地址的对应表发送数据包。
2 ARP欺骗
2.1 ARP协议漏洞
ARP协议虽然是一个高效的数据链路层协议, 但是由于其设计前提是在网络绝对安全和信任的情况下进行的, 因此ARP协议存在着设计缺陷, 主要表现在以下方面:
(1) 局域网内主机间的通信是相互信任的, 出于传输效率上的考虑, ARP协议无需认证。只要收到局域网内的ARP应答包, 就将其中的MAC/IP协议刷新到本机的高速缓存中, 就被当做可信任的主机, 而没有检验其真实性的机制, 使得几个IP地址可以映射到同一物理地址上, 这是ARP协议的一个安全隐患。
(2) 主机地址映射表是基于高速缓存动态更新的。这是ARP协议的特色之一, 但也是安全问题之一。由于正常的主机间MAC地址刷新都是有时限的, 这样假冒者如果在下次更新前成功地修改了被攻击机器上的地址缓存, 就可以进行假冒或拒绝服务攻击。
(3) ARP请求以广播方式进行。这个问题是不可避免的, 因为正是由于主机不知道通信对方的MAC地址, 才需要进行ARP广播请求。这样, 攻击者就可以伪装ARP应答, 与广播者真正要通信的机器进行竞争, 还可以确定子网内机器什么时候会刷新MAC地址缓存, 以确保最大时间限度地进行假冒。
(4) 任何ARP响应都是合法的, ARP应答无需认证。由于ARP协议是无状态的, ARP协议并未规定主机在未收到查询时就不能发送ARP响应包, 任何主机即使在没有请求的时候也可以做出应答, 而且许多系统都会接受未请求的ARP响应, 并用信息篡改其缓存, 这是ARP协议的另一个隐患。
2.2 ARP欺骗原理
ARP协议是在网络绝对安全和信任的情况下进行工作的, 因此在局域网中, 不存在对ARP报文的真实性校验, 也就无法识别出伪造的ARP报文, 同时由于没有请求的ARP报文同样能被系统所接受, 并刷新目标系统的缓存, 而系统在进行ARP解析之前是以系统缓存不存在为前提的, 当有ARP响应报文不停地刷新缓存的时候, 系统就不会主动地发出ARP请求, 这就使得对ARP缓冲区进行欺骗成为一种可能。
ARP欺骗就是利用ARP协议的设计缺陷向目标主机发送伪造ARP响应报文, 目标主机接收伪造报文后更新系统ARP缓存, 在以后的地址解析中就落入预先设计好的陷阱。
ARP欺骗过程 (图2) 如下: (1) C发送ARP询问报文获取A的MAC地址, 向A发送内容包括B的IP地址、C的MAC地址的伪造响应ARP报文, C为了保证伪造报文的有效性, 每隔一段时间就发送一次伪造响应ARP报文。 (2) A根据C发送的伪造ARP报文更新自己的ARP缓冲区, 由于C发送伪造响应ARP报文的周期性使A一直处于被欺骗状态, 这样就成功实现了C对A的ARP欺骗。以后A发送给B的数据包全部被C获得, C同时为了隐蔽自己, 再将这些数据包转发给B, 这对A和B看来通信正常, 但数据包却被C非法获得。
注:1.A和B通信正常;2.发送伪造ARP响应报文;3.通过ARP欺骗窃取A发给B的数据包;4.为了隐蔽自己将数据包再转发给B。
3 检测和防御
3.1 ARP欺骗的检测
由于ARP欺骗的隐蔽性在局域网中很难被发现, 对网络安全构成严重危害, 因此在网络日常维护中有必要采取一些主动检测功能, 以保障整个网络的畅通。
(1) 作为网络管理员, 可以定期手动地发出ARP请求, 然后利用应答和缓存中的物理地址进行真实性校验;或者定期轮询, 检查主机上的ARP缓存, 看其中的记录变化, 从而得到可疑的ARP条目, 进行确定检测。
(2) 由于ARP缓冲区有效时间的限制, ARP欺骗报文必须不停地重复发送, 通过监听网络中的报文, 从大量的无请求ARP应答报文中, 可以检测出ARP欺骗的存在。
(3) 在交换机上检测IP地址、MAC地址和端口对应关系的变化, 从而得到伪造源地址的信息。
(4) 在Windows系统上, 最有效的是基于主机的SNMP TRAY报文的防护。因为Windows系统对于ARP表是通过内建的SNMP来进行管理的, 所以不管SNMP服务是否开启, 都可以很容易的通过SNMP TRAY达到ARP主动变化通知的目的。
3.2 ARP欺骗的防御
对于ARP欺骗的防御, 应该在日常工作中加强网络安全意识的同时以预防为主, 可以采取一些具体措施来防止ARP欺骗的发生。
(1) 用户端绑定或安装防御软件。 (1) 在用户端计算机上绑定交换机网关的IP地址和MAC地址, 首先, 用户在安全、信任的网络环境中在DOS提示符下用arp-a命令显示交换机的IP地址和MAC地址。其次, 用户用arp-s命令绑定交换机的IP地址和MAC地址。 (2) 在用户端计算机上安装360安全卫士、Anti ARP Sniffer、瑞星杀毒等防御软件。
(2) 交换机端绑定。在核心交换机上绑定用户主机的IP地址和网卡的MAC地址, 同时在网管交换机上将用户主机网卡的MAC地址和交换机端口绑定的双重安全绑定方式[4]。 (1) IP地址和MAC地址绑定。在核心交换机上将局域网内用户的IP地址和其网卡MAC地址一一对应进行全部绑定, 这样可以极大程度的避免非法用户使用ARP攻击或盗用合法用户的IP地址进行流量的盗取。 (2) MAC地址和交换机端口的绑定。根据局域网用户所在区域、房间、楼体的不同, 将用户计算机的网卡MAC地址和交换机端口进行绑定, 可以防止非法用户随意接入网络。
(3) 采用VLAN技术隔离端口。局域网的网络管理员可根据本单位网络的拓扑结构, 具体规划出若干个VLAN, 当发现有非法用户在恶意利用ARP攻击网络, 或因合法用户受ARP病毒而影响网速时, 网络管理员可利用技术手段查找该用户所在的交换机端口, 然后将该用户与其它用户进行物理隔离, 以避免对其他用户的影响, 从而达到安全防范的目的。
(4) 设置ARP服务器。指定局域网内的一台计算机作为ARP服务器, 专门保存并且维护可信范围内的所有主机和IP地址与MAC地址映射记录, 该服务器通过查询自己的ARP缓存的静态记录并以被查询主机的名义响应局域网内部的ARP请求, 同时设置局域网内部的其他主机只使用来自ARP服务器的ARP响应。
4 小结
在计算机网络盛行的今天, 网络已经成为政治、经济、军事、文化和生活中不可缺少的重要组成部分, 在给人们带来方便和机遇的同时, 由于网络自身的设计缺陷和木马病毒等不安全因素, 网络安全问题变的越来越重要, 也越来越引起人们的关注, 如何在保证自身安全的情况下充分利用网络已经成为人们研究的课题。
参考文献
[1]沈继锋, 刘同明.一种交换式网络内的ARP欺骗的解决方案[J].现代计算机, 2006 (1) :39-41.
[2]李海鹰, 程灏, 吕志强, 等.针对ARP攻击的网络防御模式设计与实现[J].计算机工程, 2005 (5) :170-171.
[3]任侠, 吕述望.ARP协议欺骗原理分析与抵御方法[J].计算机工程, 2003 (9) :127-128, 182.
ARP欺骗防御技术 篇7
关键词:ARP,机房,防御
1 ARP原理
ARP地址解析协议,是TCP/IP协议栈的一个协议,工作在OSI参考模型的第二层,对第三层提供服务。在局域网中,由于IP数据报文无法在数据链路层直接传送,源主机需要把网络层的IP数据报文封装成帧。帧里面包含目的主机的MAC地址,MAC地址是网卡物理地址。ARP协议负责找到目的主机IP地址对应的MAC地址,建立IP地址与MAC地址之间的映射关系,把其保存在ARP缓存中。用arp-a命令可以查看ARP缓存中IP地址与MAC地址的映射关系。
ARP数据包分为广播包和非广播包两种。广播包是发送给局域网内所有主机的ARP数据包;非广播包是发给局域网内特定主机的ARP数据包。
局域网中的2台主机H1和H2,IP地址分别为P1和P2,对应的MAC地址分别为M1和M2。主机H1需要与主机H2进行通信,首先查找自己的ARP缓存,有没有主机H2的MAC地址。如果有,那么主机H1直接与主机H2进行通信;如果没有,那么H1向局域网内发送一个MAC地址为“FF-FF-FF-FF-FF-FF”广播报文,询问所有主机“IP地址为P2的主机的MAC地址是多少?”。此时,局域网内的所有主机都会检查自己IP地址,如果发现不是发给自己的消息就丢弃这个数据包。主机H2发现P2正是本机的IP地址,在自己的ARP缓存中保存P1和M1的记录,然后给主机H1回复消息“IP地址为P2的主机的MAC地址是M2”,当H1收到H2的回复消息,也把P2与M2的映射关系保存在自己ARP缓存中记录,然后双方就可以进行通信。
2 ARP欺骗原理和种类
为了快速查询,ARP缓存中只保存少量IP地址与MAC地址的映射记录,删除最近不使用的纪录,保持记录动态更新。由于ARP设计原因,存在以下缺陷:对于数据接受者来说,即使在没有发出ARP请求的情况下,主机仍然无条件地被动接受数据包,并不验证对方数据包的真实性,就进行ARP缓存动态更新;另外,对于发送数据者来说,主机可以随意发送伪造的ARP数据。由于ARP协议是无状态的,没有连接的,可信任的,没有安全机制的协议,这给计算机系统埋下了安全隐患。以下举例说明一个ARP欺骗过程。
局域网中的3台主机HA、HD和HS,对应的IP地址和MAC地址分别为IPA、IPD、IPS和MA、MD和MS。此时,主机HS需要与主机HD通信,在HS的ARP缓存中没有主机HD的MAC地址。那么主机HS就向局域网内发送一个广播信息“我是主机HS,IP地址为IPS,MAC地址为MS,需要知道IP地址为IPD的主机的MAC地址”。按照正常状态下,只有主机HD会答复这个广播请求,告诉主机HS,其IP地址是IPD,MAC地址是MD。但是同时,攻击者主机HA发送了虚假信息,不停地告诉HS“他的IP地址是IP,MAC地址是MA”。导致主机HA错认为IP地址为IPD主机MAC地址是MA,这样主机HA就完成了一个对主机HS的IP欺骗过程。以下是两类ARP欺骗的表现形式。
(1)ARP中间人攻击。攻击者主机隐藏在其它主机之间,成为“中间人”。如有三台主机:A、D和S。主机S与主机D进行通信,主机A是攻击者。主机A分别向主机S和主机D发送虚假的ARP数据包,使他们分别相信:主机A就是他们需要进行通信的主机S或主机D。当主机S和主机D进行通信的时候,主机A在他们之间建立了一种桥梁关系,即把S-D的通信方式变成为S-A-D。这样主机A成了他们的“中间人”,可以进行数据窃取等行为。
(2)拒绝服务攻击(DoS)。攻击者主机不断地发送大量无用的ARP数据包,迫使目标主机忙于响应异常请求,从而导致目标主机资源耗尽,无法对外提供正常服务。如果目标是网站服务器,那么可能造成客户机无法访问网页。
3 解决问题办法
3.1 日常管理和系统维护
规范学生上机行为,提高学生防病毒意识,教育引导安全使用计算机或网络。如使用存储设备前先查杀病毒,不随意点击陌生的网络链接,不打开有潜在危险的文件,不运行不安全的程序。
系统维护方面。安装并及时更新网络防火墙和杀毒软件;及时安装计算机操作系统补丁,关闭不必要的端口和共享服务;设置复杂的密码并定期更改;关闭不经常使用的账号。
3.2 静态绑定IP地址和MAC地址
由于ARP缓存动态更新,但是无法确定更新后的IP地址和MAC地址映射是否正确。静态绑定IP和MAC地址后,当某台主机需要查找其它主机的MAC地址时,不用发送广播数据包,直接可以在本机ARP缓存中找到正确的MAC地址。所以采用静态绑定IP和MAC地址的办法可以防止ARP欺骗发生。优点:操作简单,效果好;缺点:当需要绑定局域网内大量主机MAC地址时,虽然可以通过批处理程序减轻工作量,但是遇到经常更换IP或加入新主机时,工作仍然十分繁琐。
3.3 ARP服务器
由于静态绑定IP地址和MAC地址工作量大,所以可以通过设置ARP代理服务器来减轻工作量。ARP代理服务保存网内所有主机的IP地址和MAC地址正确映射关系。网内主机需要通信时,向ARP代理服务器发送请求,然后代理服务查询数据库中信息,反馈给主机MAC地址。这样即使遇到IP地址更换等情况,只要在代理服务器中修改相关记录。缺点:目前技术手段还不够成熟。
3.4 其它技术手段
采用VLAN技术,缩小广播域范围,阻断ARP欺骗扩散到整个网络;ARP欺骗检测,采用软件方式主动检测ARP数据包,预测分析ARP欺骗;使用加密技术,对信息进行加密,保证通信安全;使用第三层交换方式。
4 结束语
由于ARP协议设计缺陷,目前没有十分有效办法防治ARP欺骗。所以只有针对不同情况,采用灵活手段,才能做好ARP病毒的防范工作。
参考文献
[1]王燕,张新刚.基于ARP协议的攻击及其防御办法分析[J].北京:微计算机信息,2007,23(12-3).
[2]王小军.公共机房针对ARP欺骗的诊断分析与防御[J].上海:实验室研究与探索,2009(8).
