arp协议分析及arp欺骗类病毒的防御

arp协议分析及arp欺骗类病毒的防御

ID:20420706

大小:57.00 KB

页数:9页

时间:2018-10-12

arp协议分析及arp欺骗类病毒的防御_第1页
arp协议分析及arp欺骗类病毒的防御_第2页
arp协议分析及arp欺骗类病毒的防御_第3页
arp协议分析及arp欺骗类病毒的防御_第4页
arp协议分析及arp欺骗类病毒的防御_第5页
资源描述:

《arp协议分析及arp欺骗类病毒的防御》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、ARP协议分析及ARP欺骗类病毒的防御[摘要]目前利用TCP/IP协议安全漏洞进行欺骗攻击的事件经常发生,攻击者利用ARP欺骗进行拒绝服务攻击(DoS)或中间人攻击,造成网络通信中断或数据被截取和窜改,严重影响网络的安全。本文通过ARP协议原理分析揭示ARP协议欺骗,并对ARP病毒攻击提出一套有效可行的防犯措施和解决办法。[关键词]ARP协议ARP欺骗ARP病毒、引言ARP欺骗具有隐蔽性、随机性的特点,在Internet上随处可下载的ARP欺骗工具使ARP欺骗更加普遍。目前利用ARP欺骗的木马病毒在局域网中广泛传播,给网络安全

2、运行带来巨大隐患,是局域网安全的首要威胁。有时会出现网络设备完好,运转正常的情况下,局域网内用户上网速度缓慢甚至完全阻塞的情况,这种现象往往是由于局域网内遭到ARP攻击引起的,一些带有ARP欺骗功能的木马病毒,利用ARP协议的缺陷,像大规模爆发的流行性感冒一样,造成网络时断时续,无法正常上网。同时清理和防范都比较困难,给不少的网络管理员造成了很多的困扰。二、ARP协议概述ARP协议全称为AddressResolutionProtocol,即地址解析协议,是TCP/IP协议栈中的基础协议之一,它工作于0SI模型的第二层,在本层和

3、硬件接口间进行联系,同时为上层(网络层)提供服务。是将IP地址与网络物理地址一一对应的协议,负责IP地址和网卡实际地址(MAC)之间的转换。也就是将网络层地址解析为数据链路层的MAC地址。在以太网中,一个网络设备要和另一个网络设备进行直接的通信:除了知道目标设备的IP地址外,还要知道目标设备的MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通讯的顺利进行。当一个网络设备需要和另一个网络设备通信时,它首先把目标设备的IP地址与自己子网掩码进行“与”操作,以判断目标设备与自己是否位于同一

4、网段内,如果目标设备与源设备在同一网段内,则源设备以第二层广播的形式(目标MAC地址全为1)发送ARP请求报文,在ARP请求报文中包含了源设备与目标设备的IP地址。如果目标设备与源设备不在同一网段,则源设备首先把IP分组发向自己的缺省网关,由缺省网关对该分组进行转发。三、ARP协议的缺陷1.主机ARP列表是基于高速缓存动态更新的。由于正常的主机间的MAC地址刷新都是有时限的,这样恶意用户如果在下次交换之前成功地修改了被欺骗机器上的地址缓存,就可以进行假冒或拒绝服务攻击。2.可以随意发送ARP应答分组。由于ARP协议是无状态的,

5、任何主机即使在没有请求的时候也可以做出应答。因此任何时候发送ARP应答。只要应答分组是有效的,接收到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机高速缓存。四、ARP的主要攻击类型ARP期骗是指利用ARP协议的漏洞,通过向目标设备主机发送虚假的ARP报文,达到监听或者截获目标主机数据的攻击手段。主要攻击类型:冒充主机欺骗网关(对路由器ARP表的欺骗)、冒充网关欺骗主机(对内网PC的网关欺骗)。1.冒充主机欺骗网关攻击主机C发出一个报文,其中源MAC地址为MACC,源IP地址为IPA。这样任何发往主机A的报文都会被发往

6、攻击主机C。网关无法与真实主机A直接通信。假如攻击主机不断地利用自己的真实MAC地址和其他主机的IP地址作为源地址发送ARP包,则网关无法与网段内的任何主机(攻击主机C除外),进行直接通信。然而,这种情况下,交换机是不会产生任何报警日志的,原因在于,多个IP地址对应一个MAC地址在交换机看来是正常的,不会影响其通过IP所对应的MAC来交付报文。如果攻击者将网关ARP缓存中的MAC地址全部改为根本就不存在的地址,那么网关向外发送的所有以太网数据帧会丢失,使得上层应用忙于处理这种异常而无法响应外来请求,也就导致网关产生拒绝服务(不

7、能响应外界请求,不能对外提供服务)。1.冒充网关欺骗主机(1)在主动攻击中,攻击者C主动向A发送ARP应答数据包,告诉A,B(网关)的IP地址所对应的MAC地址是CC-CC-CC-CC-CC-CC,从而使得A修改自己的ARP列表,把B的IP地址对应的MAC地址修改为攻击者C的MAC地址。(2)同时,攻击者C也主动向B发送ARP应答数据包,告诉B,A的IP地址所对应的MAC地址是CC-CC-CC-CC-CC-CC,从而使得B修改自己的ARP列表,把A的IP地址对应的MAC地址修改为攻击者C的MAC地址。(3)从而使得A—B之间的

8、通信形式变成A—C—B,实现了中间人攻击。在被动攻击中,攻击者C只在A或者B发送ARP请求数据包时,延时一段时间发送应答数据包,使得自己的应答包在正确的应答包之后到达,防止自己修改的相应主机的ARP列表被正确的应答包再次修改。那么主机A发往网关B的报文都会被发往攻击主机C,造

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。