局域网中的ARP欺骗(精选九篇)
局域网中的ARP欺骗 篇1
1.1 什么是ARP协议
ARP协议是“Address Resolution Protocol”的缩写,是一个位于数据链路层的低层协议,负责将某个IP地址解析成对应的MAC地址。
1.2 ARP协议的工作原理
假设局域网中三台机器的地址如表1。主机A发送数据给主机B时,主机A会先检查自己的ARP缓存表中是否有主机B的MAC地址。如果没有则主机A就会在网络上发送一个广播:“IP地址为主机B(即IP地址为192.168.0.2)的MAC地址是什么?”网络上其它IP地址不匹配的主机并不响应此ARP询问,只有主机B接收到这个应答报文时才向主机A做出回应“IP地址为主机B的MAC地址是BB-BB-BB-BB-BB-BB”。这时主机A就获得了主机B的MAC地址,并对ARP缓存表进行更新,随后就可以向主机B发送信息了。
1.3 什么是ARP欺骗
假定主机A主动告诉主机B,192.168.0.3地址的MAC地址为AA-AA-AA-AA-AA-AA;主机A以同样的方式告诉主机C,192.168.0.2地址的MAC地址为AA-AA-AA-AA-A-AA。这样,当主机C需要发送数据给主机B时,由于主机B的IP地址在C的ARP表中对应MAC地址是AA-AA-AA-AA-AA-AA,因此实际数据就转发到主机A上。同样,当主机B发送数据到主机C的时候,数据也同样发到了主机A上[1]。
1.4 ARP欺骗的起因
ARP欺骗就是一种盗号方式。假设上述A机器为盗号机器,首先找到内网的网关(假设网关为192.168.0.254,其MAC为XX.XX.XX.XX.XX.XX),然后发送ARP广播,说自己的IP地址是192.168.0.254,MAC地址是AA-AA-AA-AA-AA-AA。那么所有收到此信息的机器都会误认为内网的网关,所有上网信息都会通过MAC地址发给这个机器,由于找不到真正的网关,因此这些被骗的机器就无法上网。而发送的所有信息都会被这个盗号机器收到,盗号者通过分析收到的信息,就可以从中找到有用的信息,特别是有关账号和密码的部分,从而达到盗取账号的目的。
2 ARP欺骗的解决方法
2.1 检查本机是否感染
目前已知传奇游戏的“传奇2冰橙子1.14”和“及时雨PK破解版”两种外挂存在着这种欺骗。在“Windows任务管理器”中选择“进程”标签,如果有“MIR0.dat”则说明已经中毒,将此进程结束后对机器进行查杀。
2.2 检查网内感染“ARP欺骗”的计算机
首先在“命令提示符”下输入“arp-d”将arp缓存中的内容清空,计算机可暂时恢复上网;然后在“命令提示符”下输入“ipconfig”记录网关IP地址,即“Default Gateway”对应的值,如“192.168.0.254”;再输入“arp-a”,在“Internet Address”下找到上步记录的网关IP地址所对应的MAC地址,如“XX.XX.XX.XX.XX.XX”。在网络正常时这就是网关的正确MAC地址;再通过扫描局域网内的全部IP地址,查看ARP表,如果有一个IP对应的MAC地址与网关的相同,那么这个IP地址就是中毒计算机的IP地址。
2.3 绑定ARP网关避免欺骗
如果计算机已经有网关的正确MAC地址,在不能上网时只需将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。在“命令提示符”下输入并执行以下命令“arp-s网关IP网关物理地址”,如“arp-s 192.168.0.254 XX.XX.XX.XX.XX.XX”,即可对网关进行绑定,使动态的网关变为静态,从而不再被欺骗。但机器重启后,网关又回到动态,编写一个批处理文件killarp.bat,内容如下:
将这个批处理文件拖到“启动”菜单中,使机器每次启动后自动绑定网关。
2.4 反ARP欺骗
在计算机的路由表中,有一个路由访问优先等级,默认情况下,访问网关的等级为20(1最大,20最小)。利用此等级来设置一个虚假的网关IP,即使被ARP欺骗时所欺骗的是这个虚假网关的IP,真正网关的IP放在后面,将其优先级设为最高。当要访问Internet时,优先读取等级是1的那个真网关,从而达到反ARP欺骗的目的。
首先把网关IP换成本局域网中不用的一个IP,比如换成192.168.0.253;其次在“命令提示符”下输入“route add-p 0.0.0.0 mask 0.0.0.0 192.168..0.254 metric 1”(假设192.168..0.254是真实的网关),表示加入一条静态的路由表,优先权限是1(最大的);然后同样将保存为批处理文件,加到启动项里使每次开机都运行[2]。
2.5 专用软件
除了手工操作以外,也可以利用一些ARP防火墙之类的专用软件来防止欺骗,这类软件有:360 ARP防火墙、金山ARP防火墙、ARP巡警等。
3 结束语
ARP欺骗病毒版本不断在更新,同时其它的病毒也在不断地滋生和变种,要达到安全上网的目的,一方面要学会清除病毒的方法;另一方面要做好重要数据的备份以防不测,更重要的还是要文明上网。
摘要:通过对局域网中ARP欺骗原理的分析,提出了针对ARP欺骗的几种防护方法。
关键词:ARP,局域网,IP,MAC
参考文献
[1]潘锋.局域网中ARP欺骗的防范[J].杭州:计算机时代,2007(5).
[2]ARP欺骗解决终极办法(传说中的虚拟网关)详解.http://wgl-m.net/article/special/arp/20070719/1136.html.
局域网内如何预防ARP欺骗 篇2
假设这样一个网络,一个Hub接了3台机器
HostA HostB HostC 其中
A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC
正常情况下 C:arp -a
Interface: 192.168.10.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.10.3 CC-CC-CC-CC-CC-CC dynamic
现在假设HostB开始了罪恶的ARP欺骗:
B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了),当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的,A这里只有192.168.10.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DD mac地址,没有和犯罪分子B相关的证据,哈哈,这样犯罪分子岂不乐死了。
现在A机器的ARP缓存更新了:
C:arp -a
Interface: 192.168.10.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.10.3 DD-DD-DD-DD-DD-DD dynamic
这可不是小事。局域网的网络流通可不是根据IP地址进行,而是按照MAC地址进行传输。现在192.168.10.3的MAC地址在A上被改变成一个本不存在的MAC地址。现在A开始Ping 192.168.10.3,网卡递交的MAC地址是DD-DD-DD-DD-DD-DD,结果是什么呢?网络不通,A根本不能Ping通C!!
所以,局域网中一台机器,反复向其他机器,特别是向网关,发送这样无效假冒的ARP应答信息包,NND,严重的网络堵塞就开始了!网吧管理员的噩梦开始了,
我的目标和任务,就是第一时间,抓住他。不过从刚才的表述好像犯罪分子完美的利用了以太网的缺陷,掩盖了自己的罪行。但其实,以上方法也有留下了蛛丝马迹。尽管,ARP数据包没有留下HostB的地址,但是,承载这个ARP包的ethernet帧却包含了HostB的源地址。而且,正常情况下ethernet数据帧中,帧头中的MAC源地址/目标地址应该和帧数据包中ARP信息配对,这样的ARP包才算是正确的。如果不正确,肯定是假冒的包,可以提醒!但如果匹配的话,也不一定代表正确,说不定伪造者也考虑到了这一步,而伪造出符合格式要求,但内容假冒的ARP数据包。不过这样也没关系,只要网关这里拥有本网段所有MAC地址的网卡数据库,如果和Mac数据库中数据不匹配也是假冒的ARP数据包。也能提醒犯罪分子动手了。
二、防范措施
1. 建立DHCP服务器(建议建在网关上,因为DHCP不占用多少CPU,而且ARP欺骗攻击一般总是先攻击网关,我们就是要让他先攻击网关,因为网关这里有监控程序的,网关地址建议选择192.168.10.2 ,把192.168.10.1留空,如果犯罪程序愚蠢的话让他去攻击空地址吧),另外所有客户机的IP地址及其相关主机信息,只能由网关这里取得,网关这里开通DHCP服务,但是要给每个网卡,绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址,但每次开机的IP地址都是一样的。
2. 建立MAC数据库,把网吧内所有网卡的MAC地址记录下来,每个MAC和IP、地理位置统统装入数据库,以便及时查询备案。
3. 网关机器关闭ARP动态刷新的过程,使用静态路邮,这样的话,即使犯罪嫌疑人使用ARP欺骗攻击网关的话,这样对网关也是没有用的,确保主机安全。
网关建立静态IP/MAC捆绑的方法是:建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下:
192.168.2.32 08:00:4E:B0:24:47
然后再/etc/rc.d/rc.local最后添加:
arp -f 生效即可
4. 网关监听网络安全。网关上面使用TCPDUMP程序截取每个ARP程序包,弄一个脚本分析软件分析这些ARP协议。ARP欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者,ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内,或者与自己网络MAC数据库 MAC/IP 不匹配。这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。
5. 偷偷摸摸的走到那台机器,看看使用人是否故意,还是被任放了什么木马程序陷害的。如果后者,不声不响的找个借口支开他,拔掉网线(不关机,特别要看看Win98里的计划任务),看看机器的当前使用记录和运行情况,确定是否是在攻击。
局域网中的ARP欺骗 篇3
关键词:ARP协议;ARP地址;欺骗
ARP,全称Address Resolution Protocol,它是“地址解析协议的缩写。MAC地址是固化在网卡上串行EEPROM中的物理地址,是由48比特长(6字节),16进制的数字组成,0~23位是由厂家自己分配,24~47位叫做组织唯一标志符,是识别LAN(局域网)节点的标识。
一、ARP地址欺骗攻击者的定位
利用ARP协议的漏洞,攻击者对整个局域网的安全造成威胁,那么,怎样才能快速检测并定位出局域网中的哪些机器在进行ARP地址欺骗攻击呢?面对着局域网中成百台电脑,一个一个地检测显然不是好办法。其实,我们只要利用ARP病毒的基本原理:发送伪造的ARP欺骗广播,中毒电脑自身伪装成网关的特性,就可以快速锁定中毒电脑。可以设想用程序来实现以下功能:在网络正常的时候,牢牢记住正确网关的IP地址和MAC地址,并且实时监控来自全网的ARP数据包,当发现有某个ARP数据包广播,其IP地址是正确网关的IP地址,但是其MAC地址竟然是其他电脑的MAC地址的时候,这时,无疑是发生了ARP欺骗。对此可疑MAC地址报警,再根据网络正常时候的IP—MAC地址对照表查询该电脑,定位出其IP地址,这样就定位出攻击者了。
下面再介绍几种不同的检测ARP地址欺骗攻击的方法。
1.命令行法。
在CMD命令提示窗口中利用系统自带的ARP命令即可完成。当局域网中发生ARP欺骗的时候,攻击者会向全网不停地发送ARP欺骗广播,这时局域网中的其他电脑就会动态更新自身的ARP缓存表,将网关的MAC地址记录成攻击者本身的MAC地址,此时,我们只要在其受影响的电脑中使用“ARP -a”命令查询一下当前网关的MAC地址,就可知道攻击者的MAC地址。我们输入ARP -a,命令后的返回信息如下:
Internet Address 00-50-56-e6-49-56 Physical Address Type 192.168.0. dynamic.
由于当前电脑的ARP表是错误的记录,因此,该MAC地址不是真正网关的MAC地址,而是攻击者的MAC地址。这时,再根据网络正常时,全网的IP-MAC地址对照表,查找攻击者的IP地址就可以了。由此可见,在网络正常的时候,保存一个全网电脑的IP-MAC地址对照表是多么的重要。可以使用nbtscan工具扫描全网段的IP地址和MAC地址,保存下来,以备后用。
2.工具软件法。
现在网上有很多ARP病毒定位工具,其中做得较好的是Anti ARP Sniffer(现在已更名为ARP防火墙)。利用此类软件,我们可以轻松地找到ARP攻击者的MAC地址。然后,我们再根据欺骗机的MAC地址,对比查找全网的IP-MAC地址对照表,即可快速定位出攻击者。
3.Sniffer抓包嗅探法 。
当局域网中有ARP地址欺骗时,往往伴随着大量的ARP欺骗广播数据包,这时,流量检测机制应该能够很好地检测出网络的异常举动,利用Ethereal之类的抓包工具找出大量发送ARP广播包的机器,这基本上就可以当作攻击者进行处理。
以上3种方法有时需要结合使用,互相印证,这样可以快速、准确地将ARP地址欺骗攻击者找出来。找到攻击者后,即可利用杀毒软件或手动将攻击程序删除。
二、ARP地址欺骗攻击的防御及其解决办法
1.使用静态的IP-MAC地址解析。
针对ARP地址欺骗攻击的网络特性,我们可以使用静态的IP-MAC地址解析,主机的IP-MAC地址映射表由手工维护,输人后不再动态更新。即便网络中有ARP攻击者在发送欺骗的ARP数据包,其他电脑也不会修改自身的ARP缓存表,数据包始终发送给正确的接收者。这种防御方法中常用的是“双向绑定法”。双向绑定法,顾名思义,就是要在两端绑定IP-MAC地址,其中一端是在路由器(或交换机)中,把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定。另一端是局域网中的每个客户机,在客户端设置网关的静态ARP信息,这叫PC机IP-MAC绑定。除此之外,很多交换机和路由器厂商也推出了各自的防御ARP病毒的软硬产品,如:华为的FIX AR 18-6X 系列全千兆以太网路由器就可以实现局域网中的ARP病毒免疫,该路由器提供MAC和IP地址绑定功能,可以根据用户的配置,在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP地址发送的报文,如果其MAC地址不是指定关系对中的地址,路由器将予以丢弃,这是避免IP地址假冒攻击的一种方式。
2.使用ARP服务器。
通过ARP服务器查找自己的ARP转换表来响应其他机器的ARP广播,但必须确保这台ARP服务器不被黑客攻击。
3.使用其他交换方式。
现在,基于IP地址变换进行路由的第三层交换机逐渐被采用,第三层交换技术用的是IP路由交换协议。以往的MAC地址和ARP协议已经不起作用,因而ARP欺骗攻击在这种交换环境下不起作用。该方法的缺点是这种交换机价格普遍比较昂贵。
出现ARP地址欺骗攻击的解决办法如下:
第一步:记住网关的正确IP地址和MAC地址,为以后的IP-MAC绑定做准备,也方便以后查找病毒主机。网关MAC的获取,一是可以向单位的网管人员询问;二是在机器正常上网时进行查询,记下网關IP地址和MAC地址,方法如下:打开“命令提示符”窗口,在提示符后键入:ipconfig/al(l用此命令先查询网关的IP地址),然后再键入:arp-a(用来显示ARP高速缓存中所有项目),如果并未列出网关IP地址与MAC地址的对应项,那就先ping一下网关IP地址,再显示ARP高速缓存内容就能看到网关的IP-MAC对应项了。第二步:发现网关MAC地址有冲突后,可先用arp-d命令先清除ARP高速缓存的内容,然后再用arp-a命令查看网关IP-MAC项目是否正确。如果病毒不断攻击网关,那就要静态绑定网关的IP-MAC。例如:网关IP地址为10.1.4.254,MAC地址为00-08-20-8b-68-0a,先用arp-d命令清除ARP高速缓存的内容,再在命令提示符后键入:arp-s10.1.4.254 00-08-20-8b-68-0a,这样网关IP地址和MAC地址就被静态绑定了。如果用户安装了瑞星防火墙,也可以通过防火墙提供的“设置-详细设置-ARP静态规则”中进行静态绑定,或是在文章最开始的防火墙提示中选择正确的MAC地址后点击“添加到ARP静态表中”。第三步:如果病毒不断攻击网关致使网关的IP-MAC的静态绑定都无法操作,那就应该先找到病毒主机,使其断网杀毒,才能保证网段内其他机器正常上网操作。
三、结束语
由于ARP协议制定时间比较早,当时对这些协议的缺陷考虑不周,使得ARP攻击的破坏性比较大,但其也有局限性,比如ARP攻击只局限在本地网络环境中。最根本的解决措施就是使用IPv6协议,因为在IPv6协议定义了邻机发现协议(NDP),把ARP纳人NDP并运行于因特网控制报文协议(ICMP)上,使ARP更具有一般性,包括更多的内容。
参考文献:
[1]专家解读APR病毒,http : //security. ccidnet. com/.
[2]马军,王岩.ARP协议攻击及其解决方案, 2006.
局域网ARP欺骗的分析和防御 篇4
关键词:局域网,ARP协议,ARP欺骗
随着信息技术的快速发展和日益普及, 信息网络已成为人们学习、生活、工作中的重要组成部分, 在日常业务中发挥着极其重要的作用, 但同时由于网络的开放性、共享性, 网络中存在很多不安全因素, 网络安全问题也越来越引起人们的关注[1,2]。在众多不安全因素中, 基于ARP欺骗的网络木马和病毒对网络的安全影响也越来越大[3]。该文对ARP协议内容、工作原理进行介绍, 对ARP协议漏洞和ARP欺骗原理进行说明, 并对ARP欺骗的日常诊断和预防进行解释。
1 ARP协议
1.1 ARP协议内容
ARP协议是“Address Resolution Protocol” (地址解析协议) 的缩写。在局域网中, 网络中实际传输的是“帧”, 帧里面有目标主机的MAC地址。在以太网中, 一个主机要和另一个主机进行直接通信, 必须要知道目标主机的MAC地址, 其一般通过地址解析协议获得。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。
1.2 ARP工作原理
ARP工作分为局域网和跨网段2种, 下面将局域网ARP工作原理 (图1) 介绍如下。
局域网内每台主机会在自己的ARP缓冲区建立1个ARP列表, 以表示IP地址和MAC地址的对应关系, 主机A在传输数据前, 首先要对初始数据进行封存, 在这个过程中, 会把目的主机B的IP地址和MAC地址封存进去, 在通讯最初阶段, 主机A只知道目的主机B的IP地址, 而不知道MAC地址。主机A首先将数据包中的目标IP地址在本地的ARP地址转换表中寻找对应的MAC地址, 如果有对应的地址, 则直接根据找到的MAC地址转发数据包。如果没有, 则通过广播方式发送1个含有目标主机B的IP地址, 被称为ARP请求的以太帧到局域网的其他主机, 请求含有该IP地址的主机回复需要的MAC地址信息数据包。局域网中的目标主机B在收到广播帧后, 就以1个ARP应答包的方式回复主机A, 该应答包中含有IP地址与MAC地址的对应表。主机A在收到应答包后, 就可以根据IP地址与MAC地址的对应表发送数据包。
2 ARP欺骗
2.1 ARP协议漏洞
ARP协议虽然是一个高效的数据链路层协议, 但是由于其设计前提是在网络绝对安全和信任的情况下进行的, 因此ARP协议存在着设计缺陷, 主要表现在以下方面:
(1) 局域网内主机间的通信是相互信任的, 出于传输效率上的考虑, ARP协议无需认证。只要收到局域网内的ARP应答包, 就将其中的MAC/IP协议刷新到本机的高速缓存中, 就被当做可信任的主机, 而没有检验其真实性的机制, 使得几个IP地址可以映射到同一物理地址上, 这是ARP协议的一个安全隐患。
(2) 主机地址映射表是基于高速缓存动态更新的。这是ARP协议的特色之一, 但也是安全问题之一。由于正常的主机间MAC地址刷新都是有时限的, 这样假冒者如果在下次更新前成功地修改了被攻击机器上的地址缓存, 就可以进行假冒或拒绝服务攻击。
(3) ARP请求以广播方式进行。这个问题是不可避免的, 因为正是由于主机不知道通信对方的MAC地址, 才需要进行ARP广播请求。这样, 攻击者就可以伪装ARP应答, 与广播者真正要通信的机器进行竞争, 还可以确定子网内机器什么时候会刷新MAC地址缓存, 以确保最大时间限度地进行假冒。
(4) 任何ARP响应都是合法的, ARP应答无需认证。由于ARP协议是无状态的, ARP协议并未规定主机在未收到查询时就不能发送ARP响应包, 任何主机即使在没有请求的时候也可以做出应答, 而且许多系统都会接受未请求的ARP响应, 并用信息篡改其缓存, 这是ARP协议的另一个隐患。
2.2 ARP欺骗原理
ARP协议是在网络绝对安全和信任的情况下进行工作的, 因此在局域网中, 不存在对ARP报文的真实性校验, 也就无法识别出伪造的ARP报文, 同时由于没有请求的ARP报文同样能被系统所接受, 并刷新目标系统的缓存, 而系统在进行ARP解析之前是以系统缓存不存在为前提的, 当有ARP响应报文不停地刷新缓存的时候, 系统就不会主动地发出ARP请求, 这就使得对ARP缓冲区进行欺骗成为一种可能。
ARP欺骗就是利用ARP协议的设计缺陷向目标主机发送伪造ARP响应报文, 目标主机接收伪造报文后更新系统ARP缓存, 在以后的地址解析中就落入预先设计好的陷阱。
ARP欺骗过程 (图2) 如下: (1) C发送ARP询问报文获取A的MAC地址, 向A发送内容包括B的IP地址、C的MAC地址的伪造响应ARP报文, C为了保证伪造报文的有效性, 每隔一段时间就发送一次伪造响应ARP报文。 (2) A根据C发送的伪造ARP报文更新自己的ARP缓冲区, 由于C发送伪造响应ARP报文的周期性使A一直处于被欺骗状态, 这样就成功实现了C对A的ARP欺骗。以后A发送给B的数据包全部被C获得, C同时为了隐蔽自己, 再将这些数据包转发给B, 这对A和B看来通信正常, 但数据包却被C非法获得。
注:1.A和B通信正常;2.发送伪造ARP响应报文;3.通过ARP欺骗窃取A发给B的数据包;4.为了隐蔽自己将数据包再转发给B。
3 检测和防御
3.1 ARP欺骗的检测
由于ARP欺骗的隐蔽性在局域网中很难被发现, 对网络安全构成严重危害, 因此在网络日常维护中有必要采取一些主动检测功能, 以保障整个网络的畅通。
(1) 作为网络管理员, 可以定期手动地发出ARP请求, 然后利用应答和缓存中的物理地址进行真实性校验;或者定期轮询, 检查主机上的ARP缓存, 看其中的记录变化, 从而得到可疑的ARP条目, 进行确定检测。
(2) 由于ARP缓冲区有效时间的限制, ARP欺骗报文必须不停地重复发送, 通过监听网络中的报文, 从大量的无请求ARP应答报文中, 可以检测出ARP欺骗的存在。
(3) 在交换机上检测IP地址、MAC地址和端口对应关系的变化, 从而得到伪造源地址的信息。
(4) 在Windows系统上, 最有效的是基于主机的SNMP TRAY报文的防护。因为Windows系统对于ARP表是通过内建的SNMP来进行管理的, 所以不管SNMP服务是否开启, 都可以很容易的通过SNMP TRAY达到ARP主动变化通知的目的。
3.2 ARP欺骗的防御
对于ARP欺骗的防御, 应该在日常工作中加强网络安全意识的同时以预防为主, 可以采取一些具体措施来防止ARP欺骗的发生。
(1) 用户端绑定或安装防御软件。 (1) 在用户端计算机上绑定交换机网关的IP地址和MAC地址, 首先, 用户在安全、信任的网络环境中在DOS提示符下用arp-a命令显示交换机的IP地址和MAC地址。其次, 用户用arp-s命令绑定交换机的IP地址和MAC地址。 (2) 在用户端计算机上安装360安全卫士、Anti ARP Sniffer、瑞星杀毒等防御软件。
(2) 交换机端绑定。在核心交换机上绑定用户主机的IP地址和网卡的MAC地址, 同时在网管交换机上将用户主机网卡的MAC地址和交换机端口绑定的双重安全绑定方式[4]。 (1) IP地址和MAC地址绑定。在核心交换机上将局域网内用户的IP地址和其网卡MAC地址一一对应进行全部绑定, 这样可以极大程度的避免非法用户使用ARP攻击或盗用合法用户的IP地址进行流量的盗取。 (2) MAC地址和交换机端口的绑定。根据局域网用户所在区域、房间、楼体的不同, 将用户计算机的网卡MAC地址和交换机端口进行绑定, 可以防止非法用户随意接入网络。
(3) 采用VLAN技术隔离端口。局域网的网络管理员可根据本单位网络的拓扑结构, 具体规划出若干个VLAN, 当发现有非法用户在恶意利用ARP攻击网络, 或因合法用户受ARP病毒而影响网速时, 网络管理员可利用技术手段查找该用户所在的交换机端口, 然后将该用户与其它用户进行物理隔离, 以避免对其他用户的影响, 从而达到安全防范的目的。
(4) 设置ARP服务器。指定局域网内的一台计算机作为ARP服务器, 专门保存并且维护可信范围内的所有主机和IP地址与MAC地址映射记录, 该服务器通过查询自己的ARP缓存的静态记录并以被查询主机的名义响应局域网内部的ARP请求, 同时设置局域网内部的其他主机只使用来自ARP服务器的ARP响应。
4 小结
在计算机网络盛行的今天, 网络已经成为政治、经济、军事、文化和生活中不可缺少的重要组成部分, 在给人们带来方便和机遇的同时, 由于网络自身的设计缺陷和木马病毒等不安全因素, 网络安全问题变的越来越重要, 也越来越引起人们的关注, 如何在保证自身安全的情况下充分利用网络已经成为人们研究的课题。
参考文献
[1]沈继锋, 刘同明.一种交换式网络内的ARP欺骗的解决方案[J].现代计算机, 2006 (1) :39-41.
[2]李海鹰, 程灏, 吕志强, 等.针对ARP攻击的网络防御模式设计与实现[J].计算机工程, 2005 (5) :170-171.
[3]任侠, 吕述望.ARP协议欺骗原理分析与抵御方法[J].计算机工程, 2003 (9) :127-128, 182.
局域网中的ARP欺骗 篇5
1 ARP欺骗原理
ARP缓存中的IP-MAC条目是根据ARP响应包动态变化的, 只要网络上有ARP响应包发送到本机, 就会更新ARP高速缓存中的IP-MAC条目。攻击者只要持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目。例如:一个局域网中的网关IP是10.1.4.254, 其MAC地址是00-08-20-8b-68-0a, 攻击者会不断地向被攻击主机发送伪造的ARP响应包, 将网关的MAC地址变为自己的MAC地址, 或者干脆伪造一个该网段中根本不存在的MAC地址, 一旦网关地址被改成伪造的MAC地址后, 被攻击的主机就会出现上网不正常的现象。
传奇盗号的软件或某些应用程序中如果被恶意加载了ARP欺骗的木马程序, 局域网中的某主机如果中毒, 它就会向该局域网中的其它主机发动ARP欺骗攻击, 通过伪造IP地址和MAC地址实现ARP欺骗, 在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the m iddle”进行ARP重定向和嗅探攻击。病毒主机会欺骗局域网内所有主机和路由器, 让所有上网的流量必须经过它才能连接网络, 切换的时候用户会断一次线。
切换到病毒主机上网后, 如果用户已经登陆了传奇服务器, 那么病毒主机就会经常伪造断线的假象, 那么用户就得重新登录传奇服务器, 这样病毒主机就可以盗号了。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制, 用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时, 用户会恢复从路由器上网, 切换过程中用户会再断一次线。如果用户安装了瑞星个人防火墙, 在查看日志时可以看到“ARP欺骗事件”的记录。
2 计算机系统安全加固
目前很多常见的普通ARP攻击常常以病毒程序的形式存在。其中传播甚广的有“网游大盗”、“高波”等, 这些ARP病毒寄存于Window s系统中, 且一般会用到npptools.dll等系统漏洞, 所以只要做好对操作系统的升级与加固可以防止此类病毒感染。
1) npptools.dll是w indow s系统的一个动态库 (ne tw orkpacke t provide r tools he lpe r) 常被ARP病毒利用, 所以, 禁止了npptools.dll将使此类病毒无法正常运行。具体方法是:在安全模式中, 打开WINDOWSSYSTEM32NPPTOOLS.DLL文件。删除这个文件后, 用零字节的文件替换。最后将nnptools.dll保存为只读文件。
2) 给系统安装补丁程序。通过Window s Update安装好系统补丁程序 (关键更新、安全更新和Service Pack) 。
3) 给系统管理员帐户设置足够复杂的强密码, 最好能是12位以上, 字母+数字+符号的组合;也可以禁用/删除一些不使用的帐户。
4) 经常更新杀毒软件 (病毒库) , 设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件, 网络防火墙在防病毒过程中也可以起到至关重要的作用, 能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁, 不妨通过使用网络防火墙等其它方法来做到一定的防护。
5) 关闭一些不需要的服务, 条件允许的可关闭一些没有必要的共享, 也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务。
3 ARP杀毒软件
目前, 有一些安装在系统上的ARP专杀软件和病毒防火墙产品可以通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址, 它能够保障单机与网关之间数据流向不经过第三者。ARP防火墙的功能包括:1) 拦截ARP攻击:在系统内核层拦截外部虚假ARP数据包, 保障系统不受ARP欺骗、ARP攻击影响, 保持网络畅通及通讯安全;2) 在系统内核层拦截本机对外的ARP攻击数据包, 以减少感染恶意程序后对外攻击给用户带来的麻烦;3) 拦截IP冲突。在系统内核层拦截IP冲突数据包, 保障系统不受IP冲突攻击的影响;4) 拒绝服务攻击抑制。在系统内核层拦截本机对外的TCP SYN/UDP/ICMP/ARP Do S攻击数据包, 定位恶意发动DOS攻击的程序;5) 除了网关外, 不响应其它机器发送的ARPRequest, 达到隐身效果, 减少受到ARP攻击的几率;6) ARP数据分析。分析本机接收到的所有ARP数据包, 掌握网络动态, 找出潜在的攻击者或中毒的机器;7) 监测ARP缓存。自动监测本机ARP缓存表, 如发现网关MAC地址被恶意程序篡改;8) 主动防御。主动与网关保持通讯, 通告网关正确的MAC地址, 以保持网络畅通及通讯安全;9) 追踪攻击者。发现攻击行为后, 根据ARP包内数据来锁定攻击者IP地址;10) ARP病毒专杀。根据ARP病毒特征码来扫描病毒;11) ARP缓存保护。防止恶意程序篡改本机ARP缓存。12) 自身进程保护。防止被恶意软件终止。
虽然这些ARP病毒防火墙与专杀杀软件能够保证系统自身ARP表的正确性, 然而只要他访问的服务器被攻击者实施“Man-In-The-Middle”, 同样会使得机器中毒。这一点更加说明了整体防护对抵抗ARP攻击的重要性。
4 结语
由于ARP协议制定时间比较早, 当时对这些协议的缺陷考虑不周, 使得ARP攻击的破坏性比较大, 但其也有局限性, 比如ARP攻击只局限在本地网络环境中。最根本的解决措施就是使用IPv6协议, 因为在IPv6协议定义了邻机发现协议 (NDP) , 把ARP纳人NDP并运行于因特网控制报文协议 (ICMP) 上, 使ARP更具有一般性, 包括更多的内容。
摘要:ARP协议存在很多漏洞, ARP地址欺骗将会给局域网的安全带来很多威胁。利用命令行法、工具软件法或sniffer抓包嗅探法可定位ARP地址欺骗攻击者。使用静态的IP-MAC地址解析、ARP服务器或第三层交换技术等方法可防御ARP地址欺骗的攻击。
关键词:ARP协议,ARP地址欺骗,ARP杀毒软件
参考文献
[1]专家解读APR病毒:http;//security.ccidnet.com/.
[2]马军, 王岩.ARP协议攻击及其解决方案[J].信息安全, 2006.
[3]牛少彰, 江为强.网络的攻击与防范——理论与实践[M].北京:北京邮电学院出版社.
局域网中的ARP欺骗 篇6
1. 局域网中的ARP欺骗病毒
1.1 ARP欺骗病毒的症状
近几年, 高校中的局域网时常会断线, 一段时间过后又能恢复正常通讯。具体表现为:客户端计算机瞬间与服务器通讯中断, 无法正常运行;IE浏览器频繁报错或访问网页的速度变得极其缓慢;一些常用软件出现运行故障自动关闭等;若通过802.1X身份认证接入局域网, 会突然遇到用户认证成功但无法访问网络的情况。当重启计算机后又能恢复正常的网络通讯。
1.2 ARP欺骗病毒的危害
这类病毒可能会使局域网内的用户无法正常上网, 最严重的情况下将导致整个局域网瘫痪。这类木马病毒除了让用户不能正常访问网络, 还会窃取用户的个人资料与隐私, 如上网账号、密码等。这将给用户带来经济上的损失。
1.3 ARP欺骗病毒的欺骗方式
当下, 这类病毒可以分为两种:仿冒网关攻击病毒和欺骗网关攻击病毒。
1.4 ARP欺骗病毒的工作原理
1.4.1 仿冒网关攻击病毒
这类病毒利用局域网内中毒计算机的MAC地址 (网卡物理地址) 来取代网关的MAC地址, 让被它欺骗的计算机向假网关发送数据, 而不是通过正常的网络设备 (如交换机、路由器等) 来上网, 从而造成网络内部互通, 但用户上不了网。如图1所示。
当这类病毒运行时, 网关的MAC地址就彻底发生了改变, 真实的网关MAC地址就被中毒计算机的MAC地址所取代。如图2所示。
现在来看一下该病毒的工作原理和机制。当局域网中的计算机PC-A打开一个网页时, 正常情况下, 计算机PC-A发出的通信数据包直接流向网关。但当局域网内感染了该病毒后, 计算机PC-A发出的数据包在流经网关之前必须经过计算机PC-B。
根据图3, 用语言来描述整个过程将更直观, 也便于读者理解。
第一步:计算机PC-B发出ARP欺骗病毒广播包, 对外称自己就是网关。第二步:局域网内每一台计算机都能接收到计算机PC-B发出的ARP欺骗病毒广播包并更新ARP表, 所以ARP缓存就会中毒。第三步:局域网内任意一台计算机通过中毒的计算机PC-B访问因特网, 可能导致整个局域网通讯中断。
1.4.2 欺骗网关攻击病毒
这类病毒首先会截获网关的通讯数据, 然后通知网络设备 (如交换机、路由器等) 一系列错误的内部MAC地址并不断重复上述过程, 使真实的MAC地址信息无法通过更新保存在网络设备中, 最终导致网络设备发送传出的数据包只能传送到错误的MAC地址上。
仍以图三为例, 用语言来描述整个过程将更直观, 也便于读者理解。
第一步:计算机PC-B (见表1) 仿冒计算机PC-A (见表2) 向网关发送伪造的ARP报文 (其MAC地址为CC-CC-CC-CC-CC-CC) 。
第二步:网关的ARP表 (见表3) 中记录了错误的计算机PC-A的地址映射关系, 从而导致正常的数据报文无法正确地被PC-A接收。
2. ARP欺骗病毒的防范方法
2.1 提高电脑用户安全防范意识水平
接入局域网中的用户应不断提升网络安全防范意识。建议如下:⑴给管理员账户设置相对复杂的权限密码;⑵禁用操作系统的自动播放功能;⑶经常更新杀毒软件的病毒库, ⑷安装网络防火墙;⑸定期更新操作系统和相关应用软件补丁;⑹关闭一些不必要的服务, 例如一些共享服务, 如单机用户可彻底关闭server服务。
2.2 使用专业软件防护
使用ARP防护软件, 例如AntiARP Sniffer。该软件有2个功能。第一, 防止用户通讯时数据包被第三方截取;第二, 防止ARP病毒发送地址冲突数据包。该软件操作起来也很方便, 如果该软件频繁地提示用户IP地址冲突, 则说明局域网中存在ARP欺骗病毒。用户只要将计算机中的[事件查看器]打开就可以获取到冲突的MAC地址, 将它们复制到该软件的[本地MAC地址栏], 完成后点击[防止地址冲突]。再禁用本地网卡, 然后启用。用CMD命令打开MS-DOS窗口输入Ipconfig/all指令查看当前MAC地址是否与本地MAC地址匹配, 如果符合将不再显示地址冲突。
2.3 上网客户端静态地址绑定
编写一个批处理文件, 将其命名为antiarp.bat。该文件的功能是将交换机的网关IP地址和网关MAC地址进行绑定。用户可使用[arp–a]命令查看交换机网关IP地址和网关MAC地址。将这个批处理文件拖到[windows—开始—程序—启动]中, 之后用户每次开机都会自动加载该文件。代码:@echo off;arp-d;arp-s网关IP地址网关MAC地址;
2.4 局域网划分VLAN (虚拟局域网) 隔离ARP欺骗病毒
局域网中的网管员应根据单位网络拓扑结构划出若干个VLAN。当网管员发现有用户的计算机向局域网发送大量地址冲突数据包时, 应该利用技术手段对该用户的交换机端口定位, 然后将该端口划分到一个单独的VLAN隔离该用户, 以避免对其他用户造成影响或者直接屏蔽该用户的上网端口。
3. 结束语
局域网内部防御ARP病毒攻击的方法是在客户端、网络接入设备和服务器端建立立体防御机制。但这些办法无法从根本上根治ARP病毒, 因为ARP病毒是基于ARP协议的安全缺陷产生的。今后随着Ipv6的应用与普及, ARP病毒将被根治。
摘要:近几年, APR欺骗病毒在局域网内大量出现导致用户上网非常不稳定。该文章将详细介绍这类病毒的攻击原理及预防措施。
关键词:ARP病毒,工作原理,预防方法,局域网
参考文献
[1]谢希仁.计算机网络 (第四版) [M].大连:大连理工大学出版社, 2004.
[2]黄剑飞.构建网络安全的几点设想[J].教育与职业, 2004 (20) :66~67
局域网中的ARP欺骗 篇7
关键词:ARP欺骗,IP-MAC双向绑定,网络安全
1 ARP协议的定义及功能
ARP协议 (Address Resolution Protocol) , 或称地址解析协议。ARP协议用于将计算机的网络地址 (IP地址32位) 转化为物理地址 (MAC地址48位) 。ARP协议是属于链路层的协议, 在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址 (硬件地址或称MAC地址) 来确定接口的, 而不是根据32位的IP地址。内核 (如驱动) 必须知道目的端的硬件地址才能发送数据。MAC地址 (硬件地址或称以太网地址) 即网卡物理地址都是固化在网卡中的, 而IP地址所要转化的物理地址就是网卡的物理地址。
在网络传输中数据包的单位我们称之为“帧” (Frame) , “帧”数据是由两部分组成的:帧头和帧数据。帧头包括接收方主机物理地址的定位以及其它网络信息。在以太网中, 两台主机间假如要进行通信, 就必须事先知道对方的MAC地址。ARP协议的基本功能就在于此, 它将目标设备的IP地址, 通过ARP映射表转换成为MAC地址。每台安装有TCP/IP协议的计算机主机里都有一个ARP缓存表, 表中的IP地址与MAC地址是一一对应的, 如下表所示:
2 ARP欺骗和攻击方式
ARP缓存表进行更新一个最大的缺点从来不验证收到的的真伪, 也就是说从来不会去验证自己是否曾经发送过这个ARP请求, 一般收到ARP应答包后只是简单的将应答包里的MAC地址与IP映射关系替换掉原有的ARP缓存表里的相应信息, 这个漏洞就为第三方进行ARP欺骗和攻击提供了可乘之机。一般的ARP攻击有以下几种:
1) 拒绝服务攻击
拒绝服务攻击就是使目标主机不能响应外界请求, 从而不能对外提供服务的攻击方法。如果攻击者向目标主机发送ARP应答包, 将其ARP缓存映射表中的MAC地址全部改为根本就不存在的地址, 那么目标主机向这个地址发送所有的数据都将丢失, 这就使得上层协议忙于处理这种异常反应而无法响应其他外来请求, 这就达到了攻击者所要达到拒绝服务的目的。
2) 基于ARP的“中间人攻击”
中间人攻击是一种“间接”的入侵攻击方式。这种攻击是利用一定手段在两台或多台主机之间人为地加入一台透明主机, 这台主机就称为“中间人”。例如A、C两台客户机通过交换机或者路由器进行通信, 一般来说数据包只通过交换机或者路由器在A、C之间通信, A、C电脑中的ARP映射表中MAC地址都是对方的MAC地址, 但如果黑客电脑B想要截获A、C之间通信, 分别向A、C发送伪造的ARP应答包, 将A、C电脑中的ARP映射关系都指向电脑B, 那样A、C间的通信就通过B进行了, B就如愿以偿截获所有A、C间的通信数据了。由于网络的特殊性, “中间人”对于原通信双方是透明的, 使得很难被发现, 也就使得这种攻击更加具有隐蔽性。
如果攻击者对一个目标主机与它所在局域网的路由器实施中间人攻击, 那么攻击者就可以截取Internet与这个目标主机的之间的全部通信。
3 ARP欺骗解决方案
3.1 DHCP结合IP-MAC双向绑定
要想彻底避免ARP欺骗的发生, 我们需要让每台计算机的MAC地址与IP地址唯一且对应。虽然我们可以手动设置每台电脑IP地址, 但只是个治标不治本的方法。对于那些通过ARP欺骗进行非法攻击的用户来说, 他只需要事先将自己的IP地址手动更改掉就可以了, 这样检查起来困难就更大了。鉴于这种情况, 这就需要进行IP与MAC的双向绑定, 也就是说, 不仅要在网关的交换机处静态绑定用户的MAC地址和IP地址, 在客户端也需要静态绑定网关MAC地址和IP地址以及同一网段的IP地址和MAC地址, 使之不再动态学习。当然这其实是一个理想的解决方案, 现实当中操作起来难度不小, 无形当中极大地加重网络管理的负担。这对于小型的局域网是非常有效的方法, 但是像大学的校园网本身用户就相当多, 还有很多是学生自带电脑, 如果一一进行双向绑定, 这个工作量可想而知了。基于此项原因, 这就需要提出一种更加全面立体的防御对策。
3.2 两种主要的防御方案
3.2.1 使用路由器进行设置
为了防止外部网络对局域网进行ARP攻击, 可以进行基本的路由器ARP表绑定设置。在确定当前网络正常运行的前提下, 然后再进ARP绑定设置。具体设置如下:首先要启用ARP绑定功能, 其次要绑定ARP表。一般的路由器都可以选择“ARP映射表”。当确认这个表是正确的, 随后进行绑定操作, 为了在路由器重启后使这些绑定条目仍然有效, 可以选择“全部导入”把这些条目存入静态ARP表, 对于这个静态ARP映射表, 可以进行修改、删除、取消绑定等操作。当然也可以在这里通过手工输入MAC地址、IP地址的方式来添加静态ARP映射条目。在确认进行绑定之前要仔细核对ARP缓存表是否正确的。对于客户端电脑尽量使用手工进行电脑的IP地址设置, 因为假如是采用DHCP动态获取IP地址, 可能会出现下次上网自动获取到的地址与当前绑定的地址不一致从而致使某些电脑不能正常上网。当更换电脑网卡时也需要更新静态ARP映射表。否则由于更换了网卡的主机的MAC地址与ARP表中的不一致, 也会导致无法上网, 还有就是假如一台新电脑要上局域网, 必须先和网管联系在网关添加静态ARP映射表。
3.2.2 客户端主机进行ARP绑定设置
至于个人电脑的绑定设置, 可以通过一些软件如AntiARP-DNS, 或者或者利用命令提示符下输命令绑定ARP缓存表, 此外, Windows Vista也提供了这样的功能。本文主要介绍用编写批处理命令进行开机自动绑定网关ARP缓存表:
1) 首先, 获得路由器的内网的MAC地址 (例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aaHiPER管理界面—端口配置—局域网端口MAC地址) 。
2) 编写一个批处理文件rarp.bat内容如下:
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。将这个批处理软件拖到“windows—开始—程序—启动”中。
其它解决方法还可以是:
1) 划分虚拟局域网
欺骗攻击无法跨网段工作, 将网络进行越细致地分段, 无漏洞渗透成功的可能性就越小。将受信任主机设置在同一社区VLAN中, 将绝密性主机设置在隔离VLAN中, 可以有效地防止无漏洞渗透的渗入。
2) 安装ARP防火墙软件
综上所述, ARP协议自身的缺陷给网络尤其是局域网络的安全带来很大的隐患, 我们要高度重视。我们虽然可能无法完完全全杜绝ARP攻击, 但是, 只要掌握了它的基本原理, 通过不断学习, 从多方面下手, 也是能够解决ARP欺骗带来的问题, 还网络一个正常秩序。
参考文献
[1]ARP Address Resolution Protocol, 2006.
[2]任侠.吕述望.ARP协议欺骗原理分析与抵御方法.期刊论文.-计算机工程, 2003 (9) .
[3]王群.网络安全[M].北京:人民邮电出版社, 2007.
局域网中的ARP欺骗 篇8
ARP (Address Resolution Protocol) 是地址解析协议的简称, 是一种将IP地址转化为物理地址的协议。在OSI网络参考模型的第二层 (数据链路层) 中, 存在着两个子层:介质访问控制 (MAC) 和逻辑链路控制 (LLC) 。由MAC子层提供的最广为认知的服务或许就是它的地址了, 就像以太网的地址一样。在以太网中, 数据传输的目的地址和源地址的正式名称是MAC地址。此地址大多数情况下是独一无二的固化到硬件设备上的, 而IP地址所要转化的物理地址就是MAC地址。
在网络数据传输中实际传输的是“帧” (Frame) , 它以比特流的方式通过传输介质传输出去, 其中, 帧里面就包含有所要传送的主机的MAC地址。在以太网中, 一台主机要同另一台主机进行通信, 就必须要知道对方的MAC地址。但是, 我们如何知道这个MAC地址呢?这时就用到了地址解析协议。所谓“地址解析”, 就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。每台安装有TCP/IP协议的计算机主机里都有一个ARP缓存表, 表中的IP地址与MAC地址是一一对应的, 如下表所示:
二、A R P欺骗和攻击方式
1. 简单的欺骗攻击
这种欺骗方式是指:欺骗主机通过发送伪造的ARP包来欺骗网关和目标主机, 让目标主机认为这是一个合法的主机。包括以下情况:局域网主机冒充网关进行欺骗。假设有主机PC_A:当PC_A要与网关GW_C通讯时, 首先要知道GW_C的MAC地址, 如果局域网中另有一台主机PC_B冒充GW_C告诉PC_A:GW_C的MAC地址是MAC B, 那么PC_A就受骗了;或者直接告诉PC_A:GW_C的MAC地址是PC_X, 那么, 就会如同我们邮寄信件时写错了地址, 信件或者是发错了地方, 或者是根本就发送不出去。这样一来就会造成断线。
网络中通讯有一个前提条件, 也就是必须满足通讯双方都能向对方传送数据才会确保正常通讯, 即确保PC_A GW_C和GW_C PC_A的通讯都没有问题时, 才能确保通讯正常。假如有主机PC_B冒充PC_A, 告诉GW_C, PC_A的MAC是MAC B, 那么就会出现:当PC_A GW_C时没有问题, 可是当GW_C PC_A时就会出错, 造成网络断线的现象。
2. 基于ARP的“中间人攻击”
MITM (Man-In-The-Middle) 称为“中间人攻击”, 是一种“间接”的入侵攻击方式。这种攻击是利用一定手段在两台或多台主机之间人为地加入一台透明主机, 这台主机就称为“中间人”。“中间人”能够与原始主机建立连接、截获并篡改它们的通信数据。由于“中间人”对于原通信双方是透明的, 使得“中间人”很难被发现, 也就使得这种攻击更加具有隐蔽性。而其中“中间人”常用的一种手段就是通过ARP欺骗的方式来实现的。
假设有同一网段内的三台主机A, B, C。主机A, B为合法主机, C为“中间人”攻击者。如果主机C分别向主机A和C发送假消息, 即:告诉主机A, 主机C的MAC地址是MAC B, 同时告诉主机B, 主机C的MAC地址是MAC A。这样主机C就成功地成为了A与B的“中间人”。那么, A, B间正常的直接通信也会随之中断。取而代之的是A, B间每次进行信息交互时都要经过主机C。这样, 主机C就可以有办法监听A与B之间的通信, 达到监听的目的了。如果C不转发A与B之间的通信, 就会造成主机A, B之间的网络连接中断。
三、A R P欺骗解决方案
1. DHCP结合静态捆绑法
DHCP是Dynamic Host Configuration Protocol (动态主机分配协议) 缩写。要想彻底避免ARP欺骗的发生, 我们需要让每台计算机的MAC地址与IP地址唯一且对应。虽然我们可以通过为每台计算机设置IP地址的方法来管理网络, 但是, 对于那些通过ARP欺骗非法攻击的用户来说, 他可以事先自己手动更改IP地址, 这样检查起来就更加复杂了。这就需要进行IP与MAC的双向绑定, 也就是说, 在网关的交换机处静态绑定用户的MAC地址和IP地址的同时, 在客户端静态绑定网关MAC地址和IP地址以及同一网段的IP地址和MAC地址, 使之不再动态学习。但这只是一个理想的解决方案, 因为这样会大大加重网络管理的负担。网络管理员要非常熟悉交换机设备, 因为管理员要在交换机和客户端加入一台计算机并且添加一条记录, 否则将无法通信。这就需要提出一种更加全面立体的防御对策。
2. 两种主要的防御方案
(1) 使用路由器进行设置
为了防止局域网外部对局域网进行ARP攻击, 下面以阿尔法宽带路由器为例介绍基本的路由器ARP表绑定设置。在进行ARP绑定前首先要确定网络是正常运行的, 然后再进ARP绑定设置。具体设置如下:首先要启用ARP绑定功能, 其次要绑定ARP表。选择“ARP映射表”。
当确认这个表是正确的, 随后进行绑定操作, 为了在路由器重启后使这些绑定条目仍然有效, 可以选择“全部导入”把这些条目存入静态ARP表, 对于这个静态ARP映射表, 可以进行修改、删除、取消绑定等操作。如果已经知道局域网内主机的MAC地址, 也可以在这里手工输入MAC地址、IP地址来添加静态ARP映射条目。进行绑定置前要确认ARP缓存表是正确的。尽量手工设置电脑的IP地址, 如果是采用DHCP动态获取IP地址, 以后可能会出现获取到的地址与当前绑定的地址不一致而导致某些电脑不能上网。当更换电脑网卡时要更新静态ARP映射表。否则由于更换了网卡的主机的MAC地址与ARP表中的不一致, 也会导致无法上网。
(2) 客户端主机进行ARP绑定设置
至于个人电脑的绑定设置, 可以通过一些软件如Anti ARP-DNS, 或者一些自己编写的批处理文件使之能够静态绑定ARP缓存表, 此外, Windows Vista也提供了这样的功能。下面仅针对大多数用户介绍一种在命令提示符下绑定ARP缓存表的方法。
在本地主机上可以使用arp–a命令 (显示如下图) :
这就是主机中的ARP缓存表。其中, “dynamic”代表动态缓存, 即这项在收到一个ARP包时会被动态修改。如果更改的ARP缓存表中的“Physical Address”是被欺骗的虚假的信息, 当主机通过ARP缓存表按照提供的MAC地址进行通信时却不能找到正确的通信对象, 因此就不能和其他主机正常通信了。所以, 我们要手动建立起可信任的ARP缓存表。静态表的建立用arp-s IP MAC命令。
执行“arp–s 222.26.12.129 00-e0-fc-49-a9-fb”再次查看ARP缓存表 (显示如下图) :
此时“Type”项变成了“static”静态类型。在这种状态下, 在接收到ARP包时也不会改变本地缓存表, 从而有效地防止ARP攻击。由于静态的ARP缓存表在每次重启后都会自动恢复原来设置, 所以每次开机都需要重新设置。
综上所述, ARP协议自身的缺陷给网络尤其是局域网络的安全带来很大的隐患, 我们要高度重视。但是, 只要掌握了它的基本原理, 就可以从多方面下手, 杜绝隐患。
摘要:对校园局域网频繁发生的ARP欺骗的问题进行论证, 通过网管等实际生活中的例子加以解释, 介绍几种常见的ARP欺骗和攻击方式以及与MAC地址绑定的种种结合方式, 并且从客户端、网关等多个方面提出关于如何防御ARP攻击的多种方法, 以达到全面防御、维护局域网络安全的目的。
关键词:地址解析协议,ARP欺骗,MAC地址绑定,网络安全
参考文献
[1]赖利 (Riley, C.) , 等.ISCO网络核心技术解析[M].江魁, 等, 译.北京:水利水电出版社, 2005.
[3]王群.网络安全[M].北京:人民邮电出版社, 2007.
局域网中的ARP欺骗 篇9
随着信息化的快速发展,计算机网络已经成为采供血事业的重要基础设施,绝大多数采供血机构都建立了局域网,采供血业务对计算机网络及信息系统的依赖程度与日俱增。但计算机病毒、黑客和木马对网络的攻击不可避免,使得局域网的稳定性、安全性和可靠性受到严重威胁,尤其是近年来频发的ARP攻击和ARP病毒造成的网络异常事件时有发生,其安全问题带来的影响愈发明显,已经逐步影响到采供血业务的开展。本文探讨嗅探技术应用能够为网络的安全提供相应的保障,有效地推动了网络技术的发展。
1 网络嗅探的相关内容分析
1.1 嗅探技术
嗅探(Sniffer)技术是一种重要的网络安全攻防技术,嗅探器可以窃听网络上流经的数据包。黑客就是通过嗅探技术来偷取网络中的大量敏感信息,与主动扫描相比,嗅探难被察觉,也很容易操作。对于信息安全管理,可借助嗅探技术,对网络进行实时监控,并即时发现各种网络攻击行为。在各种局域网嗅探技术手段中,最易实现的就是基于ARP协议的交换网嗅探技术[1]。
1.2 ARP欺骗的原理分析
ARP协议是局域网协议,属于一种存在于TCP/IP协议栈中的低层协议,该协议对应于数据链路层的通信地址的处理,也被称为地址解析协议,其负责将某个IP地址解析成对应的MAC地址。为了获得较高的传输效率,数据链路层没有做安全上的防范,所以在使用ARP协议时无需认证,使用ARP协议的局域网假设通信双方是相互信任和相互独立的,因此ARP协议就存在了漏洞。
所谓ARP欺骗技术指的是就是欺骗者通过对ARP协议中存在的漏洞进行利用,任何时候只要接收到ARP应答包,主机就会自动更新ARP缓存。这样攻击者就可以向目标主机发送假冒的ARP数据包进行欺骗,以达到监听的目的。局域网内一旦有ARP的攻击存在,会欺骗局域网内所有主机和网关,让所有上网的流量必须经过ARP攻击者控制的主机。
1.3 数据包的捕获
常用的捕获数据包的方法有原始套接字、Lib Pcap、Win Pcap和JPcap等方法。本文采用WinP cap开发包,是一个基于Win32的捕获数据包和网络分析的体系结构,它为win32应用程序提供访问网络底层的能力,可以从网卡捕获或者发送原始数据,同时能够过滤并且存储数据包。
2 嗅探系统的设计分析
2.1 系统设计所需要的环境
在实际的设计过程中,网嗅探器在运行过程中需要的环境为Windows XP系统;在实际的开发过程中,所需要的工具包括:Visual C++6.0;驱动开发包:Win Pcap。在数据包进行转换过程中,应该使用系统自带的路由器进行。Windows XP系统的路由器修改注册表进行启用。
具体的操作方式为操作方式方式:首先打开注册表编辑器,找出HKEY_LOCAL_MACHINESYSTEMCurrentC ontrolS etSer vicesTcpipParam-eters,然后在右边的窗口中将子健IPEnableR o uter的值修改为0x01。
2.2 设计分析
程序在执行过程中有两个核心的工作,一是调用Winpcap函数库实现下层抓包。二是对抓到的包文进行分析。设计为IP扫描、ARP欺骗、ARP欺骗还原、数据捕获四部分;
(1)IP扫描
在设计过程中,其驱动开发包为Win Pcap,获取指定的IP内的主机,具体步骤为:首先对pcap_open()函数进行调试,再将打开嗅探主机的网络适配器,同时,还要将适配器改为混杂模式;其次,打开ARP数据包的扫描,对制定IP的所有主机发送ARP REQUEST数据包;然后,对pcap_compile()函数进行规则编辑翻译,捕捉相应的ARP数据包。再者对pcap_setfilter()函数进行过滤,同时,还要将过滤器和捕获进行关联。最后,打开ARP对响应包线程进行接受,同时,还要采用packet_handler()函数对数据包进行分,从而获取存在的主机以及MAC地址。
(2)ARP欺骗
在设计过程中,其主要步骤为:第一,工作人员随意选择一个存活的主机,让嗅探主机向其发送相应的ARPREQUEST数据包,并且这个数据包的IP地址为网关IP,MAC的地址为嗅探主机的MAC地址。第二,采用pcap_compile()函数对过滤规则进行编译,此环节中主要是针对网络层面以及传输层面的数据包;采用pacp_setfilter()函数对过滤规则进行设定,并且要和相应的捕获相关;对于循环数据包的捕获,应该采用packet_listenhandler(函数对相应的数据包进行分析,获取相应的信息、源地址、信息包的长度等。
(3)ARP欺骗还原
对活动主机进行ARP欺骗还原过程中,嗅探主机应该再向ARP欺骗还原发送ARP REQUEST数据包,并且这个数据包的IP地址为网关IP,MAC的地址为嗅探主机的MAC地址,就能实现欺骗还原。
(4)数据捕获
在实际的工作过程中,主要通过对WinP cap的利用实现数据包额捕获。通过对各种不容的文字进行构造,工作过程中,pcap捕获到一个数据包,就会提交数据包的相关信息,提交的方式为以unsignedchar*的方式向某一段进行缓冲。工作人员现在将缓冲区前的14个字节进行写入,然后依据太帧格式构造进行构造,根据太帧头部出来的Type字段来确定下一步是构造IP、ARP、RARP的其中一个[3]。
3 网络嗅探测试及结果分析
在实际的工作过程中,局域网嗅探是在交换式的太网环境中进行工作,在Windows系统之中运行,所以,其测试环境为:设备的硬件:DELL Inspiron 545s,CPU 2.33 GHz,RAM2 GB,Ethernet802.3(局域网);软件设备:Microsoft Windows XP,捕包驱动程序Win Pcap 3.0。在此环境下通过相应的测试嗅探器能够满足交换式局域网的发展需求,能够实现对制定机的IP的ARP欺骗和欺骗后还原,同时,还能对数据的捕获以及低层数据进行协议进行分析,能够取得良好的效果,保证了网络的安全[4]。
4 总结
综上所述,加强对以ARP欺骗技术为基础的交换式局域网嗅探技术的研究分析,能够保证局域网的安全。文章通过对嗅探系统的各个模块进行研究,明确了主要内容,证明了以ARP欺骗技术为基础的交换式局域网嗅探技术对网络安全的意义。
摘要:网络技术的不断发展,虽然为人们的生活、工作提供了便利,但也存在很高的风险,对人们的生活以及工作造成了很大的困扰。网络管理人员利用局域网嗅探技术可随时掌握网络的实际情况,查找网络漏洞、检测网络性能,当网络性能急剧下降的时候,可以通过嗅探器捕获网络传输中的数据包并对其进行分析,还能对其结果进行分析利用,保证网络的安全。本文主要通过网络嗅探、ARP协议等相关内容进行分析,设计以ARP欺骗技术为基础的交换式局域网嗅探系统,有效的提高了网络的安全性。
关键词:ARP欺骗,交换式局域网,嗅探技术
参考文献
[1]王晓妮.基于Win Pcap的校园网ARP攻击检测防御系统研究与设计[J].办公自动化(综合版),2014.
[2]卢艳,李辉.交换式局域网ARP欺骗嗅探技术研究[J].计算机工程与应用,2013.
[3]王华.企业局域网的ARP欺骗侦测技术研究与实现[J].电子科技大学,2013.
