关键词:
arp协议分析实验报告(共7篇)
篇1:arp协议分析实验报告
信 息 网 络 技 术 实 验 报 告
实验名称
利用wireshark分析ARP协议
实验编号
6.1
姓名
学号
成绩
2.6常见网络协议分析实验
一、实验室名称:
电子政务可视化再现实验室
二、实验项目名称:
利用wireshark分析ARP协议
三、实验原理:
Wireshark:Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试获取网络包,并尝试显示包的尽可能详细的情况。网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具,Wireshark 是最好的开源网络分析软件。
当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时,是根据48bit的以太网地址来确定目的接口的.设备驱动程序从不检查IP数据报中的目的IP地址。地址解析为这两种不同的地址形式提供映射:32bit的IP地址和数据链路层使用的任何类型的地址。
ARP根据IP地址获取物理地址的一个TCP/IP协议。ARP为IP地址到对应的硬件地址之间提供动态映射。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存。
四、实验目的:
目的是通过实验加深对数据包的认识,网络信息传输过程的理解,加深对协议的理解,并了解协议的结构与区别。
利用wireshark捕获发生在ping过程中的ARP报文,加强对ARP协议的理解,掌握ARP报文格式,掌握ARP请求报文和应答报文的区别。
五、实验内容:
利用wireshark分析ARP协议
六、实验器材(设备、元器件)
运行Windows的计算机,带有并正确安装网卡;wireshark软件;具备路由器、交换机等网络设备的网络连接。
七、实验步骤:
1、查看本机WLAN接口IP,得到192.168.1.112。
2、利用arp –a命令在本地的ARP 缓存中查看IP-MAC对应表。
3、找到与接口192.168.1.112,有过连接的IP,本实验选择192.168.1.109。
4、利用arp-d 192.168.1.109,删除相应缓存记录。
5、打开wireshark网络分析器,选择捕获数据接口,WLAN接口,开始捕获。
6、输入命令,ping 192.168.1.109。
7、此时wireshark会捕获到相应分组数据,停止捕获。
八、实验数据及结果分析
1、请求报文:
由最上方报文信息可以看到,由于之前删除了IP-MAC对应表中IP:192.168.1.109的缓存,因此进行广播,发送查找IP为192.168.1.109的主机,并要求将结果返回给IP地址为192.168.1.112的主机即本机,使用的协议是ARP协议。(1)分析第一行,帧的基本信息:
由结果分析可以得到: 帧的编号(Frame Number):856 帧的长度(Frame Length):42个字节 捕获到的长度(Capture Length):42个字节
帧被捕获的日期和时间(Arrival Time):2016年5月29日,23点15分45.851354000秒
距离前一个帧的捕获时间(Time delta from previous captured/displayed frame0.442497000秒
距离第一个帧的捕获时间差(Time since reference or first frame):181.741785000秒 帧装载的协议:eth:ethertype:arp
(2)分析第二行,数据链路层:
由结果分析得到:
目的地址(Destination):Broadcast(ff:ff:ff:ff:ff:ff)源地址(Source):HonHaiPr_3f:8a:55(b0:10:41:3f:8a:55)协议类型:ARP(0x0806)
(3)分析第三行,ARP协议:
由结果分析得到:
硬件类型(Hardware type):Ethernet(1)协议类型:IPv4(0x0800)硬件信息在帧中占的字节数(Hardware size):6 协议信息在帧中占的字节数(Protocol size):4 操作命令为:request(1)请求
发送方的MAC地址(Sender MAC address):HonHaiPr_3f:8a:55(b0:10:41:3f:8a:55)发送方的IP地址(Sender IP address):192.168.1.112 目标的MAC地址(Target MAC address):00:00:00_00:00:00(00:00:00:00:00:00)目标的IP地址(Target IP address): 192.168.1.109
2.响应报文:(1)截图:
由最上方报文信息可以看到,IP地址为192.168.1.109主机接收到该ARP请求后,就发送一个ARP的REPLY命令,其中包含自己的MAC地址。(1)分析第一行,帧的基本信息:
由结果分析可以得到: 帧的编号(Frame Number):857 帧的长度(Frame Length):42个字节 捕获到的长度(Capture Length):42个字节
帧被捕获的日期和时间(Arrival Time):2016年5月29日,23点15分41.911804000秒 距离前一个帧的捕获时间(Time delta from previous captured/displayed frame)0.060450000秒
距离第一个帧的捕获时间差(Time since reference or first frame):181.802235000秒 帧装载的协议:eth:ethertype:arp
(2)分析第二行,数据链路层:
由结果分析得到:
目的地址(Destination): HonHaiPr_3f:8a:55(b0:10:41:3f:8a:55)源地址(Source):HonHaiPr_ e1:3e:71(d0:7e:35:e1:3e:71)协议类型:ARP(0x0806)(3)分析第三行,ARP协议:
由结果分析得到:
硬件类型(Hardware type):Ethernet(1)协议类型:IPv4(0x0800)硬件信息在帧中占的字节数(Hardware size):6 协议信息在帧中占的字节数(Protocol size):4 操作命令为:reply(2)回应
发送方的MAC地址(Sender MAC address): HonHaiPr_e1:3e:71(d0:7e:35:e1:3e:71)发送方的IP地址(Sender IP address):192.168.1.109 目标的MAC地址(Target MAC address): HonHaiPr_3f:8a:55(b0:10:41:3f:8a:55)目标的IP地址(Target IP address): 192.168.1.112
九、实验结论
网络层使用IP地址,但在实际网络的链路上传送数据帧时,最终使用的是该网络的硬件地址。IP地址和下面的网络的硬件地址之间格式不同,在ARP的高速缓存中,存在其映射表。当一台主机在本局域网上向另一个主机发送IP数据包时,先在ARP高速缓存中查看是否其IP地址,再进行确定目的接口。发送时只知道目标IP地址,不知道其MAC地址,在数据链路层也不检查IP数据报中的目的IP地址。因此会使用ARP协议,根据网络层IP数据包包头中的IP地址信息解析出目标硬件地址(MAC地址)信息,以保证通信的顺利进行。
十、总结及心得体会
本实验利用wireshark抓取网络通信数据,分别给出了数据链路层和网络层数据传输的方式。直观的体现了当数据链路层不能解析IP地址时,ARP协议的作用。
在本次实验中,我掌握了wireshark的基本操作,加深了对数据包的认识,更进一步的理解了网络信息传输过程,对协议的理解也更为深刻,包括协议的结构与区别。与ARP有关的cmd命令,了解了IP/MAC信息的作用,更加直观的体会了主机间通信的过程。利用wireshark捕获发生在ping过程中的ARP报文,我加强了对ARP协议的理解,掌握了ARP报文格式以及ARP请求报文和应答报文的区别。
十一、对本实验过程及方式、手段的改进建议
1.首先要启动wireshark,并进行数据捕获,然后再去执行ping命令,避免捕获数据不及时。
2.在捕获到ping命令之后的数据后,及时停止捕获,避免捕获数据过多而不便于后续分析。
3.在筛选信息时,可以使用过滤器,搜寻与ARP协议有关的报文。
篇2:arp协议分析实验报告
2.2 实验内容 应用 TCP 应用程序传输文件,截取 TCP 报文,分析 TCP 报文首部信息,TCP 连接的建立过程,TCP 数据的编号和确认机制。
2.3 实验原理 TCP 协议是传输控制协议的简称,工作在网络层协议之上,是面向连接的,可靠的,端到端的传输层协议。
1)TCP 的报文格式 TCP 报文段分为头部和数据两部分,如图 1:
图 1
TCP 报文段的总体结构 TCP 首部 TCP 数据部分
TCP 报文段首部又分为固定部分和选项部分,固定部分为 20B,如图 2 所示,这些字段的组合实现了 TCP 的所有功能。
图 2 TCP 报文段的首部
0
源端口 目的端口 序号 确认号 头部 长度(4bit)
保留 U R G A C K P S H R S T S Y N F I N
窗口 校验和 紧急指针 选项(长度可变)
填充 TCP 采用传输输连接的方式传送 TCP 报文,传输连接包括连接建立、数据传输和连
接释放三个阶段。
2)TCP 连接的建立 TCP 连接建立采用“3 次握手”方式。
首先,主机 A 的 TCP 向主机 B 的 TCP 发出连接请求报文段,其首部中的同步位 SYN 应置 1,同时选择一个序号 X,表明在后面传送数据时的第一个数据字节的序号是 X+1,如图 3所示:
图 3
TCP 连接建立的 3 次握手过程
然后,主机 B 的 TCP 收到连接请求报文段后,若同意,则发回确认。在确认报文段中应将 SYN 和 ACK 都置 1,确认号应为 X+1,同时也为自己选择一个序号 Y。
最后,主机 A 的 TCP 收到 B 的确认后,要向 B 发回确认,其 ACK 置 1,确认号为 Y+1,而自己的序号为 X+1。TCP 的标准规定,SYN 置 1 的报文段都要消耗掉一个序号。同时,运行客户进程的主机 A 的 TCP 通知上层应用进程,连接已经建立。当主机 A 向 B 发送第一个数据报文段时,其序号仍为 X+1,因为前一个确认报文段并不消耗序号。
当运行服务器进程的主机 B 的 TCP 收到主机 A 的确认后,也通知其上层应用进程,连接已经建立。
另外,在 TCP 连接建立的过程中,还利用 TCP 报文段首部的选项字段进行双方最大报文段长度 MSS 协商,确定报文段的数据字段的最大长度。双方都将自己能够支持的 MSS 写入选项字段,比较之后,取较小的值赋给 MSS,并应用于数据传送阶段。
3)TCP 数据的传送 为了保证TCP传输的可靠性,TCP采用面向字节的方式,将报文段的数据部分进行编号,每个字节对应一个序号。并在连接建立时,双方商定初始序号。在报文段首部中,序号字段和数据部分长度可以确定发送方传送数据的每一个字节的序号,确认号字段则表示接收方希望下次收到的数据的第一个字节的序号,即表示这个序号之前的数据字节均已收到。这样既做到了可靠传输,又做到了全双工通信。
当然,数据传送阶段有许多复杂的问题和情况,如流量控制、拥塞控制、重传机制等,本次实验不探究。
被动打开 主动打开 确认
确认 连接请求
4)TCP 连接的释放 在数据传输结束后,通信的双方都可以发出释放连接的请求。TCP 连接的释放采用“4次握手”。如图
应 用 进 程 释放连接通知主机应用进程A不再发送报文确认 应用进程释放连接①②确认B不再发送报文FIN,SEQ-XACK,SEQ=Y,ACK=X+1FIN,ACK,SEQ=Y,ACK=X+1ACK,SEQ=X+1,ACK=Y+1AB 图 4 TCP 连接释放的 4 次握手过程 首先,设图 4 中主机 A 的应用进程先向其 TCP 发出释放连接的请求,并且不再发送数据。TCP 通知对方要释放从 A 到 B 这个方向的连接,将发往主机 B 的 TCP 报文段首部的中止位置 1,其序号 X 等于前面已传送过的数据的最后一个字节的序号加 1。
主机 B 的 TCP 收到释放连接通知后即发出确认,其序号为 Y,确认号为 X+1,同时通知高层应用进程,如图中的箭头①。这样从 A 到 B 的连接就被释放了,连接处于半关闭状态,相当于主机 A 对主机 B 说“我已经没有数据发送了。但是如果你还有数据要发送,我仍然接收。” 此后,主机 B 不再接收 A 发来的数据。但若主机 B 还有一些数据要发给 A,则可以继续发送(这种情况很少)。主机 A 只要正确收到数据,仍然向 B 发送确认。
若主机 B 不再向主机 A 发送数据,其应用进程就通知 TCP 释放连接,如图中的箭头②。主机 B 发出的连接释放报文段必须将中止位 FIN 和确认位 ACK 置 1,并使其序号仍为 Y(因为签名发送的确认报文段不消耗序号),但是还必须重复上次已经发送过的 ACK=X+1。主机A 必须对此发出确认,将 ACK 置 1,ACK=Y+1,而自己的序号仍然是 X+1,因为根据 TCP 标准,前面发送过的 FIN 报文段要消耗掉一个序号。这样就把 B 到 A 的反方向的连接释放掉。主机A 的 TCP 再向其应用进程报告,整个连接已经全部释放。
2.4 实验步骤 骤 步骤 1
在 Wireshark 中设置过滤条件,协议为 TCP
HTTP,地址为本机->any,并开始截获报文;步骤 2
打开 .,完成后,保存截获的报文并命名为“TCP 学号”,分析捕获的报文。
这里,TCP 的连接和建立采用的是:
三次握手
方式,本机是
192.168.3.3
,远端主机是 192.168.3.183。
步骤 3
分析 TCP 连接建立过程的前 3 个报文,填写下表 1:
表 表 1
TCP 建立过程的三个报文信息 字段名称 第一条报文 第二条报文 第三条报文
报文序号 1704 1716 1718 Sequence Nunber 830 849 835 ACK Number 289 291 237 ACK 1 291 1 SYN 1 1 1
步骤 4
分析截获报文中数据发送部分的第一条 TCP 报文及其确认报文,将报文中的字段值填写在表格 2 中。
表 表 2
TCP 报文首部信息
字段名 长度 字段值 字段意义 发送报文 确认报文 源端口 16 发送
目标端口 16 确认 端口号是唯一标识 序号 32
确认好 32 确认
头部长度 4
保留 6
保留字段 窗口 16
校验和 16
紧急指针 16
选项(长度可变)
步骤 5
TCP 连接建立时,其报文首部与其它 TCP 报文不同,有一个 option 字段,它的作用是什么?结合 IEEE802.3 协议规定的以太网最大帧长分析此数据是怎么得出来的? 步骤 6
分析 TCP 数据传送阶段的前 8 个报文,将报文信息填入表 3:
表 表 3
TCP 数据传送部分的前 8 个报文 报文序号 报文种类 序号字段 确认号字段 数据长度 被确认报文序号 窗口 3744 确认 289 1 324 289 123 3754 发送 1 0 66
16580 3764 确认 1 1 344 291 123 3784 发送 1 0 66
16579 3794 确认 237 1 290 237 123 3804 发送 1 0 66
16593 3814 确认 289 0 290 290 16768 3824 确认 290 1 290 290 16768
2.5
实验总结 在实验中,通过分析截获的 TCP 报文首部信息,可以看到首部中的序号、确认号等字段是 TCP 可靠连接的基础。
分析 TCP 头部信息,分析“3 次握手”过程。通过对数据传送阶段报文的初步分析,了解数据的编码和确认机制。
总之,TCP 协议中的各项设置都是为了在数据传输时提供可靠的面向连接的服务。
2.B 编程造 构造 UDP 数据包 部分 使用 C 语言构造 UDP 数据包程序。
1)UDP 首部和伪首部结构体定义
/* UDP 首部*/ struct udphdr{ unsigned short u_src;unsigned short u_dst;unsigned short u_len;unsigned short u_cksum;char u_data[U_MAXLEN];//UDP 中校验使用的伪首部 struct pseudo_header {int srcIp;short udp_len;char rsv;char protocol;unsigned short src_port;
};unsigned short dsc_port;unsigned short len;unsigned short check_sum;char data[2];};
2)构建 UDP 报文数据
篇3:arp协议分析实验报告
ARP欺骗具有隐蔽性、随机性的特点, 在Internet上随处可下载的ARP欺骗工具使ARP欺骗更加普遍。目前利用ARP欺骗的木马病毒在局域网中广泛传播, 给网络安全运行带来巨大隐患, 是局域网安全的首要威胁。有时会出现网络设备完好, 运转正常的情况下, 局域网内用户上网速度缓慢甚至完全阻塞的情况, 这种现象往往是由于局域网内遭到ARP攻击引起的, 一些带有ARP欺骗功能的木马病毒, 利用ARP协议的缺陷, 像大规模爆发的流行性感冒一样, 造成网络时断时续, 无法正常上网。同时清理和防范都比较困难, 给不少的网络管理员造成了很多的困扰。
二、ARP协议概述
ARP协议全称为Address Resolution Protocol, 即地址解析协议, 是TCP/IP协议栈中的基础协议之一, 它工作于OSI模型的第二层, 在本层和硬件接口间进行联系, 同时为上层 (网络层) 提供服务。是将IP地址与网络物理地址一一对应的协议, 负责IP地址和网卡实际地址 (MAC) 之间的转换。也就是将网络层地址解析为数据链路层的M A C地址。在以太网中, 一个网络设备要和另一个网络设备进行直接的通信, 除了知道目标设备的I P地址外, 还要知道目标设备的M A C地址。A R P协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通讯的顺利进行。当一个网络设备需要和另一个网络设备通信时, 它首先把目标设备的I P地址与自己子网掩码进行“与”操作, 以判断目标设备与自己是否位于同一网段内, 如果目标设备与源设备在同一网段内, 则源设备以第二层广播的形式 (目标MAC地址全为1) 发送ARP请求报文, 在ARP请求报文中包含了源设备与目标设备的IP地址。如果目标设备与源设备不在同一网段, 则源设备首先把IP分组发向自己的缺省网关, 由缺省网关对该分组进行转发。
三、ARP协议的缺陷
1. 主机ARP列表是基于高速缓存动态更新的。
由于正常的主机间的MAC地址刷新都是有时限的, 这样恶意用户如果在下次交换之前成功地修改了被欺骗机器上的地址缓存, 就可以进行假冒或拒绝服务攻击。
2. 可以随意发送ARP应答分组。
由于ARP协议是无状态的, 任何主机即使在没有请求的时候也可以做出应答。因此任何时候发送ARP应答。只要应答分组是有效的, 接收到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机高速缓存。
四、ARP的主要攻击类型
ARP期骗是指利用ARP协议的漏洞, 通过向目标设备主机发送虚假的ARP报文, 达到监听或者截获目标主机数据的攻击手段。主要攻击类型:冒充主机欺骗网关 (对路由器ARP表的欺骗) 、冒充网关欺骗主机 (对内网P C的网关欺骗) 。
1. 冒充主机欺骗网关
攻击主机C发出一个报文, 其中源MAC地址为MAC C, 源IP地址为IP A。这样任何发往主机A的报文都会被发往攻击主机C。网关无法与真实主机A直接通信。假如攻击主机不断地利用自己的真实MAC地址和其他主机的IP地址作为源地址发送ARP包, 则网关无法与网段内的任何主机 (攻击主机C除外) , 进行直接通信。然而, 这种情况下, 交换机是不会产生任何报警日志的, 原因在于, 多个IP地址对应一个MAC地址在交换机看来是正常的, 不会影响其通过IP所对应的MAC来交付报文。
如果攻击者将网关ARP缓存中的MAC地址全部改为根本就不存在的地址, 那么网关向外发送的所有以太网数据帧会丢失, 使得上层应用忙于处理这种异常而无法响应外来请求, 也就导致网关产生拒绝服务 (不能响应外界请求, 不能对外提供服务) 。
2. 冒充网关欺骗主机
(1) 在主动攻击中, 攻击者C主动向A发送ARP应答数据包, 告诉A, B (网关) 的IP地址所对应的MAC地址是CC-CC-CC-CC-CC-CC, 从而使得A修改自己的ARP列表, 把B的IP地址对应的M A C地址修改为攻击者C的M A C地址。
(2) 同时, 攻击者C也主动向B发送ARP应答数据包, 告诉B, A的IP地址所对应的MAC地址是CC-CC-CC-CC-CC-CC, 从而使得B修改自己的ARP列表, 把A的IP地址对应的MAC地址修改为攻击者C的MAC地址。
(3) 从而使得A←→B之间的通信形式变成A←→C←→B, 实现了中间人攻击。
在被动攻击中, 攻击者C只在A或者B发送ARP请求数据包时, 延时一段时间发送应答数据包, 使得自己的应答包在正确的应答包之后到达, 防止自己修改的相应主机的ARP列表被正确的应答包再次修改。
那么主机A发往网关B的报文都会被发往攻击主机C, 造成主机A突然断网。如果攻击主机向网关B转发了来自主机A的报文, 那么主机A能通过攻击主机C继续上网, 但其上网质量完全取决于攻击主机C, 通常表现为时断时续。
例如, 网络上有3台主机, 有如下的信息:
主机名IP地址硬件地址
A 202.206.208.1 AA:AA
B 202.206.208.2 BB:BB
C 202.206.208.3 CC:CC
这三台主机中, C是一台被入侵者控制了的主机, 而A信任B, 入侵者的目的就是要伪装成B获得A的信任, 以便获得一些无法直接获得的信息等。
四、ARP欺骗防范和解决方案
1.手动防御
防御A R P欺骗的简单方法是网络管理员分别在主机和路由器上静态绑定
另一方面通过arp-s命令, 在PC上绑定网关的MAC和IP地址, 这样可以防御冒充网关欺骗主机的A R P欺骗。
另一种有效的手动防御方法是在局域网中增加VLAN的数目, 减少V L A N中的主机数量。局域网管理员可以根据本单位的网络拓扑结构划分若干个VLAN, 这样既能够在发生ARP攻击时减少所影响的网络范围, 又能够在发生ARP攻击时便于定位出现的网段和具体的主机。缺点同样是增加了网络维护的复杂度, 也无法自动适应网络的动态变化。
2.使用ARP服务器
在局域网内部的设置一台机器作为ASP服务器, 专门保存并且维护网络内的所有主机的IP地址与MAC地址映射记录, 使其他计算机的ARP配置只接受来自ARP服务器的ARP响应。当有ARP请求时该服务器通过查阅自己缓存的静态记录并以被查询主机的名义响应ARP局域网内部的请求, 从而防止了ARP欺骗攻击的发生。但是这个方法也有不足, 首先要保证ARP服务器不被攻击, 确保ARP服务器的安全;其次要保证主机只接受指定ARP服务器的ARP响应报文。如何做到这一点, 目前还是比较困难的。
3. ARP欺骗的解决措施
以上只是对A R P欺骗的防御手段, 但对于局域网中已经有机器中了A R P欺骗木马, 伪造网关, 则可采用以下方法解决。
判断攻击机的IP地址
某计算机所处网段的路由IP地址为xx.xx.xx.1, 本机地址为xx.xx.xx.8, 在计算机上DOS命令行中运行arp-a后输出如下:
C:Documents and SettingsAdministrator>arp-a
Interface:xx.xx.xx.8---0x10003
Internet Address Physical Address Type
xx.xx.xx.1 00-01-02-03-04-05 dynamic
其中, 00-01-02-03-04-05就是路由器xx.xx.xx.1对应的MAC地址, 类型为动态, 因此可被改变。正常情况下, xx.xx.xx.1和00-01-02-03-04-05始终对应。被攻击后, 重复使用该命令查看, 就会发现该MAC已经被替换成攻击机器的MAC, 而且攻击机器的M A C地址和真正的网关M A C地址会出现交替现象, 如
C:Documents and SettingsAdministrator>arp-a
Interface:xx.xx.xx.8---0x10003
Internet Address Physical Address Type
xx.xx.xx.1 00-01-02-03-04-05 dynamic
xx.xx.xx.6 00-01-02-03-04-05 dynamic
由此可判断xx.xx.xx.6的计算机就是攻击机, 接下来就要判断攻击机的MAC地址并对连接该主机端口进行定位, 定位操作主要通过S N M P协议完成。最后关闭交换机上受病毒感染的端口并对通过端口查出的相应用户进行彻底查杀。当然也可以直接下载ARP欺骗检测工具, 如ARP Checker可以有效的定位到发起ARP欺骗的主机。
五、结论
通过以上几种方法来解决A R P病毒对于局域网的欺骗攻击是比较有效果的。但是由于ARP病毒版本在不断更新升级中, 所以仍会给局域网用户带来新的冲击与危害。因此有必要提前做好局域网ARP病毒的防范工作, 使得ARP病毒的危害减少到最小程度。当然, 在网络安全领域, 没有任何一种技术手段可以解决所有的问题, 对于各种类型的网络攻击, 经常查看当前的网络状态, 对网络活动进行分析、监控、采取积极、主动的防御行动是保证网络安全和畅通的重要方法。网络管理员应当密切检查网络, 不断提高自身的技术水平, 确保网络安全的正常运行。
参考文献
[1]张胜伟:基于DAI的ARP欺骗深度防御[J].计算机安全, 2009, (01)
[2]李新:ARP欺骗防御技术的研究[J].商场现代化, 2008 (36)
篇4:ARP协议的安全问题和安全威胁
了解这些常识后,现在就可以介绍在以太网络中ARP欺骗是如何产生了,可以看看如下一个例子。
1.同网段ARP欺骗分析
如下所示,三台主机的IP地址和MAC地址分布如下:
A: IP地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AA;
B: IP地址 192.168.0.2 硬件地址 BB:BB:BB:BB:BB:BB;
C: IP地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC。
一个位于主机B的入侵者想非法进入主机A,可是这台主机上安装有防火墙。通过收集资料他知道这台主机A的防火墙只对主机C有信任关系(开放23端口(telnet))。而他必须要使用telnet来进入主机A,这个时候他应该如何处理呢?
入侵者必须让主机A相信主机B就是主机C,如果主机A和主机C之间的信任关系是建立在IP地址之上的。如果单单把主机B的IP地址改的和主机C的一样,那是不能工作的,至少不能可靠地工作。如果你告诉以太网卡设备驱动程序,自己IP是192.168.0.3,那么这只是一种纯粹的竞争关系,并不能达到目标。我们可以先研究C这台机器,如果我们能让这台机器暂时当掉,竞争关系就可以解除,这个还是有可能实现的。在机器C宕掉的同时,将机器B的IP地址改为192.168.0.3,这样就可以成功的通过23端口telnet到机器A上面,而成功的绕过防火墙的限制。
上面的这种想法在下面的情况下是没有作用的,如果主机A和主机C之间的信任关系是建立在硬件地址的基础上。这个时候还需要用ARP欺骗的手段,让主机A把自己的ARP缓存中的关于192.168.0.3映射的硬件地址改为主机B的硬件地址。
我们可以人为地制造一个arp_reply的响应包,发送给想要欺骗的主机,这是可以实现的,因为协议并没有规定必须在接收到arp_echo后才可以发送响应包。这样的工具很多,我们也可以直接用Wireshark抓一个arp响应包,然后进行修改。
可以人为地制造这个包。可以指定ARP包中的源IP、目标IP、源MAC地址、目标MAC地址。这样你就可以通过虚假的ARP响应包来修改主机A上的动态ARP缓存达到欺骗的目的。
下面是具体的步骤。
(1)他先研究192.0.0.3这台主机,发现这台主机的漏洞。
(2)根据发现的漏洞使主机C宕掉,暂时停止工作。
(3)这段时间里,入侵者把自己的IP改成192.0.0.3。
(4)他用工具发一个源IP地址为192.168.0.3源MAC地址为BB:BB:BB:BB:BB:BB的包给主机A,要求主机A更新自己的ARP转换表。
(5)主机更新了ARP表中关于主机C的IP-->MAC对应关系。
(6)防火墙失效了,入侵的IP变成合法的MAC地址,可以telnet 了。
(7)上面就是一个ARP的欺骗过程,这是在同网段发生的情况,但是,提醒注意的是,在B和C处于不同网段的时候,上面的方法是不起作用的。
[NextPage]
2.不同网段ARP欺骗分析
假设A、C位于同一网段而主机B位于另一网段,三台机器的ip地址和硬件地址如下:
A: IP地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AA;
B: IP地址 192.168.1.2 硬件地址 BB:BB:BB:BB:BB:BB;
C: IP地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC。
在现在的情况下,位于192.168.1网段的主机B如何冒充主机C欺骗主机A呢?显然用上面的办法的话,即使欺骗成功,那么由主机B和主机A之间也无法建立telnet会话,因为路由器不会把主机A发给主机B的包向外转发,路由器会发现地址在192.168.0.这个网段之内。
现在就涉及另外一种欺骗方式--ICMP重定向。把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的。
ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下,当路由器检测到一台机器使用非优化路由的时候,它会向该主机发送一个ICMP重定向报文,请求主机改变路由。路由器也会把初始数据报向它的目的地转发。
我们可以利用ICMP重定向报文达到欺骗的目的。下面是结合ARP欺骗和ICMP重定向进行攻击的步骤。
(1)为了使自己发出的非法IP包能在网络上能够存活长久一点,开始修改IP包的生存时间TTL为下面的过程中可能带来的问题做准备。把TTL改成255。(TTL定义一个IP包如果在网络上到不了主机后,在网络上能存活的时间,改长一点在本例中有利于做充足的广播)。
(2)下载一个可以自由制作各种包的工具(例如hping2)。
(3)然后和上面一样,寻找主机C的漏洞按照这个漏洞宕掉主机C。
(4)在该网络的主机找不到原来的192.0.0.3后,将更新自己的ARP对应表。于是他发送一个原IP地址为192.168.0.3硬件地址为BB:BB:BB:BB:BB:BB的ARP响应包。
(5)现在每台主机都知道了,一个新的MAC地址对应192.0.0.3,一个ARP欺骗完成了,但是,每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的IP包丢给路由。于是他还得构造一个ICMP的重定向广播。
(6)自己定制一个ICMP重定向包告诉网络中的主机:“到192.0.0.3的路由最短路径不是局域网,而是路由,请主机重定向你们的路由路径,把所有到192.0.0.3的IP包丢给路由。”
(7)主机A接收这个合理的ICMP重定向,于是修改自己的路由路径,把对192.0.0.3的通信都丢给路由器。
(8)入侵者终于可以在路由外收到来自路由内的主机的IP包了,他可以开始telnet到主机的23口。
其实上面的想法只是一种理想话的情况,主机许可接收的ICMP重定向包其实有很多的限制条件,这些条件使ICMP重定向变得非常困难。
TCP/IP协议实现中关于主机接收ICMP重定向报文主要有下面几条限制。
(1)新路由必须是直达的。
(2)重定向包必须来自去往目标的当前路由。
(3)重定向包不能通知主机用自己做路由。
(4)被改变的路由必须是一条间接路由。
由于有这些限制,所以ICMP欺骗实际上很难实现。但是我们也可以主动地根据上面的思维寻找一些其他的方法。更为重要的是我们知道了这些欺骗方法的危害性,我们就可以采取相应的防御办法。
3.ARP欺骗的防御原则
我们给出如下一些初步的防御方法。
(1)不要把你的网络安全信任关系建立在IP地址的基础上或硬件MAC地址基础上,(RARP同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
(2)设置静态的MAC→IP对应表,不要让主机刷新你设定好的转换表。
(3)除非很有必要,否则停止使用ARP,将ARP作为永久条目保存在对应表中。在Linux下用ifconfig -arp可以使网卡驱动程序停止使用ARP。
(4)使用代理网关发送外出的通信。
篇5:arp协议分析实验报告
我们知道,当我们在浏览器里面输入网址时,DNS服务器会自动把它解析为IP地址,浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址(即MAC地址)的呢?在局域网中,这是通过ARP协议来完成的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。所以网管们应深入理解ARP协议。
一、什么是ARP协议
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
二、ARP协议的工作原理
在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如附表所示,
附表
我们以主机A(192.168.1.5)向主机B(192.168.1.1)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.1.1的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
三、如何查看ARP缓存表
ARP缓存表是可以查看的,也可以添加和修改。在命令提示符下,输入“arp -a”就可以查看ARP缓存表中的内容了,如附图所示。
用“arp -d”命令可以删除ARP表中某一行的内容;用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应。
篇6:arp协议分析实验报告
一、实验目的
1、学习掌握 SSL 协议的工作原理;
2、学习如何为网站实施 SSL 协议;
二、实验准备
1.上机前到机房网站上下载网络监控软件 EtherDetect 并安装好;.到机房网站上下载 upfile(测试用网站)到自己的机器上并用IIS 进行发布。
3.每两个同学一个小组,分组后到实验教师处登记。
三、实验内容步骤
1.SSL 证书的申请与安装(在局域网内部实现): 第一步:生成 CSR(证书请求申请)(1)访问 IIS Microsoft 管理控制台(MMC)。做法是:右键单击我的电脑并单击管理。此时就打开了计算机管理控制台,然后展开服务和应用程序部分,找到 Internet 信息服务并展开 IIS控制台。(2)选择自己希望安装服务器证书的特定 Web 站点,右键单击该站点并单击属性。(3)单击目录安全性选项卡,在安全通信部分单击服务器证书,这将启动 Web 服务器证书向导,单击下一步。
(4)选择创建一个新证书并单击下一步。
(5)选择现在准备请求,但稍后发送并单击下一步。
(6)在名称字段输入自己喜欢的名称,该名称将默认为为其生成CSR的Web站点的名称。
(7)在组织信息部分,输入自己的组织和部门信息,该信息必须准确无误,因为这将把这些凭证提供给第三方证书颁发机构,而我必须符合他们的证书授权。单击下一步进入站点的公用名称部分。
(8)站点的公用名称部分负责将证书绑定到我的Web 站点。对于 SSL 证书,输入主机名称和域名称。对于 Intranet 服务器,可以使用寄存站点的计算机的 NetBIOS 名称。单击下一步访问信息。
(9)输入国家、省/州、县市或地区信息。写出您的省/州以及国家或地区的全称,不要使用缩写。单击下一步。
(10)将文件保存为.txt 文件。当我实际向证书颁发机构发送请求时,必须将该文件的内容粘贴到请求中。该文件将被加密,并包含内容的标题和脚注。请求证书时必须同时包含标题和脚注。
(11)确认请求的细节,然后单击下一步完成,并退出 Web 服务器证书向导。
第二步:申请并安装SSL 证书(WEB 服务证书)(1)请登录颁发数字证书的网站,如下图所示:
选择“申请一个证书”,之后选择“高级申请”。
(2)在接着出现的界面上选择base64 编码方式来提交证书申请,然后点击“下一步”。
(3)在“提交一个保存的申请”栏目下,把刚刚生成的CRS 的*.txt 文本文件的内容复制到“base64 编码证书申请”框里,然后按“提交”。(4)下载你所申请的证书。请再次登录那个网址,点击如上图所示的 “查看挂起的证书申请的状态”,可下载并安装自已所申请的证书。第三步:安装证书:
(1)按“生成 CSR”一节中所描述的步骤打开 IIS MMC;(2)进入要在上面安装证书的 Web 站点的属性对话框;(3)单击目录安全性选项卡并单击服务器证书。这将启动 Web 服务器证书向导,单击下一步;
(4)选择处理挂起的请求并安装证书并单击下一步;
(5)浏览到你所保存的server.cer 文件。单击下一步两次,然后单击完成。你就可以看到“查看证书”和“编辑”两个按扭可用了你就可以点击“查看证书”查看你所安装的证书的相关信息。如下图所示 2.实施 SSL 连接
(1)从计算机的IIS 管理控制台中,右键单击您希望实施 SSL的Web站点,然后单击属性;
(2)单击Web站点选项卡。在Web站点标识部分,确保SSL端口字段的数值为443;(3)单击高级可以看到两个字段,IP 地址和Web站点的端口应该已经在此,Web站点有多个标识字段中列出。如果没有列出端口443,在此Web站点有多个 SSL 标识字段下面,单击添加。选择服务器的IP地址,并在SS 端口字段键入数值443。单击确定。
(4)单击目录安全性选项卡。请注意现在在安全通信部分,编辑是可用的。单击编辑,如下图所示
(5)选择需要安全通道(SSL)。备注:如果指定128位加密,使用40或56位加密 强度浏览器的客户将无法与您的站点通讯,除非他们升级加密强度;(6)如果指定 128 位加密,使用 40 或 56 位加密强度浏览器的客户将无法与您的站点通讯,除非他们升级加密强度。打开浏览器,试着用标准 http:// 协议连接您的 Web 服务器。如果实施了 SSL,您将收到如下错误消息:
The page must be viewed over a secure channel,The page you are trying to view requires the use of “https” in the address.(网页必须通过安全渠道查看。要求在您试图查看的网页地址中使
用“https”)。如下图所示
四、问题思考
1、SSL 实施到网站上后是如何保证数据安全的? 答:安全套接层协议采用Hash 函数和机密共享的方法来提供信息的完整性服务,建立客户机与服务器之间的安全通道,使所有经过安全套接层协议处理的业务在传输过程中能全部完整准确无误地到达目的地。
2、CSR 是如何产生的?
答:CSR的产生过程在上面的报告中我们已经做了陈述,具体是:(1)访问 IISMicrosoft 管理控制台(MMC)。(2)选择自己希望安装服务器证书的特定 Web 站点,右键单击该站点并单击属性。(3)单击目录安全性选项卡,在安全通信部分单击服务器证书,这将启动 Web 服务器证书向导,单击下一步。
(4)选择创建一个新证书并单击下一步。
(5)选择现在准备请求,但稍后发送并单击下一步。
(6)在名称字段输入自己喜欢的名称,该名称将默认为为其生成CSR的Web站点的名称。
(7)在组织信息部分,输入自己的组织和部门信息,该信息必须准确无误,因为这将把这些凭证提供给第三方证书颁发机构,而我必须符合他们的证书授权。单击下一步进入站点的公用名称部分。
(8)站点的公用名称部分负责将证书绑定到我的Web 站点。对于 SSL 证书,输入主机名称和域名称。对于 Intranet 服务器,可以使用寄存站点的计算机的 NetBIOS 名称。单击下一步访问信息。
(9)输入国家、省/州、县市或地区信息。写出您的省/州以及国家或地区的全称,不要使用缩写。单击下一步。
(10)将文件保存为.txt 文件。当我实际向证书颁发机构发送请求时,必须将该文件的内容粘贴到请求中。该文件将被加密,并包含内容的标题和脚注。请求证书时必须同时包含标题和脚注。
(11)确认请求的细节,然后单击下一步完成,并退出 Web 服务器证书向导
3、为何在我们申请的数字证书中,安装好后会有一个惊叹号?
答:对这个问题我们思考的结果是因为Windows没有足够的信息,不能验证该证书的缘故导致安装好后会有一个惊叹号。
篇7:arp协议分析实验报告
人们在尽情享用网络系统的同时,也面临各类安全威胁,如:隐私信息的泄露、网络个人口令信息的非法盗取、各类网络攻击的破坏等[1]。在常见的网络攻击行为中,欺骗技术应用极广,如:依靠IP地址欺骗实现的SYN洪水攻击和smurf攻击,利用ARP欺骗实现的ARP攻击。ARP攻击通过伪造ARP应答包并发送至目标主机,致使目标主机因受欺骗而导致通信内容的泄露或网络访问的受限[2]。
本文通过自主构建协议数据来呈现ARP攻击的原理,并在局域网环境下进行仿真,较为直观地呈现出该攻击的原理与方法,并据此给出防范ARP攻击的常用措施。
1 ARP攻击依赖的协议及原理分析
ARP攻击是通过向目标主机发送大量的ARP虚假信息来欺骗目标主机的,ARP虚假信息是以ARP应答包形式呈现的IP地址与ARP地址的映射关系。由于信息的海量,导致网络拥塞;又由于映射关系的不真实,导致目标主机被骗,进一步作为中间人,可非法获得双方的通信信息或实现信息的非法篡改。
由于ARP攻击是利用ARP协议实施的,使其仅可在局域网范围内传播与相互感染,所以,校园网、企业网极易遭受的网络攻击中,ARP占据较大份额。
1.1 攻击依赖的ARP协议
本文在图1给定的网络结构中介绍和分析ARP协议原理和攻击原理。主机A、B为内网主机,通过网关GW与因特网相连,主机C位于因特网中。设定各个主机及网关接口的IP及MAC信息如表1所列。
以所有主机和网络设备刚开始运行为前提,当主机向外发送信息时,先判断目的主机与自身是否为同一网段,同一网段时,直接取出目的主机的MAC地址构建数据帧并发送;不同网段时,取出网关MAC地址生成数据帧发送出去[3]。
MAC地址会记录在本地主机的ARP缓存中,若缓存中未找到记录信息,需要向本网段广播查询ARP,这一过程使用ARP协议实现。仅有匹配IP的主机回应ARP,该ARP成为响应包。询问主机收到ARP响应包后会立即更新本地ARP缓存。
1.2 ARP攻击原理分析
ARP协议一个致命缺陷是主机接收ARP响应包时,不会验证数据源的真实性,也不核查是否发送过相应的请求,这一漏洞被攻击方挖掘利用,以虚假身份发送IP地址与虚假MAC映射的ARP响应给目标主机,致使ARP攻击产生[4]。
ARP攻击的两个典型例子:因特网接入失效和中间人攻击。
(1)因特网接入失效攻击方法分析
以图1所示网络连接为例,设攻击方为主机A,攻击目标为主机B。导致主机B无法接入因特网,即无法主动与因特网主机通信,实现的关键是让主机B无法与网关GW/0接口通信。如果主机B本地的ARP缓存中,记录的网关GW/0接口的MAC错误,就可实现该要求。
如此,在攻击方主机上,产生网关GW/0接口IP和虚假MAC映射的ARP响应包,发送给主机B,主机B会更新本地ARP缓存,之后的因特网主机访问均会失效。
(2)中间人攻击方法分析
所谓中间人攻击,是指攻击方截获通信双方的数据,并进行篡改。过程示意图如图2所示。对通信数据的简单截获只能泄露,无法篡改。要篡改通信数据,必须改变数据的流向。图2所示的通信过程,B主机发往C主机的通信数据先流向攻击方A主机,再经攻击方发往C主机,另一方向通信也是这样进行的。
该过程中,攻击方需要分别对B主机和C主机进行攻击欺骗:告之B主机,自己是C主机;告之C主机,自己是B主机。在图1所示的网络环境中,B主机与C主机在两个网段,需要经过网关进行数据转发。“告之B主机,自己是C主机”应当设计为“告之B主机,自己是GW/0”,“告之C主机,自己是B主机”应当设计为“告之GW/0,自己是B主机”。
该处的设计与“断网”攻击有所区别,“告之B主机,自己是GW/0”,这样做是为了截获主机B发出的信息,应当让主机B具有GW/0接口IP与A主机MAC的映射信息,可以通过发送ARP响应包来实现。“告之GW/0,自己是B主机”,该欺骗的实现是向网关GW/0接口发送ARP响应包,包含B主机的IP与A主机的MAC。
当两个ARP响应包被海量发往相应主机时,主机A作为通信双方的中间人,可接收主机B发来的通信数据,篡改后以主机B身份转给网关接口GW/0,最终提交给主机C;来自主机C的数据,原本发往主机B,但经网关GW/0接口转发后,交给主机A,主机A进行篡改后再以网关GW/0身份发往主机B,完成了一次完整的双方数据通信,并成功实现了ARP欺骗。
2 ARP攻击实验仿真
2.1 实验仿真涉及的网络命令
在实验仿真过程中,为便于查看和操作本地ARP缓存信息,可以在命令符窗口使用arp命令,下面以三项操作为例:
(1)ARP缓存信息:>arp-a
(2)清空ARP缓存信息:>arp-d
(3)静态绑定IP与MAC映射:
>arp-s IP_address MAC_address
2.2 ARP攻击仿真
本文所述的两种攻击方式的仿真,是借助数据包发送软件(本文使用了Colasoft Packet Builder)来实现的,用户也可以自行开发ARP协议数据发送程序。
(1)因特网接入失效攻击仿真
“因特网接入失效攻击”的仿真极为简单,只需发送一条ARP欺骗数据给目标主机即可。图3以1.2部分的攻击为例,给出了攻击方A应当产生的ARP响应包的相关协议字段信息。
分析图3,为了很好的隐藏自身,主机A常以虚假身份出现,即发送数据帧的源端信息可为伪造(如:66-66-66-66-66-66),目的端信息为主机B的MAC。在ARP响应包的数据部分,将源IP与MAC映射分别写为网关GW/0的IP和虚假MAC。对虚假MAC,可以是根本不存在的值,若攻击方有意要截获目标主机的数据,可将虚假MAC写为自己的,但这样易导致身份暴露。
当目标主机B收到该ARP响应包后,会取出ARP中的源IP(192.168.1.1)和源MAC(66-66-66-66-66-66),并将该映射写入本地ARP缓存中。当该欺骗信息海量地发往目标主机,目标主机将无法再获得正确的映射信息,导致无法接入因特网。
(2)中间人攻击仿真
对于“中间人攻击”,按本文给出的表1和图1信息,以1.2部分的攻击为例,给出了攻击方A应当产生的“告之B主机,自己是GW/0”和“告之GW/0,自己是B主机”的ARP响应包,对应的协议字段信息依次见图4和图5。
主机A在发送欺骗数据前,应当先执行捕包操作,当海量欺骗数据发送出去后,主机B与主机C之间产生的通信数据可被主机A捕获,执行篡改后,以原来数据的身份发送给相应主机(目标主机信息需要修改)。
(3)仿真安全性分析
由于ARP缓存信息设有有效期,若仿真数据仅发送极少的量,仿真效果不明显。仿真期间,建议“循环发送”。另,缓存信息的有效期特点,可以保证仿真结束后,被攻击主机可以很快获得真实的映射信息,进而实现更新。该仿真过程不会对目标主机造成破坏,也不会影响原有配置的。若目标主机的ARP缓存更新不理想,或仍然延续仿真阶段的状况,可在目标主机上运行arp–d命令,以清空缓存并强制更新,但考虑到攻击仿真期间的影响,应尽量在实验室环境中进行。
3 防范ARP攻击技术分析
通过上述攻击原理分析,可以得出:防止ARP欺骗就是在有效防范ARP攻击[5,6]。
3.1 PC机防范ARP攻击常用方法
导致ARP攻击产生的主要原因是ARP协议设计上存在的漏洞,该漏洞无法避免,且系统的ARP缓存更新方法也无法直接改变。
对PC机而言,有效防范的方法包括:
(1)静态绑定关键主机的IP与MAC
可以在PC机上绑定本地网关、网段内服务器等关键主机的地址映射信息。静态绑定映射信息可通过命令arp来完成,现在主机B上执行绑定命令,如下:
>arp–s 192.168.1.1 11-11-11-11-11-11
(2)及时查看ARP缓存以发现ARP攻击
ARP攻击产生时,可通过实时监测本地ARP缓存信息的变化来及时察觉。使用arp–a可查看本地ARP缓存信息。
ARP缓存中,若网关IP映射的MAC发生变化,或者,当出现多个IP与同一个MAC相绑定时,都将预示存在ARP攻击。
(3)使用流量监测软件发现ARP攻击
ARP攻击常会发送大量欺骗响应包至目标主机,在流量监测软件上,若发现大量ARP响应数据,要提高警惕。
(4)使用专门的ARP防范软件
目前,因特网上可以免费获取众多用于防范ARP各类攻击的软件,对于个人用户而言,若不具备较为专业的计算机网络管理知识,可以借助专用软件轻松实现攻击的有效防范。
3.2 对网段有效管理以防范ARP攻击
对整个网段,为有效防范ARP攻击,应将网段关键设备“网关”加以保护,以防范ARP的“中间人攻击”等。
在网关上常用的方法包括:
(1)静态绑定
将网段合法IP与相应MAC静态绑定,可防范非授权的信息访问和中间人攻击等。静态绑定被视为是有效的防范方法,但当绑定主机更换网卡后,需要及时更新绑定信息,因而,人工管理参与较多。
(2)ARP异常流量实时监测
网关时常是ARP攻击的目标,因此,应当具有实时监测ARP异常流量的功能,以及时发现攻击源,并进行有效处理[7]。
网段内一旦有主机感染ARP,极易在局域网内传播,为有效管理网段安全,应当找出ARP攻击源头。通常,当主机被ARP攻击时,缓存地址映射中,多个IP均指向的那同一个MAC,即为攻击的源端。
(3)ARP流量限制
除本文所介绍的两种ARP攻击形式外,当大量ARP响应包(可以不含欺骗信息,但通常是人为构造出来的)发往网关时,也可因大量ARP映射信息的写入导致ARP缓存空间占满而无法再写入其他主机的映射信息,进而导致网关与主机通信失败,该攻击形式称为ARP洪水攻击。因此,可在网关上增加ARP流量限制功能,以有效防范。
(4)选用具备ARP防护技术的网络设备
在众多网络设备厂商中,不少已在相应的网络设备功能中加入了ARP防护功能,可为网络的安全管理提供有利条件。
4 小结
ARP攻击利用了ARP协议的设计漏洞,通过伪造ARP应答包并发送给目标主机,致使目标主机因受欺骗而导致通信内容的泄露或网络访问的受限等。
本文以“因特网接入失效”和“中间人攻击”两种形式,分别在给定的网络结构中,介绍和分析ARP攻击的原理。通过自主构建协议数据,结合局域网结构进行仿真,给出了ARP攻击的协议字段信息,直观呈现出攻击的实施过程,为初学者提供了实践指导。
依据ARP攻击的实施原理,罗列出PC机与网络核心设备上,各自应当采取的常用防范措施,可为企业及校园网等局域网环境下有效防范ARP攻击提供参考与帮助。
参考文献
[1]陈明奇,姜禾,张娟等.大数据时代的美国信息网络安全新战略分析[J].信息网络安全,2012.
[2]Ma H,Ding H,Yang Y,et al.Bayes-based ARP att ack detection algorithm for cloud centers[J].Tsinghua Science a nd Technology,2016.
[3]谢希仁.计算机网络[M].电子工业出版社,2008.
[4]Wei Y,Xiaoliang X.AN ARP ATTACK-RESISTAN CE IMPROVEMENT WITH PRIORITY AND AUTHEN TICATION[J].Computer Applications and Software,2014.
[5]王力,李禹生,胡乐炜.基于SNMP与Win Pcap的ARP攻击实时检测与恢复[J].科技通报,2012.
[6]姚玉开,卢翠荣,孙冠婴等.解析Windows环境中基于ARP的网络攻防技术[J].网络安全技术与应用,2014.
[7]宋若宁.海量数据环境下的网络流量异常检测的研究[D].北京邮电大学,2015.
相关文章:
电气原理01-04
三角原理01-04
结构原理01-04
激励原理01-04
承 诺 书 - 安徽建筑大学01-04
泰勒原理01-04
初中生物启蒙教育教学01-04
基本原理01-04
TCP/IP详解之IP协议ARP协议和RARP协议01-04
驱动原理01-04