资源描述:
《分析arp欺骗防御技术的探究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、分析ARP欺骗防御技术的探究文章对ARP欺骗的原理、中毒现象进行了分析,同时回纳了ARP欺骗的主要方式,重点论述了ARP欺骗的防御技术,以达到全面防御维护局域X络平安的目的。 2007年6月初,国家计算机病毒应急处理中心预告一种新型“地址解析协议欺骗”(简称:ARP欺骗)的恶意木马程序正在互联X络中传播。从此,ARP欺骗逐渐在校园X、小区X、企业X以及X吧等局域X中蔓延,严重影响了正常X络通讯。如何有效防范ARP欺骗,成为普遍关注的新题目。 一、ARP欺骗的原理及中毒现象 1.ARP欺骗的原理 ARP病毒是一种木马程序,其本质就是利用ARP本身的漏洞
2、进行欺骗,即通过伪造IP地址和MAC地址实现欺骗,在X络中产生大量的ARP通讯量使X络阻塞,或使信息流向本不存在的有正确的“IP地址和MAC地址”虚拟主机,而使个人主机无法收到信息。 典型的ARP欺骗过程如下: 假设局域X分别有IP地址为192.168.0.1、192.168.0.2和192.168.0.3的A、B、C三台主机,假如A和C之间正在进行通讯,此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.0.3(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB,当A接收到B伪造的ARP应答,就会更新本地
3、的ARP缓存,这时B就伪装成C了。同时,B同样向C发送一个ARP应答,应答包中为发送方IP地址192.168.0.1(A的IP地址),MAC地址BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA),当C收到B伪造的ARP应答,也会更新本地ARP缓存,这时B又伪装成了A。这时主机A和C都被主机B欺骗,A和C之间通讯的数据都经过了B,主机B完全劫持目标主机和其他主机的会话。 2.中毒现象 局域X出现忽然掉线,过一段时间后又会恢复正常的现象。同时,X内的其他计算机系统也会受到影响,出现IP地址冲突、频繁断X、IE浏览器频
4、繁出错,以及一些系统内常用软件出现故障等现象。假如局域X中是通过身份认证上X的,会忽然出现可认证,但不能上X的现象(无法ping通X关),重启机器或在MS-DOS窗口下运行命令arp-d后,又可恢复上X。 二、ARP欺骗的主要方式及防御技术 1.ARP欺骗的主要方式 从影响X络连接的方式来看,ARP欺骗通常分为四种: (1)冒充X关欺骗计算机。它是通过建立假X关(实在是X内一普通的感染ARP病毒的主机),让被它欺骗的计算机向假X关发数据,而不能通过X关正常上X。在用户的角度看来,就是上不了X了以及X络掉线了,这样会给用户造成系统X关出错的假象。 (2)
5、冒充计算机欺骗X关。感染ARP病毒的计算机不断冒充其它计算机通知X关,并按照一定的频率不断进行,结果X关发给正常计算机的数据被欺骗计算机拦截,造成正常计算机无法收到信息。 (3)冒充计算机欺骗计算机。攻击源会以正常身份伪造虚假的ARP应答,欺骗其它计算机,结果其它计算机发给被冒充计算机的数据全部被攻击源截取。假如冒充计算机启动IPForAC和IP地址,对局域X内广播,干扰正常通讯。 2.ARP欺骗的防御技术 (1)设置静态ARP缓存(静态绑定)。最常用的方法就是做IP和MAC静态绑定,在X内把主机和X关都做IP和MAC绑定。欺骗是通过ARP的动态实时的规则
6、欺骗内X机器,所以我们把ARP全部设置为静态可以解决对内XPC的欺骗,同时在X关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。具体操纵分为两步: 第一步在PC机上,打开DOS提示符窗口,先输进:arp-d(清除ARP缓存表)回车后,然后输进arpsIP地址MAC地址(IP和MAC为X关的);也可作批处理文件放在启动项中,内容如下: echooff arp-d arp-s<i-addr><eth-addr> 第二步在交换机或路由器上,对每个IP对应得MAC地址进行静态绑定。 (2)安装ARP防护软件和杀毒软件。目前有关ARP类的防护软件也比较
7、多了,大家比较常用的主要有360平安卫士、欣向ARP工具和Antiarp等。目前常用的杀毒软件也比较多,诸如卡巴斯基、Macfee、瑞星和趋向科技等。安装了相关软件后,PC用户要经常升级病毒库。 (3)DHCP结合静态***。通过方法①中的IP和MAC的双向绑定,可以有效防范ARP欺骗,但是由于操纵繁琐,会大大加重X络治理的负担。另外,碰到那些通过ARP欺骗非法攻击的用户来说,他可以事先自己手动更改IP地址,这样检查起来就更加复杂了。通过在X关上建立DHCP服务器,把DHCP的地址池或者将客户端获得IP的租约设置为一个非常长的时间,可以固定主机MAC和IP的对
8、应关系,从而保证MAC地
