欢迎来到天天文库
浏览记录
ID:30640573
大小:19.78 KB
页数:8页
时间:2019-01-02
《基于arp欺骗内网渗透和防范(1)》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、从本学科出发,应着重选对国民经济具有一定实用价值和理论意义的课题。课题具有先进性,便于研究生提出新见解,特别是博士生必须有创新性的成果基于ARP欺骗内网渗透和防范(1)摘要本文从协议欺骗的角度,讨论了在内网中进行网络渗透的方法,研究了基于ARP欺骗的数据包替换技术,以替换WEB回复报文中的链接信息为例,分析了无漏洞渗透技术的原理。在此基础上,探讨了基于ARP欺骗的内网渗透的防范措施。关键词ARP欺骗;内网渗透;无漏洞渗透防范0引言协议欺骗是指通过对通信双方使用协议弱点的利用,冒充其中一方与另一方进行通信的行为。
2、对于广播式网络,只要更改自己网卡的接收模式为混杂模式,理论上就可以截获所有内网上的通信。对于交换式网络环境,如果要截获网络上不属于自己的通信,可以通过协议欺骗来实现。内网渗透指的是在网络内部的渗透,在本地局域网内部对网内的其他系统进行渗透的过程。基于ARP欺骗的内网渗透指网络攻击者利用ARP欺骗截获不属于自身的通信,并从这一条件中获取更多利益的行为。1ARP协议欺骗与内网渗透ARP协议欺骗ARP是一个位于TCP/IP协议栈中的低层协议,负责将局域网中某个IP地址解析成对应的MAC地址。课题份量和难易程度要恰当,
3、博士生能在二年内作出结果,硕士生能在一年内作出结果,特别是对实验条件等要有恰当的估计。从本学科出发,应着重选对国民经济具有一定实用价值和理论意义的课题。课题具有先进性,便于研究生提出新见解,特别是博士生必须有创新性的成果IP地址到MAC地址的映射关系主要是靠ARP协议来实现的。对于网络主机,这个映射关系存放在ARP高速缓存中。ARP协议是这样工作的:首先,网络通信源机器向网络广播ARP请求包,请求网络通信目的机器IP所对应的MAC地址;然后使用该IP的机器会向请求方发送一个含有其MAC地址的ARP回应包,这样请
4、求方就知道向哪个MAC地址发送数据。ARP协议存在以下安全问题[1]:无连接、无认证、动态性、广播。利用ARP协议的这些安全问题,可以设计ARP协议欺骗的步骤和方法。①主机在不知道目的IP对应的MAC地址时,进行ARP广播请求,入侵者可以在接收到该ARP请求后以自己的MAC地址应答,进行假冒;②由于被假冒机器所发送的ARP应答有可能比入侵者发送的应答晚到达请求主机,为了确保请求主机的缓存中绝大部分时间存放的是入侵者的MAC地址,可以在收到ARP请求后稍微延迟一段时间再发送一遍ARP应答;③有些系统会向自己缓存中
5、的地址发送非广播的ARP请求来更新自己的缓存。在交换网络环境下,如果请求主机缓存中已存有正确的主机MAC地址,入侵者就不能用以上接收请求然后应答的方法来更换被攻击主机缓存内容。由ARP弱点分析可知,应答可以随意发送,不一定要在请求之后。基于协议欺骗的内网渗透课题份量和难易程度要恰当,博士生能在二年内作出结果,硕士生能在一年内作出结果,特别是对实验条件等要有恰当的估计。从本学科出发,应着重选对国民经济具有一定实用价值和理论意义的课题。课题具有先进性,便于研究生提出新见解,特别是博士生必须有创新性的成果基于协议欺骗
6、的内网渗透技术也称无漏洞渗透技术。无漏洞渗透技术是相对于利用软件漏洞进行网络渗透的技术来说的。在以太网中,只要被渗透机器在网络中传输的数据包经过本地网卡,在本地就可以截获其数据包中的敏感信息,并可以更改数据包内容、替换数据包中的传输实体,使得被渗透机器上的敏感信息泄露,并可以使其在接收到被更改过的数据包之后,产生更多的损失。对内网中的机器进行渗透,不一定需要软件漏洞的存在。将这种不需要软件漏洞进行渗透的技术称为无漏洞渗透技术。在交换型以太网中,所有的主机连接到交换机,交换机知道每台计算机的MAC地址信息和与之相
7、连的特定端口,发给某个主机的数据包会被交换机从特定的端口送出,交换机通过数据包中的目的MAC地址来判断最终通过自己的哪个端口来传递该报文,通过ARP欺骗之后,交换机将无条件地对这些报文进行转发,从而确保了ARP欺骗报文的正确发送。2基于ARP欺骗的内网渗透无漏洞渗透技术无漏洞渗透技术的研究重点是在欺骗成功之后,对数据包的处理。对数据包处理的方式主要有两种,敏感信息的截取和传输实体的获取与替换。·报文中敏感信息的获取对于明文传输的面向连接和非面向连接的协议,在截获报文之后,对报文中传输的信息进行还原,并提取其中的
8、敏感信息,如非加密WEB页面的用户名、密码,TELNET的用户名、密码,FTP的用户名、密码和与邮件服务器进行交互时所需要的用户名、密码等都可以直接进行嗅探。·传输实体的获取与替换明文传输的面向链接的协议中有很多协议支持文件实体的传输。如HTTP协议、FTP协议、SMTP协议。对文件的实体获取是相对简单的,对到达本地网卡的报文进行缓存,当收到连续报文中小于1500Byte[2]的报文时
此文档下载收益归作者所有