MAC地址欺骗

关键词： 地址

MAC地址欺骗（精选七篇）

MAC地址欺骗 篇1

ARP (Address Resolution Protocol) 是地址解析协议的简称, 是一种将IP地址转化为物理地址的协议。在OSI网络参考模型的第二层 (数据链路层) 中, 存在着两个子层:介质访问控制 (MAC) 和逻辑链路控制 (LLC) 。由MAC子层提供的最广为认知的服务或许就是它的地址了, 就像以太网的地址一样。在以太网中, 数据传输的目的地址和源地址的正式名称是MAC地址。此地址大多数情况下是独一无二的固化到硬件设备上的, 而IP地址所要转化的物理地址就是MAC地址。

在网络数据传输中实际传输的是“帧” (Frame) , 它以比特流的方式通过传输介质传输出去, 其中, 帧里面就包含有所要传送的主机的MAC地址。在以太网中, 一台主机要同另一台主机进行通信, 就必须要知道对方的MAC地址。但是, 我们如何知道这个MAC地址呢?这时就用到了地址解析协议。所谓“地址解析”, 就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。每台安装有TCP/IP协议的计算机主机里都有一个ARP缓存表, 表中的IP地址与MAC地址是一一对应的, 如下表所示:

二、A R P欺骗和攻击方式

1. 简单的欺骗攻击

这种欺骗方式是指:欺骗主机通过发送伪造的ARP包来欺骗网关和目标主机, 让目标主机认为这是一个合法的主机。包括以下情况:局域网主机冒充网关进行欺骗。假设有主机PC_A:当PC_A要与网关GW_C通讯时, 首先要知道GW_C的MAC地址, 如果局域网中另有一台主机PC_B冒充GW_C告诉PC_A:GW_C的MAC地址是MAC B, 那么PC_A就受骗了;或者直接告诉PC_A:GW_C的MAC地址是PC_X, 那么, 就会如同我们邮寄信件时写错了地址, 信件或者是发错了地方, 或者是根本就发送不出去。这样一来就会造成断线。

网络中通讯有一个前提条件, 也就是必须满足通讯双方都能向对方传送数据才会确保正常通讯, 即确保PC_A GW_C和GW_C PC_A的通讯都没有问题时, 才能确保通讯正常。假如有主机PC_B冒充PC_A, 告诉GW_C, PC_A的MAC是MAC B, 那么就会出现:当PC_A GW_C时没有问题, 可是当GW_C PC_A时就会出错, 造成网络断线的现象。

2. 基于ARP的“中间人攻击”

MITM (Man-In-The-Middle) 称为“中间人攻击”, 是一种“间接”的入侵攻击方式。这种攻击是利用一定手段在两台或多台主机之间人为地加入一台透明主机, 这台主机就称为“中间人”。“中间人”能够与原始主机建立连接、截获并篡改它们的通信数据。由于“中间人”对于原通信双方是透明的, 使得“中间人”很难被发现, 也就使得这种攻击更加具有隐蔽性。而其中“中间人”常用的一种手段就是通过ARP欺骗的方式来实现的。

假设有同一网段内的三台主机A, B, C。主机A, B为合法主机, C为“中间人”攻击者。如果主机C分别向主机A和C发送假消息, 即:告诉主机A, 主机C的MAC地址是MAC B, 同时告诉主机B, 主机C的MAC地址是MAC A。这样主机C就成功地成为了A与B的“中间人”。那么, A, B间正常的直接通信也会随之中断。取而代之的是A, B间每次进行信息交互时都要经过主机C。这样, 主机C就可以有办法监听A与B之间的通信, 达到监听的目的了。如果C不转发A与B之间的通信, 就会造成主机A, B之间的网络连接中断。

三、A R P欺骗解决方案

1. DHCP结合静态捆绑法

DHCP是Dynamic Host Configuration Protocol (动态主机分配协议) 缩写。要想彻底避免ARP欺骗的发生, 我们需要让每台计算机的MAC地址与IP地址唯一且对应。虽然我们可以通过为每台计算机设置IP地址的方法来管理网络, 但是, 对于那些通过ARP欺骗非法攻击的用户来说, 他可以事先自己手动更改IP地址, 这样检查起来就更加复杂了。这就需要进行IP与MAC的双向绑定, 也就是说, 在网关的交换机处静态绑定用户的MAC地址和IP地址的同时, 在客户端静态绑定网关MAC地址和IP地址以及同一网段的IP地址和MAC地址, 使之不再动态学习。但这只是一个理想的解决方案, 因为这样会大大加重网络管理的负担。网络管理员要非常熟悉交换机设备, 因为管理员要在交换机和客户端加入一台计算机并且添加一条记录, 否则将无法通信。这就需要提出一种更加全面立体的防御对策。

2. 两种主要的防御方案

(1) 使用路由器进行设置

为了防止局域网外部对局域网进行ARP攻击, 下面以阿尔法宽带路由器为例介绍基本的路由器ARP表绑定设置。在进行ARP绑定前首先要确定网络是正常运行的, 然后再进ARP绑定设置。具体设置如下:首先要启用ARP绑定功能, 其次要绑定ARP表。选择“ARP映射表”。

当确认这个表是正确的, 随后进行绑定操作, 为了在路由器重启后使这些绑定条目仍然有效, 可以选择“全部导入”把这些条目存入静态ARP表, 对于这个静态ARP映射表, 可以进行修改、删除、取消绑定等操作。如果已经知道局域网内主机的MAC地址, 也可以在这里手工输入MAC地址、IP地址来添加静态ARP映射条目。进行绑定置前要确认ARP缓存表是正确的。尽量手工设置电脑的IP地址, 如果是采用DHCP动态获取IP地址, 以后可能会出现获取到的地址与当前绑定的地址不一致而导致某些电脑不能上网。当更换电脑网卡时要更新静态ARP映射表。否则由于更换了网卡的主机的MAC地址与ARP表中的不一致, 也会导致无法上网。

(2) 客户端主机进行ARP绑定设置

至于个人电脑的绑定设置, 可以通过一些软件如Anti ARP-DNS, 或者一些自己编写的批处理文件使之能够静态绑定ARP缓存表, 此外, Windows Vista也提供了这样的功能。下面仅针对大多数用户介绍一种在命令提示符下绑定ARP缓存表的方法。

在本地主机上可以使用arp–a命令 (显示如下图) :

这就是主机中的ARP缓存表。其中, “dynamic”代表动态缓存, 即这项在收到一个ARP包时会被动态修改。如果更改的ARP缓存表中的“Physical Address”是被欺骗的虚假的信息, 当主机通过ARP缓存表按照提供的MAC地址进行通信时却不能找到正确的通信对象, 因此就不能和其他主机正常通信了。所以, 我们要手动建立起可信任的ARP缓存表。静态表的建立用arp-s IP MAC命令。

执行“arp–s 222.26.12.129 00-e0-fc-49-a9-fb”再次查看ARP缓存表 (显示如下图) :

此时“Type”项变成了“static”静态类型。在这种状态下, 在接收到ARP包时也不会改变本地缓存表, 从而有效地防止ARP攻击。由于静态的ARP缓存表在每次重启后都会自动恢复原来设置, 所以每次开机都需要重新设置。

综上所述, ARP协议自身的缺陷给网络尤其是局域网络的安全带来很大的隐患, 我们要高度重视。但是, 只要掌握了它的基本原理, 就可以从多方面下手, 杜绝隐患。

摘要：对校园局域网频繁发生的ARP欺骗的问题进行论证, 通过网管等实际生活中的例子加以解释, 介绍几种常见的ARP欺骗和攻击方式以及与MAC地址绑定的种种结合方式, 并且从客户端、网关等多个方面提出关于如何防御ARP攻击的多种方法, 以达到全面防御、维护局域网络安全的目的。

关键词：地址解析协议,ARP欺骗,MAC地址绑定,网络安全

参考文献

[1]赖利 (Riley, C.) , 等.ISCO网络核心技术解析[M].江魁, 等, 译.北京:水利水电出版社, 2005.

[3]王群.网络安全[M].北京:人民邮电出版社, 2007.

MAC地址欺骗 篇2

关键词：MAC地址；被动Wi-Fi；定位技术；数据挖掘

中图分类号：TP311.52 文献标识码：A 文章编号：1006-8937（2015）17-0059-03

1 研究背景

随着科学技术的高速发展和人们生活水平品质的不断提高，定位服务将成为IT业务范围内的重要组成部分之一。近几年来，各种定位技术不断发展，定位服务市场发展迅速，定位服务的需求量也日益趋增，定位技术也必将给诸多领域带来巨大的变革。目前，定位技术主要包括GPS定位技术，红外线室内定位技术，超声波定位技术，蓝牙技术，射频识别技术，超宽带技术，Wi-Fi技术，ZigBee技术。其中，GPS定位技术较为成熟，应用广泛，是获取室外环境位置信息的最常用方式。但由于卫星信号容易受到各种建筑物的遮挡，GPS定位技术并不适用于室内和建筑物密集的区域；随着智慧城市的建设，城市Wi-Fi热点的增多，近几年兴起的基于Wi-Fi网络的无线定位技术应用的日渐广泛，在室内定位领域优势明显，成为了GPS定位技术最好的补充。

现有的Wi-Fi定位技术主要运用于实时定位系统，提供基于位置的服务。另一方面，Wi-Fi定位技术可以通过对位置数据的收集和分析，将定位与个性化技术结合起来应用于商业领域。通过Wi-Fi定位，Wi-Fi网络的部署者可以获取用户的位置信息、行动轨迹，在海量数据的基础上，借助相应的数据分析软件，可以了解用户的消费习惯。如在大型购物商场中，通过历史数据分析得出某一Wi-Fi终端用户在商场的特定货区停留的频率较高，商场就可向该用户定向推送该货区的相关信息，方便用户购买商品并提高购买率。

在商业时代，广告已成为商家向消费者传统传递信息、提高知名度的常用手段。传统的广告投放模式分为以下几种：报纸杂志广告；电视广告；广播；户外广告媒体。经分析，这些广告模式普遍存在的问题有：

①有限的灵活性。广告主在遇到市场情况变化时，需变更广告内容困难，缺乏时效性；②缺乏及时性。广告的受众可能无法及时获取所需的广告信息；③缺乏针对性。大部分广告的投放对人群没有选择性，只对相当小比例的受众为有用信息，造成广告的覆盖面浪费。

为了改善传统广告模式，市场有如下几种应对策略，个性化推送技术就是在这种背景下产生：①会员模式。记录会员的消费信息，根据会员的历史消费记录，通过短信、电话等方式来推荐会员可能感兴趣的商品信息。这种推送方式存在数据量过大、推送不精确、推送成本过高、效率低下等缺点，无法大规模推广。②RTB（RealTimeBidding，实时竞价）模式。RTB广告是网络广告的一种，是一种在每个广告展示曝光的基础上进行实时竞价的广告类型。RTB广告的特点在于通过分析用户历史浏览记录，得出用户相关信息，如年龄、性别、兴趣爱好等。当用户打开网页时，网页会根据用户的兴趣爱好展示不同的广告。RTB模式放大了网络广告的指向性和精准度，使需求方的效益最大化。但RTB模式是依托于互联网平台，对线上用户兴趣爱好等信息进行挖掘，无法收集到用户线下的消费习惯，有一定的局限性。

针对以上问题，本论文提出了基于MAC地址收集与定位的智能广告定向推送方案。随着城市大型购物商城的增多，商业圈成为城市主要经济增长点，其辐射区域，包括小区、写字楼，地铁站，人流量巨大，是天然的广告投放平台，具有巨大的商业潜力。本方案基于这一背景，对现有的Wi-Fi定位技术进行改进，研发出被动Wi-Fi定位技术，该技术通过对智能手机MAC地址的收集，建立MAC地址到手机用户身份的一一映射，实现对大型购物商场消费者位置信息更加精确、灵敏地收集，同时借助数据挖掘技术对用户位置信息分析，得出消费者在这些区域的行为习惯，如经常停留在商场的特定货区。最后将这些行为习惯与用户消费倾向联系，即可对用户推送个性化的商品信息。本课题将用户的位置信息与消费习惯建立映射，进行广告的定向推送，填补了国内外这一研究领域的空白。

2 国内外研究现状

2.1 Wi-Fi定位技术

Wi-Fi定位技术最先由美国的SkyhookWireless公司提出，后来许多人对相关算法进行改进。Wi-Fi定位的原理为：Wi-Fi热点的位置通常固定不变，只要通电，都会向周围发射信号，该信号包含全球唯一的ID—MAC地址。通过侦测附近所有AP（Wi-Fi热点）的MAC地址，发送到相关位置服务器上，服务器通过数据库中已存在的MAC地址的坐标，计算出客户端的地址。这样，客户端只需侦听周围的AP，检测每个AP信号的强弱，发送给定位服务器，服务器根据这些信息，查询每个AP在数据库中记录的坐标，通过相关算法就能得出客户端的具体位置。

现有的Wi-Fi定位技术需要智能手机用户主动搜索AP热点，将AP的MAC地址上传给服务器，经服务器处理返回位置信息。定位过程需要用户的主动参与，如果AP部署者想主动收集大量用户的位置信息，这种定位技术便存在低效率的缺陷。

本课题提出的被动Wi-Fi定位技术对现有的Wi-Fi技术加以改进，从传统的用户客户端主动搜索AP地址转变为AP主动搜索用户客户端即智能手机的MAC地址。定位过程只需用户的智能手机终端开启Wi-Fi模式，无需用户的额外操作，具有简单、高效的特点。

2.2 个性化推荐技术

个性化推荐技术主要依托于大数据，利用数据挖掘等技术对数据进行分析得出规律性的结论。上文提到的RTB广告模式也是利用个性化推荐技术向用户投放其可能较为感兴趣的广告。2007年，雅虎推出了SmartAds广告方案。雅虎掌握了海量的用户信息，如用户的性别、年龄、收入水平、地理位置以及生活方式，再加上对用户搜索、浏览行为的记录，使得雅虎可以为用户呈现个性化的横幅广告。

在国内，个性化推荐技术也迅速发展，2009年7月，国内首个个性化推荐系统科研团队北京百分点信息科技有限公司成立，该团队专注于个性化推荐、推荐引擎技术与解决方案，在其个性化推荐引擎技术与数据平台上汇集了国内外百余家知名电子商务网站与资讯类网站，并通过这些B2C网站每天为数以千万计的消费者提供实时智能的商品推荐。在不远的将来，个性化推荐技术将是推送领域中的主潮流。

本课题提出的智能广告定向投放系统同样应用了个性化推荐技术。MAC地址装置收集的数据为用户的位置信息，数据收集后根据预先设定的关联规则从中根据提取出用户的相关信息与倾向，最后通过相应的推送设备实现广告的定向推送。

3 研究意义

在获取方式上：随着时代的发展，智能手机对人们生活的影响越来越大，基于位置的服务越来越受人们的重视。根据全球移动互联网数据发布平台——艾媒咨询发布的报告显示，在2013年10月香港举行的媒体大会中，业内人士预计到2015年，中国智能手机用户将达到6亿人。并根据相关的调查研究表明有80%的人习惯一直开着Wi-Fi，因此利用被动MAC地址定位技术的优势也就越发明显。这种技术相比传统的GPS定位和Wi-Fi定位，不仅弥补了GPS在建筑密集或者室内应用的限制，也避免了用Wi-Fi定位时对手机用户敏感信息的摄取。此获取方式新颖、创新，能够在手机用户不主动连接Wi-Fi的情况，获取其MAC地址，与用户的身份绑定度高，收集到大量的数据，更有利于数据的分析、研究，具有重要的社会意义。

在数据分析上：大数据时代的来临，意味着数据和信息对企业、商家的重要性，商家的决策不能依靠于感觉和经验，而应该基于数据的分析，数据量越大其分析结果越可信。由此可见，数据收集和数据分析的重要性，该系统可以根据用户大量的位置信息分析出消费者的消费倾向和兴趣爱好，应用了基于大数据的数据分析和数据挖掘的相关知识，在技术上具有很大的研究和实施价值。

在商业应用上：消费者的购物倾向是商家一直十分关注的问题，商家的决策往往依赖于消费者。广告是商家吸引消费者的重要方式之一，尤其是对非理性消费者，会起到十分明显的作用。该系统基于位置的营销策略具有很大的优势，能够精准投放广告，做到有的放矢，不再是普遍撒网的广投，而是具有针对性的智能投放广告，更加充分地利用了社会资源，强化了商家与客户之间的沟通，提高企业效率和顾客价值，因此具有很高的社会意义和商业应用价值。

在发展前景上：“智慧城市”是未来城市的发展方向，城市的智能化越来越受人们的关注。智能终端功能越来越强，应用越来越广，基于位置的个性化服务越来越受重视，电梯的普及度越来越高，该系统中利用电梯进行广告的投放，利用了电梯中信号屏蔽，定位精准的特点，使得此智能广告定向投放系统具有很高的效率，针对性显著。必将是未来广告投放系统的发展趋势，具有很好的发展前景。

4 课题主要内容

4.1 课题简介

本课题以大数据时代为背景，结合终端MAC地址采集技术、数据挖掘与数据分析以及终端即时推送技术，设计与开发针对移动终端一部分信息的采集、定位、分析后的定向推送的系统。项目前期包括对技术支持、硬件支持的研究，结合专业学习进行整体架构；中期主要为信息采集、分析与推送系统的构建与开发；后期包括对系统的评测与完善，商业化应用的研究与探索。

4.2 基本思路

任意一个网络设备一旦生产出来以后，其MAC地址永远唯一且不能由用户改变，因而可以根据一台拥有上网功能的移动终端的MAC地址唯一确定一个用户。并且终端通过网络发出请求或发送信息时，MAC地址作为终端信息会被放在数据包头部在数据链路层上进行传输识别，以区别于其他的网络终端设备。因此，对于打开Wi-Fi连接的移动终端，MAC地址信息采集器（即Wi-FiMonitors）可以收集分析从而得到移动终端的ID（MAC地址）、位置信息（以采集器的位置为基准的定位）。以这种形式作为一条数据信息，将这些数据信息通过服务器终端进行数据挖掘与数据分析得出一系列终端用户可能的个人倾向与喜好。在数据的采集与分析达到足够置信度时，若移动终端经过带有MAC地址信息采集器的终端投放屏幕，将其相关可能信息定向推送至终端屏幕，以此达到信息的定向推送，提高信息传递的效率与准确度。

4.3 研究方法

4.3.1 MAC地址的采集

理论上，在没有共用一个网络的情况下，MAC地址采集器可以通过移动终端探测附近有无可用Wi-Fi网络而发出的probe数据包的头部来分析出MAC地址。但在一般情况下，终端发出的请求频率过低或强度不够，使得MAC地址采集器难以捕获或搜集到。由于采集过程是基于硬件的接收与处理，在该层面上难以突破，因而需要转向提高手机终端发送probe数据包的频率和概率。

①利用仿真AP来模仿一些热门的公共Wi-Fi的SSID，刺激移动终端发出连接握手请求，同时发出probe数据包，被MAC地址采集器采集并收集。②在存在隐藏Wi-Fi的地方投放MAC地址采集器，利用终端设备主动连接隐藏Wi-Fi，将MAC地址等打包的信息在其可广播到的范围内广播并等待回应的动作，获取该终端设备的MAC地址。

然后通过实物测验，对不同情况不同距离的终端测试，借此来完善MAC地址的采集技术。

4.3.2 定位技术

根据之前选择获取MAC地址的方法，MAC地址采集器也可作为Wi-Fi定位AP对移动终端进行定位。

从硬件的角度来分析，由于WIFI定位是根据终端侦听周围有哪些AP以及各AP的信号强度以及数据库中各MAC地址所对应的AP物理位置计算出终端的位置，那么从理论上，终端侦听到的AP信号越多，定位就会越准确。结合本课题，依靠AP探测终端发射信号的强弱，利用组网AP也可用AP来定位移动终端，同理AP越多定位越准确。考虑到经济与定位精确度的矛盾，借助理论模型建立以及现实具体实验相结合的方式，得出两者的最优方案。

从软件方法的角度来分析，目前所用的定位算法为三边定位算法（所谓三边定位算法，就是指以三个AP为圆心，以AP到待测终端的距离为半径做圆，得到三个圆的焦点，建立方程求解出距离），但由于现实情况未知，往往不能很精准的三圆交于一点，存在不可控误差。我们期望借助于现有数学模型，如加入质心定位等，加之自己的应用实践得出一个较为准确可靠的定位算法。

4.3.3 数据挖掘与数据分析

对于某个采集器的一条信息，存储形式，见表1。

对于MAC地址采集器收集的大量数据在服务器端进行如下处理：

Tstay=Tend-Tstart

Tstay为该ID在此处的逗留时间Tmin；

规定用户在某处的最小可能逗留时间。

定义TimeID为该ID在该处出现的次数，当且仅当Tstay≥Tmin时，该条数据信息的分析流程如图2所示。

TimeID=TimeID+1

规定固定用户的出现次数阈值Timethreshold。

当且仅当TimeID≥Timethreshold时，表示该ID在此处达到可信水平，该用户为此处的固定用户，该处附近的信息对他有较大的价值，符合定向推送要求。

4.3.4 屏幕投放

屏幕投放是以MAC地址采集、定位、数据分析为前提，当经过分析后的终端再次经过带有MAC地址采集器的屏幕时，通过智能屏幕进行定向信息推送。

由于同一时间可能存在多个终端用户在此附近，推送信息的选择我们采取建立多元统计回归建模的方法，根据不同用户的偏好、偏好的相关性以及用户数量，结合实际情况通过屏幕传达较为准确与合适的信息。

考虑到先后顺序、临界资源以及系统的可靠性与稳定性，对输出设备——屏幕上锁，补充该算法，保证临界资源的稳定性，并结合实际情况创新突破，如提出一些可抢占临界资源的特殊情况、增加队列优先级序列表等。

参考文献：

[1] 时国怀.大数据时代，在街头安装收集移动设备MAC地址的Wi-Fi

装置，会否是新商机，有哪些运用可能

[3] 谢希仁.计算机网络[M].北京：电子工业出版社，2013.

[4] 雷地球，罗海勇，刘晓明.一种基于Wi-Fi的室内定位系统设计与实现[A].第六届和谐人机环境联合学术会议（HHME2010）[C].2010.

[5]陆霞.Wi-Fi定位技术——基于质心定位的三边定位算法的研究[J].电脑知识与技术：学术交流，2013，（9）.

[6] 李礁.基于SMS推送的Android定位寻人系统研究与实现[J].软件导刊，2013，（7）.

[7] 庞浩.基于WIFI定位技术的动线管理系统的研究与实现[D].上海：东华大学，2012.

[8] 李路明.基于WiFi定位的轨迹预测的研究和实现[D].西安：西安电子科技大学，2013.

MAC地址欺骗 篇3

目前, 利用ARP欺骗进行的网络攻击十分普遍, 然而, 随着网络管理防范意识的加强和各种防范ARP攻击措施如MAC与IP双绑定, PC安装ARP防火墙的实行, ARP攻击变的不再那么容易。可以说, ARP攻击和防御手段都已经日趋成熟。然而, 笔者目前发现交换环境下一种不同于A R P攻击的新的M A C欺骗攻击方式出现, 可以轻易的绕过A R P防火墙使现有的一些ARP攻击防范措施失效。

1 传统的ARP欺骗攻击分析

1.1 ARP欺骗攻击的原理

1.1.1 ARP协议原理

ARP协议 (Address Resolution Protocol) 即地址解析协议, 是局域网中解决I P地址到硬件M A C地址映射的协议。在TCP/IP参考模型中, IP地址只是主机在网络中的逻辑地址, 若将网络层中传输的数据报交给目的主机, 必须知道该目的主机的物理地址 (MAC地址) , 这是因为二层的以太网交换设备并不能识别32位的IP地址, 而是以48位的物理地址 (MAC地址) 传输以太网帧的;因此IP地址与MAC地址之间就必须存在一种对应关系, 并且计算机中应当存放这种对应关系的转换表, 同时能够进行动态更新, 而ARP协议就很好地解决了这些问题。

ARP协议工作的过程是:数据报时, 在其ARP表中查看有无主机B的IP地址。如有, 即可查出对应的MAC地址, 然后, 将该数据报发往此MAC地址。在查不到主机B的IP地址的情况下, 主机A就自动运行ARP, 并按照以下步骤找出主机B的M A C地址。

(1) A R P进程在本局域网上广播发送一个A R P请求分组, 此分组上有主机B的IP地址, 也有主机A自身IP到MAC地址的对应关系。

(2) 在本局域网中的所有主机上运行的ARP进程都收到此ARP请求分组。

(3) 主机B在ARP请求分组中见到自己的IP地址, 就向主机A以单播的形式发送一个A R P响应分组, 写入自己的MAC地址, 同时, 主机B将请求分组当中的主机A的IP地址到M A C地址的对应关系写入自己的A R P表当中。

(4) 主机A在收到主机B的ARP响应分组后, 就在其ARP表中写入主机B的IP地址到MAC地址的对应关系。

如上所述, ARP协议可以很好的保证同一网段内主机之间或者与网关之间的通信, 但是, ARP协议是基于网络之中所有的主机或者网关都是可以信任的前提工作的, ARP协议中缺乏认证机制, 局域网内的任何一台主机都可以随意的伪造ARP包, 因此, 针对ARP协议的攻击是很容易的。

1.1.2 ARP攻击过程

(1) 攻击者可在两台正在通信的主机A, B之间充当中间人 (man-in-the-middle) , 假冒主机B的IP地址, 而MAC地址为攻击者的M A C地址来欺骗主机A将数据发往攻击者的机器, 并且攻击者可开启IP路由功能, 将数据包再转发至主机B。同样, 对主机B可实施类似的欺骗, 因此, 主机A, B之间的所有通信内容都被攻击者窃听。

(2) 对主机A发送伪造的ARP应答报文, 假冒主机B的IP地址, 但MAC地址设为不存在的一个硬件地址, 主机A接收此报文后错误地刷新ARP高速缓存中主机B的IP地址与MAC地址的映射关系, 导致主机A与主机B的网络通信中断。这种方法属于拒绝服务 (Denial of Service, DoS) 攻击, 网络上流行的网络执法官等软件就是采用ARP欺骗机制, 发送错误的网关M A C地址给非法用户, 使其通信中断。

1.2 ARP欺骗攻击的防范

针对ARP欺骗, 解决办法有很多, 目前主要有主机与交换机双向的MAC地址绑定, 在PC端使用ARP防火墙等防护软件。

主机与交换机双向的MAC地址绑定是针对ARP欺骗动态实时更新的特点, 将IP和MAC静态绑定。在网关和主机都进行IP和MAC的绑定, 这样双向绑定令ARP欺骗无从进行。

ARP防火墙等防护软件一般有被动和主动防御的功能。被动防御方式中根据预先设定的网关静态的IP和MAC的绑定, 拦截伪ARP包, 保护ARP缓存, 从而实现保护。而主动防御方式则是在网络上不断广播主机正确的IP和MAC, 从而令伪ARP包建立的错误IP-MAC映射无法存在, 但会给这种方式网络带来一定负荷。

2 MAC欺骗攻击的分析

2.1 MAC欺骗攻击的原理

在交换环境中, 接入层交换机的转发过程是这样的:交换机的一个端口收到一个数据帧时, 首先检查改数据帧的目的MAC地址在MAC地址表 (CAM) 对应的端口, 如果目的端口与源端口不为同一个端口, 则把帧从目的端口转发出去, 同时更新M A C地址表中源端口与源M A C的对应关系;如果目的端口与源端口相同, 则丢弃该帧。交换机可以识别数据包中的M A C地址信息, 根据M A C地址进行转发, 并将这些MAC地址与对应的端口记录在自己内部的一个地址表中 (如图1) 。具体的工作流程如下:

(1) 当交换机从某个端口收到一个数据包, 它先读取包头中的源M A C地址, 这样它就知道源M A C地址的机器是连在哪个端口上的。

(2) 再去读取包头中的目的MAC地址, 并在地址表中查找相应的出往端口。

(3) 如表中有与这目的MAC地址对应的端口, 把数据包直接复制到这端口上。

(4) 如表中找不到相应的端口则把数据包广播到所有端口上, 当目的机器对源机器回应时, 交换机又可以学习一目的MAC地址与哪个端口对应, 在下次传送数据时就不再需要对所有端口进行广播了。

不断地循环这个过程, 对于全网的MAC地址信息都可以学习到, 交换机就是这样建立和维护它自己的地址表, 这是交换机的基本工作过程 (如图1) 。

现有如下的工作场景:一个4口的switch, 端口分别为Port.A、Port.B、Port.C、Port.D对应主机A, B, C, D, 其中D为网关。当主机A向B发送数据时, A主机按照OSI往下封装数据帧, 过程中, 会根据IP地址查找到B主机的MAC地址, 填充到数据帧中的目的MAC地址。发送之前网卡的MAC层协议控制电路也会先做个判断, 如果目的MAC相同于本网卡的MAC, 则不会发送, 反之网卡将这份数据发送出去。Port.A接收到数据帧, 交换机按照上述的检查过程, 在MAC地址表发现B的MAC地址 (数据帧目的MAC) 所在端口号为Port.B, 而数据来源的端口号为Port.A, 则交换机将数据帧从端口Port.B转发出去。B主机就收到这个数据帧了。这个寻址过程也可以概括为IP->MAC->PORT, ARP欺骗是欺骗了IP/MAC的对应关系, 而MAC欺骗则是欺骗了MAC/PORT的对应关系。

2.2 MAC欺骗攻击过程

工作环境为上述的4口swith, 和ARP攻击类似, 攻击者可在两台正在通信的主机A, B之间充当中间人 (man-in-themiddle) , 这里, 是A主机劫持B主机和网关之间通信的数据。

首先, A发送任意da=网关.mac、sa=B.mac的数据包到网关。这样就表明b.mac对应的是port.a, 在一段时间内, 交换机会把发往b.mac的数据帧全部发到a主机。这个时间一直持续到b主机发送一个数据包, 或者另外一个da=网关.mac、sa=b.mac的数据包产生前。接下来, A主机收到网关发给B的数据, 记录或修改之后要转发给B, 在转发前要发送一个请求B.MAC的广播, 这个包是正常的MAC信息为:da=FFFFFFFFFF、sa=a.mac。这个数据帧表明了a.mac对应port.a, 同时会激发b主机响应一个应答包MAC信息为:da=a.mac、sa=b.mac这个数据帧表明了b.mac对应port.b至此, 对应关系已经恢复, A主机将劫持到的数据可顺利转发至B。只要A主机保持高发包的频率, 保持错误的映射关系, 就能成功的对交换机欺骗从而不断的获得本该发送给B主机的数据包。而如果A主机没有将数据转发B主机的过程, 这就变成一种拒绝服务攻击, B主机的网络连接就将受到影响。

2.3 MAC欺骗攻击的危害及防御措施

和A R P欺骗攻击类似, 这种M A C欺骗攻击也会造成各种危害, 如通过拒绝服务攻击造成网络的混乱甚至瘫痪。如果攻击主机截取数据再加以修改转发, 利用部分主机IE浏览器等漏洞, 或者通过网页挂马等方式在网络中传播, 窃取网络中用户的数据, 将直接威胁网络信息安全。

由于这种M A C欺骗攻击方式并非利用A R P地址解析协议的漏洞, 而是针对交换机PORT-MAC映射关系的欺骗, 因此, 针对传统ARP欺骗的一些防御措施比如IP-MAC双绑定, ARP防火墙等方式无法防御这种攻击。为防御这种攻击方式, 可以采取划分静态VLAN的方式, 减小其危害。如果要从根本上解决这种攻击, 针对其攻击的原理只有在交换机上进行IP-MAC-PORT的绑定。但如果采用的是现在接入层大量应用的自适应交换机, 无法进行绑定操作的话, 这种攻击将很难防范。

3 结语

本文所讨论的这种攻击方式, 尚未如ARP欺骗攻击那样被病毒利用大规模的流行, 但已经出了一些利用这种方式进行嗅探和劫持的软件。为了网络信息的安全, 网络管理员应认真分析攻击的特点, 加强安全防范, 保护网络系统的信息安全。

参考文献

[1]谢希仁.计算机网络[M].北京:电子工业出版社.2003.

[2]任斌.ARP攻击分析及防御解决方法[J].长春工程学院学报 (自然科学版) .2008.

MAC地址欺骗 篇4

在单位内部网络使用中, 时常会出现IP地址冲突的情况, 一般情况下, 网络管理员会让使用人随意更改一个当时未用的地址, 解决了当时的问题。但是这种缺乏控制的管理, 势必将使网络无法保持良好的秩序, 在地址资源的分配和使用上出现混乱, 在网络事故发生以后, 也也利于追查相应地址快速排除故障。如果有人故意更改具有特殊权限的IP地址, 访问未授权的网络资源, 那就给网络安全和企业利益造成不可估计的危害。

随着网络病毒的不断演化, ARP病毒也大量出现, 病毒发作时, 通常会造成网络掉线, 但网络连接正常, 内网的部分电脑不能上网, 或者所有电脑均不能上网, 无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象, 严重影响到企业网络等局域网的正常运行。

要解决上述问题, 网络管理员必须加强网络管理, 通过设置实施网络限制, 经常用到的方法就是IP地址和MAC地址绑定。方法一般有:在交换机上面实施MAC地址和端口的绑定, 在路由器上实施IP地址和MAC地址的绑定, 相比较而言在路由器上面实施IP地址和MAC地址的绑定不失为一种简单可行的方法。

1 IP地址和MAC地址绑定的原理

目前企业网络建设一般采用TCP/IP协议组网, TCP/IP网络是一个四层协议结构, 从下往上依次为链路层、网络层、传输层和应用层。IP地址是给每个连接在网络上的主机分配的一个32位地址, 根据现在的IPv4标准指定, 不受硬件限制比较容易记忆的地址, 长度4个字节。而MAC (Media Access Control, 介质访问控制) 地址是烧录在网卡里的, 也叫硬件地址, 是由48比特长 (6字节) , 16进制的数字组成。ARP协议 (Address Resolve Protocol, 地址解析协议) 工作在TCP/IP协议的第二层-数据链路层, 用于将IP地址转换为网络接口的硬件地址 (媒体访问控制地址, 即MAC地址) 。无论是哪种高层协议的通讯, 最终都将转换为数据链路层MAC地址的通讯。

IP地址的修改非常容易, 而MAC地址存储在网卡的EEP-ROM中, 而且网卡的MAC地址是唯一确定的。路由器中都维护一张IP地址和MAC地址的对应关系表, 即ARP表, 能够动态存放IP地址和MAC地址的对应关系表, 同时也可以静态设置MAC地址和IP地址的对应到ARP缓存列表。

路由器对通过的数据包包头的源IP地址进行解析后, 将检查ARP表得到该IP地址和MAC地址绑定时, 则将ARP表得到的MAC地址和数据包包头的源MAC地址进行比较, 如果两个MAC地址相符合, 则将该数据包进行相应的转发, 若两个MAC地址不符合, 将丢掉该数据包不进行数据转发。如果检查ARP表没有该IP地址的对应MAC地址, 则直接进行数据包的转发。

因此, 在路由器上面设置IP地址和MAC地址的绑定, 即设置静态的arp表, 可以保护一个IP的唯一性, 不是对应的MAC地址, 就不能访问网络。

2 IP地址和MAC地址绑定的优缺点

IP地址和MAC地址绑定实施的前提就是收集网络资料, 通过资料的收集加强了网络基础资料管理, 对每一个IP地址资源都有资料可查;IP地址和MAC地址绑定实施有效地避免了IP地址盗用问题, 没有得到网络管理员的授权的情况, 没有办法通过私自配置和变更IP地址来访问网络;IP地址和MAC地址绑定实施防止了当前比较流行的各类ARP病毒, 有效对各类ARP病毒达到免疫, 保护了网络的整体安全。

但实施期间不可避免一些繁杂的劳动, 网络管理员需要收集每一个使用IP地址的设备的MAC地址, 管理大量复杂烦琐的数字, 且不能出现任何错误, 否则就可能影响网络的使用。在实施以后, 如果正常需要访问网络, 也需要网络管理员进行设置才可以, 增加了维护工作量。

3 IP地址和MAC地址绑定在路由器上的实现

3.1 收集MAC地址资料

网络管理员可以制定统一的表格, 在单位内部公布查看MAC地址的方法, 让各部门填写汇总至网络管理员。网络管理员也通过一些MAC扫描类工具软件, 可以批量获取远程计算机网卡的物理地址, 运行于网络内的任一台机器上, 即可监控整个网络的连接情况, 实时检测各用户的IP、MAC、主机名、用户名等信息并记录。

人工收集有时候会因人为原因造成错误, 而工具实施可能因为机器安装防火墙等原因造成收集不完整, 因此建议两种方法进行结合实施, 最大程度保证收集IP地址和MAC地址资料的完整性和准确性。

3.2 在路由器上面实施配置 (以CISCO路由器为例)

使用上述命令逐一绑定所有使用的IP地址和MAC地址。当然我们可以通过第1步整理的IP地址和MAC地址资料编写相应的命令列表批处理方式来进行。

3.3 实施必要限制

如果单纯使用第2步, 可以保证拥有合法IP的用户不再受到被盗用的情况, 但是无法防止有人使用一个未用的IP继续访问网络。所以必须采取措施防止该情况发生:

3.3.1 将未用地址和虚拟的MAC地址绑定。

例如1.1.1.8没有分配使用, 也要进行如下配置。

重复后一条命令, 将所有未用地址全部列举。

3.3.2 采用访问控制列表控制

要使用ip access-list accessname来建立访问控制列表, 可以一行一行的添加, 错了可以删除 (no) 掉, 稍微安全一点

例如:

以上两种方法, 从路由器处理效率上来讲, 第一种相对高一些, 毕竟IP地址和MAC地址对应关系存放在arp静态表中, 路由器硬件会根据静态的ARP表检查数据包, 如果不能对应, 则不进行数据转发。而通过访问控制列表限制还需要在端口上面定义, 相对复杂。

3.4 后续的维护工作

IP地址和MAC地址的绑定从开始实施到后期维护, 就始终是一个密集型劳动, 但毕竟实施的利大于弊。网络管理员应积极向有利的方面思考, 一劳虽不能永逸, 毕竟网络已经受控, 网络安全得到有效保证。

中小企业微机数量较小, 维护工作还可以。如果对应大型企业, 微机数据巨大, 每天都会有微机更新, 网卡故障更换, 流动网络访问, 笔记本移动办公, 那就需要专门的人员处理IP地址和MAC地址的对应关系表。

4 结束语

完善的网络管理必须借助于管理手段, 因此企业必须制定相应的IP地址使用制度, 通过制度定义IP地址的使用申请流程, 定义相应的惩罚措施等, 通过制度的有效运行, 创造一个有序的网络环境。

当然在路由器上面实施IP地址和MAC地址的绑定并不是完善的方案, 并不能真正防止IP地址盗用问题, 例如现在的Windows平台都提高修改MAC地址的功能, 非法用户只要获得了合法的IP和MAC地址, 就可以批上合法的外衣了。要想真正解决问题, 在IP、MAC绑定的基础上增加交换机端口绑定或者进行软件认证等。

摘要：通过IP地址和MAC地址的绑定, 可以实现避免IP地址的盗用, ARP病毒的预防, 加强网络资料管理等好处。通过在路由器实施是一种较为简单的方法。文章介绍了在常用的思科路由器上面实施IP地址和MAC地址绑定的具体步骤, 为企业网络管理员加强网络安全提供了很好的参考价值。

关键词：IP地址,MAC地址,绑定,路由器

参考文献

[1]兰少华, 杨余旺, 吕建勇.TCP/IP网络与协议[M].清华大学出版社, 2006.

MAC地址欺骗 篇5

关键词：交换机,Packet Tracer仿真软件,MAC地址表

随着科技和我国经济水平的快速发展, 网络通信已经深刻影响着人们的生活、 学习、 工作等方方面面, 给人们带来了太多的便利, 人们已经离不开网络。 在各种网络设备中, 和用户最近的就是交换机, 它已经从原来的专业机房走进了寻常百姓家中。 在进行网络课程教学中, 交换机也是作为一个非常重要设备, 成为了学生的首个学习对象。 在局域网中交换机是不可替代的, 因此掌握交换机基本配置和管理, 是学习网络知识的最基本要求。 其中MAC地址表是交换机能相互联通局域网各个终端的核心要素, 因此掌握交换机MAC地址表的工作原理和工作方法是非常重要的。

在实际通信过程中, 交换机工作在第二层, 是通过帧转发的形式进行工作的。 为了知道要使用哪个端口来传送帧, 交换机必须首先知道每个端口上存在哪些设备。 交换机会根据源MAC地址填充MAC地址表: 当其收到一个传入的帧, 检查源MAC地址并与MAC地址表进行比较, 如果地址不在MAC地址表中, 它会在MAC地址表中把源MAC地址与入口端口相对应。 就这样, 交换机通过记录与其每个端口相连的每个设备的MAC地址来构建其MAC地址表。 在多台交换机互连的网络中, MAC地址表将包含与其他交换机连接的每个端口的多个MAC地址。

在实际学习中, 由于交换机构建MAC地址表非常快, 学生不容易进行直观观察, 对理解交换机MAC地址的工作方式带来困难。 思科公司的仿真软件Packet Tracer能比较热容易地解决上述问题, 不但能够实时模拟数据包在网络中的传输过程, 还可以控制其传播。 在学习过程中学生可以方便地观察交换机的工作过程, 进而帮助学生理解实验原理。 主要探讨了利用Packet Tracer进行交换机MAC地址表实验教学设计的方法。

1配置实验

1.1搭建网络拓扑

在Packet Tracer中搭建实验拓扑, 如图1所示。

1.2配置基本参数

根据图2各项参数, 配置相对应网络设备的基本网络参数, 并检验。

2查看交换机构建MAC地址表过程

2.1查看交换机初始MAC地址表

由于MAC地址表是存放在交换机内存中, 故交换机在刚开机工作时, 其MAC地址表是空的, 如图3所示, 这时交换机是无法直接进行帧交换工作的。

2.2添加PC1的MAC地址

为了能实时观察交换机的MAC地址表, 将Packet Tracer切换到模拟界面, 在过滤器面板中选择ARP和ICMP协议。

在PC1中输入命令ping PC2, 然后使用手工模式控制帧数据传输。 当帧数据传至交换机S1的时, 交换机在端口上收到来自PC1的帧。 交换机将检查源MAC地址并与MAC地址表进行比较, 因其MAC地址表中为空, 它会在MAC地址表中将PC1的MAC地址与端口F0/1相对应, 如图4所示。

2.3添加PC2的MAC地址

在记录了源地址信息后, 交换机S1将检查目的MAC地址。 我们从图4可以看到MAC表中只有PC1的地址, 目标(PC2) 地址不在其中, 故交换机会将该帧泛洪到除入口端口以外的所有端口, 如图5所示。

PC3收到泛洪帧后将其丢弃, 而目的设备(PC2) 为了响应此帧, 发出目的地址为PC1的单播帧, 并传播到S1的F0/2端口。 此时和在2.2中一样, 交换机将检查源MAC地址并与MAC地址表进行比较, 会在MAC地址表中将PC2的MAC地址与端口F0/2相对应, 如图6所示。 不同的是, 此时目标(PC1) 地址已经在MAC表中, 交换机不需要再进行泛洪, 只需按照表中相对应的端口直接将帧从F0/1转发出去就可以了。 最后此帧顺利地到达PC1, 至此两个PC的通信成功完成。

2.4添加PC3的MAC地址

使用同样的方法, 交换机会把其他端口的设备的MAC地址填充到MAC表中, 如图7所示, 并根据地址表进行设备间的帧交换, 进而完成数据交换任务。

3结语

交换机是网络知识的最基础同时也是最重要的设备之一, 而MAC地址表是交换机的基础知识, 因此掌握MAC地址表的构成原理和工作方式对后面知识学习是非常重要。 但是学生在学习中间很难直观观察, 对此知识点理解和掌握带来较大困难。 通过引入Packet Tracer仿真软件, 帮助教师教学和学生学习, 进而提高学习效率, 效果非常好, 具有推广意义。

参考文献

[1]刘金明.基于Packet Tracer的NAT实验教学设计[J].实验科学与技术,2014,(01).

[2]曹玉瑞.基于Packet Tracer的浮动静态路由实验教学设计[J].福建电脑,2014,(10).

[3]埃普森(加),施密特(美).思科网络技术学院教程路由和交换基础[M].北京:人民邮电出版社,2014,(12).

基于ARP欺骗的IP地址管理技术 篇6

无论是在公用电话系统中, 还是在专用电话系统中, 都是靠电话号码来识别电话用户。同样, 在基于TCP/IP协议的网络中, 无论是在广域网的还是在局域网中, 都是用IP地址来区别在网络中活动中不同计算机, 通过IP地址这个“身份”与其他工作站进行沟通交流。在一个用户数量较多的网络中, 只要掌握每个用户的IP地址, 就可以有效的实现网络的安全管理, 并确保网络处于高效运行状态之中。现实情况是随着网络应用的普及和网络客户急剧膨胀, 作为网络管理基本任务范畴之一的网络地址管理工作成为一个破费脑筋的工作, 因为IP地址冲突和IP地址盗用所带来的麻烦相继而来, 特别是IP地址的盗用不仅影响到合法用户的正常使用, 同时也有由于收费策略原因造成用户经济上的损失, 更有甚者使用他人的地址在网上发布非法信息、攻击他人主机、破坏网络安全, 其影响将更为严重。本文首先对目前业已存在的IP地址管理技术进行分析讨论, 并进而针对这些技术中存在的不足, 提出了一种全方位的IP地址管理技术, 并给出了具体的实现方法。

1 传统IP地址管理方法和问题

为了解决当前在企业网等局域网中因为随意改动IP地址所引起的IP地址冲突、IP地址盗用、非授权IP地址使用等给网络管理带来的挑战, 也为了能够有效地管理网络, 实现网络故障的快速定位。目前普遍采用的做法是要求用户申报计算机的MAC地址, 并通过IP与MAC地址的绑定来实现对IP地址的管理。

1.1 基于接入交换机端口的MAC地址绑定控制方法

通过在接入交换机上命令设置某个端口绑定一个具体的MAC地址进行控制, 即在TCP/IP第二层进行控制。这样只有具有这个MAC地址的主机才可以使用网络, 且在对该主机的网卡进行了更换或者在这个端口上连接了其他MAC地址主机的情况下, 可以保证网络都不可用, 除非删除或修改该端口上绑定的MAC地址, 才能正常使用。此方案的最大缺点在于它需要网络上接入交换机全部采用可以网管的交换机提供用户接入, 这一方面会带来一个实施成本问题, 另一方面端口绑定的实际操作将会导致大量的配置工作量, 这使得在交换机端口进行MAC地址绑定方法并不是一个能够被普遍采用的解决方案, 在某些应用场合, 它仅仅具有理论上的可能性。

1.2 路由器隔离技术

采用路由器隔离技术的主要原理依据是M A C地址作为以太网卡地址全球惟一不能改变。一种实现方法是通过SNMP协议定期扫描各路由器的ARP表, 获取当前IP和MAC的对照关系, 并和事先合法的IP和MAC地址比较, 如不一致, 则为非法访问。对于非法访问, 有如下几种办法可以禁止其网络行为:一是使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项;二是向非法访问的主机发送ICMP不可达的欺骗包, 干扰其数据发送;三是修改路由器的存取控制列表, 禁止非法访问。采用路由器隔离的另外一种实现方法是使用静态ARP表, 即路由器中IP与MAC地址的映射不通过ARP协议来获得, 而采用静态设置。这样, 当非法访问的IP地址和MAC地址不一致时, 路由器根据正确的静态设置转发的帧就不会到达非法主机。这种方法的缺点是无法对跨网段内的IP和MAC地址进行绑定, 因为经过路由器或者三层交换机的数据报头的源MAC地址已经被替换成了三层设备的端口MAC地址, 因此这种方法具有相当大的应用局限性。

前面所述的两种IP与MAC地址绑定方法可以在一定程度上解决IP地址冲突、IP地址盗用、非授权IP地址使用这个问题, 但也会带来以下几个问题: (1) 当需绑定的IP地址数目较大时, 工作量非常巨大; (2) 当IP与MAC的对应信息发生变化时, 比如用户的计算机网卡换了, 或者该IP分给了另外一台计算机, 必须再次手工更新原来的绑定信息, 操作上很不灵活; (3) 绑定操作需要较专业的技术人员完成, 导致工作量集中在个别人员身上。

2 ARP协议与网络登录行为分析

为了解决前面所述的IP地址管理技术存在的问题, 下面我们首先对ARP协议进行了介绍, 并对网络用户登录网络的行为进行了信息的分析, 以便为我们进行IP地址管理系统的开发提供理论依据。

2.1 ARP协议与ARP欺骗

ARP协议是一个地址解析协议 (Address Resolution Protocol, ARP) , 位于IP层面。TCP/IP网络依据IP地址进行数据包转发, IP地址是TCP/IP网络的第三层协议地址, 而当数据在物理层传输时必须依据物理硬件地址来识别主机或节点。因此, 在将数据从应用层发送到物理层之前, 必须将下一跳的IP地址解析成对应的物理硬件地址。ARP协议的作用就是获取TCP/IP网络上相关主机或节点的物理MAC地址, 并创建一个将MAC地址映射到主机IP地址的本地数据库, 以提供关于数据应如何传输以及传输到何处的信息。ARP协议规定, 在以太网环境中, 一个ARP请求消息被嵌入在一个以太网数据帧后, 该ARP请求包含目的主机的IP地址, 并将该以太网数据帧以广播方式发送给同网端上所有活动的计算机。一旦某台计算机收到这个ARP请求数据帧后, 都会检测其中的IP地址。与该IP地址匹配的计算机将发送一个ARP应答包, 这个包包含IP地址及对应的MAC硬件地址;而其他计算机则会丢弃收到的ARP请求, 且不发任何应答。当一台计算机发送一个ARP应答时, 这个应答消息并不在全网广播, 而是被放进一个以太网数据帧中直接发回给请求者。请求者收到应答后可以从IP数据报中获取所需要的目标硬件地址。

由于在网络上每一个活动主机上都有一个可以动态刷新的ARP高速缓存, 用以存放最近IP地址到硬件MAC地址之间的映射。在发送报文前, 主机先在ARP高速缓存中查找是否有目标IP地址对应的目的MAC地址。只有在找不到匹配项的情况下, 才通过发送ARP请求包进行地址解析, 这保证了ARP协议的高效运行。

由于ARP协议是建立在对局域网中所有主机完全信任基础上的, 主机接收到ARP请求或应答后就更新ARP缓存表, 而不对该请求或应答报的合法性进行验证, 而ARP欺骗正是利用了ARP协议的这种机制。网络中的某台主机可以通过人为地发送ARP应答帧或ARP请求帧的手段来动态刷新同一网段内其他活动主机的ARP缓存, 而只要在发送的ARP数据帧中, 填入伪造的MAC地址或IP地址, 就可以达到ARP欺骗的目的。

2.2 计算机网络登录行为分析

作为一个具有普遍意义的计算机网络登录行为例子, 下面来分析一台安装了Windows操作系统的计算机登录到局域网的过程。一旦一台计算机安装好Windows操作系统和网卡驱动后, 就缺省地安装了以下三个网络组件:MicroSoft网络客户端, Micro Soft网络的文件和打印机共享, Internet协议 (TCP/IP) 。只要在TCP/IP网络连接的“属性”里, 设置好本机的IP地址、掩码、网关地址和DNS地址, 就配置好了基本网络连接。

无论是重启计算机还是在更改了计算机Internet协议的TCP/IP属性后, 这台计算机系统都会首先取得本机设定的IP地址 (比如是1.1.1.1) 和MAC地址, 然后发出ARP请求广播包。但该ARP查询包的目标IP地址和源IP地址均被设置成1.1.1.1, 源M A C地址设置成该计算机的M A C地址, 目标M A C地址设广播地址。计算机发送该ARP查询包的目的是查看目前在网络上是否有计算机正在使用本机准备注册的IP地址;一般说来, 此ARP包要发三次, 在等待了三次之后, 如果该计算机没有收到该ARP包应答, 则认为目前没有计算机正在使用这个IP地址, 那么系统就以这个IP地址登录网络。如果在该计算机还安装了NetBIOS协议, 则该计算机还将发出三次NetBIOS的名字注册包, 用以在局域网上注册自己的计算机名;同样, 发出这个数据包三次之后, 如果没有收到回应, 那么该计算机即认为自己可以使用这个名字注册。这样, 装有基本网络协议的计算机的局域网登录过程就此结束。

3 ARP欺骗在IP地址管理系统中应用

虽说ARP欺骗对网络安全构成了严重威胁, 但通过对计算机登录网络行为分析, 网络管理和安全管理两种技术的综合, 我们提出了一种集VLAN管理、交换机管理、SNIFFER技术、以及ARP欺骗等技术的综合性IP地址管理解决方案, 彻底解决了目前局域网IP地址管理所面临的诸多问题。

3.1 系统工作原理与功能描述

图1给出了IP地址管理系统原理图。从图中可以看出, 在整个被管理的网络内部署了一个IP地址管理服务器, 而在被管理网络的每一个VLAN内均部署了一个IP地址客户端。

IP地址管理服务器主要功能包括:IP地址数据库建立和资源数据的自动获取与管理, 资源数据内容包括管理区域的起始IP地址、最终IP地址、子网掩码, 每个网络主机所对应的IP地址、MAC地址和主机名;IP地址使用管理策略的设定, 也即对网上使用的每一个IP地址定义一组属性, 如地址信息、管理信息、分配策略、绑定策略和监控策略等;实现对IP地址合法性进行检查等, 如依据IP管理策略, 对IP与MAC地址绑定关系、IP和MAC地址与交换机端口三者的绑定进行定时验证, 并对发生的违规情况采取相应制裁措施, 如进行网络屏蔽和强制关闭交换机端口等。

IP地址管理客户端主要功能包括从IP地址管理服务器数据库中端下载本网段的IP管理表, 并缓存在高速缓存中;辅助IP地址管理服务器实现本网段内主机信息的收集;接收并执行管理服务器指派的相应任务, 如对有关违规行为的处罚, 通知交换机对某个VLAN内的端口进行控制等。

3.2 ARP欺骗应用原理

系统采用分布式软件体系架构, 在整个被管理的网络内部署一台IP地址管理服务器, 而在每一个被管网段内均部署了一个IP地址客户端。服务器和网络主机或网络设备之间的通信采用SNMP协议, 而服务器和客户端之间采用端口可自定义的HTTP协议进行通信, 实现对防火墙透明穿透。客户端内容的更新采用两种实现方式, 一是可以通过在启动客户端IP管理机程序时自动到管理服务器抓取, 二是能够通过管理服务器端在数据库发生表格条目更新时自动地推送到相应的客户端IP管理机中。

在我们的具体实现中, 服务器端程序采用VC开发, 数据库为MS SQL Server。客户端采用系统无关数据包捕获函数WinPcap进行ARP数据帧的捕获, 并采用VC开发环境进行ARP数据帧解析和ARP欺骗程序开发。

图2给出了基于ARP欺骗原理在IP地址管理系统的应用示例图。我们在实施中将某个网段中安装了IP管理代理程序的计算机网卡设置成混杂模式后, 它就能接收到同网段上的所有注册ARP请求或应答帧。一旦代理计算机接收到了发自同网段某台计算机的注册ARP请求, 则可以通过相应代理软件, 实现对该ARP包的解析, 并获取发送该ARP包的主机IP地址和网卡MAC地址。之后将所获得的IP地址和MAC地址与已经从服务器端下载到本地缓存中的合法IP地址和M A C地址绑定数据表进行比对, 就可以判定该IP地址或MAC地址是否存在合法有效的绑定关系。如果判定结果为合法, 则IP管理代理保持沉默, 且不作任何反应;但如果判定发现该IP地址和MAC地址与制定的绑定策略不一致, 则认为在网上发生了IP地址盗用或者是未经允许计算机企图非法使用网络服务。此时管理代理一方面通过代理程序伪造一个ARP应答帧, 告知使用了非法IP地址或MAC地址的计算机, 该IP地址已经在用;另一方面向服务器主动发送一个通知消息, 告诉服务器本网段发生了IP地址违规使用情况, 则服务器将根据制定的IP管理策略, 对连接该IP地址或MAC地址的交换机端口采用相应的动作, 如通过SNMP协议将该交换机端口进行强制性关闭。通过ARP欺骗原理, 最终可以实现使用了非法IP地址或MAC地址的计算机永远也不能实现网络的正常注册和登录, 既而也无法享受网络提供的信息服务。

4 结束语

为了解决某些高水平计算机用户任意修改自己的IP地址或MAC地址而带来的轻则导致IP地址冲突, 重则导致严重影响网络信息服务系统运行, 甚至导致网络运行中断等恶性后果, 提出了对企业网客户端管理有必要精确到每台机器和每个人的要求。本文提出的基于ARP欺骗原理的IP地址管理系统正好能满足现如今对网络管理越来越精确化的要求, 且目前实施情况也证明了基于ARP欺骗原理的IP地址管理系统能确保网络运行顺畅。

参考文献

[1]谭思亮.监听与隐藏.北京:人民邮电出版社.2002.

[2]V.Jacobson, C.Leres　and　S.McCanne, Libpcap.Lawrence　Berke-ley　Laboratory.Berkeley.CA.Initial　public　release　June1994.Avail-able　now　at　http://www.tcpdump.org/.

MAC地址欺骗 篇7

1 ARP欺骗原理

ARP缓存中的IP-MAC条目是根据ARP响应包动态变化的, 只要网络上有ARP响应包发送到本机, 就会更新ARP高速缓存中的IP-MAC条目。攻击者只要持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目。例如:一个局域网中的网关IP是10.1.4.254, 其MAC地址是00-08-20-8b-68-0a, 攻击者会不断地向被攻击主机发送伪造的ARP响应包, 将网关的MAC地址变为自己的MAC地址, 或者干脆伪造一个该网段中根本不存在的MAC地址, 一旦网关地址被改成伪造的MAC地址后, 被攻击的主机就会出现上网不正常的现象。

传奇盗号的软件或某些应用程序中如果被恶意加载了ARP欺骗的木马程序, 局域网中的某主机如果中毒, 它就会向该局域网中的其它主机发动ARP欺骗攻击, 通过伪造IP地址和MAC地址实现ARP欺骗, 在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the m iddle”进行ARP重定向和嗅探攻击。病毒主机会欺骗局域网内所有主机和路由器, 让所有上网的流量必须经过它才能连接网络, 切换的时候用户会断一次线。

切换到病毒主机上网后, 如果用户已经登陆了传奇服务器, 那么病毒主机就会经常伪造断线的假象, 那么用户就得重新登录传奇服务器, 这样病毒主机就可以盗号了。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制, 用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时, 用户会恢复从路由器上网, 切换过程中用户会再断一次线。如果用户安装了瑞星个人防火墙, 在查看日志时可以看到“ARP欺骗事件”的记录。

2 计算机系统安全加固

目前很多常见的普通ARP攻击常常以病毒程序的形式存在。其中传播甚广的有“网游大盗”、“高波”等, 这些ARP病毒寄存于Window s系统中, 且一般会用到npptools.dll等系统漏洞, 所以只要做好对操作系统的升级与加固可以防止此类病毒感染。

1) npptools.dll是w indow s系统的一个动态库 (ne tw orkpacke t provide r tools he lpe r) 常被ARP病毒利用, 所以, 禁止了npptools.dll将使此类病毒无法正常运行。具体方法是:在安全模式中, 打开WINDOWSSYSTEM32NPPTOOLS.DLL文件。删除这个文件后, 用零字节的文件替换。最后将nnptools.dll保存为只读文件。

2) 给系统安装补丁程序。通过Window s Update安装好系统补丁程序 (关键更新、安全更新和Service Pack) 。

3) 给系统管理员帐户设置足够复杂的强密码, 最好能是12位以上, 字母+数字+符号的组合;也可以禁用/删除一些不使用的帐户。

4) 经常更新杀毒软件 (病毒库) , 设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件, 网络防火墙在防病毒过程中也可以起到至关重要的作用, 能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁, 不妨通过使用网络防火墙等其它方法来做到一定的防护。

5) 关闭一些不需要的服务, 条件允许的可关闭一些没有必要的共享, 也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务。

3 ARP杀毒软件

目前, 有一些安装在系统上的ARP专杀软件和病毒防火墙产品可以通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址, 它能够保障单机与网关之间数据流向不经过第三者。ARP防火墙的功能包括:1) 拦截ARP攻击:在系统内核层拦截外部虚假ARP数据包, 保障系统不受ARP欺骗、ARP攻击影响, 保持网络畅通及通讯安全;2) 在系统内核层拦截本机对外的ARP攻击数据包, 以减少感染恶意程序后对外攻击给用户带来的麻烦;3) 拦截IP冲突。在系统内核层拦截IP冲突数据包, 保障系统不受IP冲突攻击的影响;4) 拒绝服务攻击抑制。在系统内核层拦截本机对外的TCP SYN/UDP/ICMP/ARP Do S攻击数据包, 定位恶意发动DOS攻击的程序;5) 除了网关外, 不响应其它机器发送的ARPRequest, 达到隐身效果, 减少受到ARP攻击的几率;6) ARP数据分析。分析本机接收到的所有ARP数据包, 掌握网络动态, 找出潜在的攻击者或中毒的机器;7) 监测ARP缓存。自动监测本机ARP缓存表, 如发现网关MAC地址被恶意程序篡改;8) 主动防御。主动与网关保持通讯, 通告网关正确的MAC地址, 以保持网络畅通及通讯安全;9) 追踪攻击者。发现攻击行为后, 根据ARP包内数据来锁定攻击者IP地址;10) ARP病毒专杀。根据ARP病毒特征码来扫描病毒;11) ARP缓存保护。防止恶意程序篡改本机ARP缓存。12) 自身进程保护。防止被恶意软件终止。

虽然这些ARP病毒防火墙与专杀杀软件能够保证系统自身ARP表的正确性, 然而只要他访问的服务器被攻击者实施“Man-In-The-Middle”, 同样会使得机器中毒。这一点更加说明了整体防护对抵抗ARP攻击的重要性。

4 结语

由于ARP协议制定时间比较早, 当时对这些协议的缺陷考虑不周, 使得ARP攻击的破坏性比较大, 但其也有局限性, 比如ARP攻击只局限在本地网络环境中。最根本的解决措施就是使用IPv6协议, 因为在IPv6协议定义了邻机发现协议 (NDP) , 把ARP纳人NDP并运行于因特网控制报文协议 (ICMP) 上, 使ARP更具有一般性, 包括更多的内容。

摘要：ARP协议存在很多漏洞, ARP地址欺骗将会给局域网的安全带来很多威胁。利用命令行法、工具软件法或sniffer抓包嗅探法可定位ARP地址欺骗攻击者。使用静态的IP-MAC地址解析、ARP服务器或第三层交换技术等方法可防御ARP地址欺骗的攻击。

关键词：ARP协议,ARP地址欺骗,ARP杀毒软件

参考文献

[1]专家解读APR病毒:http;//security.ccidnet.com/.

[2]马军, 王岩.ARP协议攻击及其解决方案[J].信息安全, 2006.

[3]牛少彰, 江为强.网络的攻击与防范——理论与实践[M].北京:北京邮电学院出版社.