欢迎来到天天文库
浏览记录
ID:31695475
大小:58.24 KB
页数:7页
时间:2019-01-17
《企业利用网络管理防范及处理arp欺骗、攻击实践》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、企业利用网络管理防范及处理ARP欺骗、攻击实践摘要:文章从企业网络安全的需要出发,提出如何利用网络管理系统,防范和处理网络攻击中比较常见的ARP欺骗与攻击的过程。并给出了近年来一些典型企业网络中存在的ARP欺骗与攻击进行实践分析。关键词:网络管理;ARP欺骗;ARP病毒攻击;IP地址管理;排查与防控手段中图分类号:TP393.18文献标识码:A文章编号:1006-8937(2012)26-0076-04回顾企业网络安全运行维护工作,有必要总结归纳近年来企业级网络管理系统和网络管理体系结构有效维护经验,有效利用网络管理防范与处理ARP欺骗、攻击相关经验。从近
2、年的网络运维,网络管理人员不断接到网络用户反映——"所在的网络在上网应用时网络时断时通,有时基本处于无法使用的状态”。而与此同时网络流量管理在对相应网段的监控中又没有异常情况发生,所以一时间很难使用常规的网络管理手段、经验加以判断与网络定位,从而给网络管理与网络维护提出了新挑战。由于这种网络故障来的较突然,既没有可以参考的经验,又没有可用的网络协议分析仪等条件进行客观数据的实地采集,所以我们一开始釆用的方法就是在网络交换机处对网段进行人为手工的“再细分”,用逐段排除法对有问题的PC机进行定位后再采取整治方法,但这种方法费时费力,排除故障时间长。通过对故障网
3、络现场观察和体会,加上对网络TCP/IP协议的分析后,得出对ARP网络欺骗和ARP网络病毒攻击的初步感性、理性双重认识。那就是如何认识ARP欺骗与攻击的共同点和区别,采取有效的防控手段来遏制这些网络安全威胁。1ARP欺骗分析ARP协议是一种将IP转化成以IP对应网卡的物理地址的协议,或者说ARP协议是将IP地址转化成MAC地址的一种协议。它靠内存中保存的一张表来使IP得以在网络上被目标机器应答。在我们企业网络架构的Vian中,以太网的每一帧有两种方式传输。一种对外传,就是用户有一个需求,当需要透过路由将网络帧转发到别的Vian时,需要通过本地Vian的网关
4、。另外一种是内传,当有用户需求就在本身这个Vian网络中时就不需要网关了。当遇到ARP欺骗的时候,我们就会发现原本发送给本地Vian网关的数据帧,没有得到本地Vian网关MAC正确的回应。从而导致用户任何应用都没有办法使用了,就感觉到反复“掉线”或者“断线”,网络好像处在“震荡”中,迫使网络用户重新启动自己的计算机以期重新获得联网的需求,此时正好中了欲进行ARP欺骗计算机的“招”,当用户在重新启动自己计算机获得IP地址和本网段网关MAC地址时,进行ARP欺骗的计算机就会以自己网卡的MAC地址代替本网段网关的MAC地址,以至于给用户一个重新获得上网的感觉,其
5、实用户这时所有的外传以太网帧全部发给了正在行使ARP欺骗的计算机,这就是ARP欺骗在一个Vian中的基本原理。进行网络ARP欺骗的计算机在进行MAC欺骗的过程中,会将已知某其它主机的MAC地址用来使目标交换机向欺骗计算机转发以该主机为目的地址的数据帧。通过发送带有该主机以太网源地址的单个数据帧办法,网络欺骗计算机改写了CAM表格中的条目,使得交换机将以该主机为目的地址的数据包转发给该网络实施ARP欺骗的计算机。除非该主机重新启动PC并从网络中获取地址时CAM表中对应的条目会被再次改写,以便它能恢复到原始的端口。但是否会再次受到ARP的MAC欺骗就取决于本网
6、段中是否存在这样的欺骗计算机To网络欺骗一一MAC的欺骗从来不会停止于只在本网段内进行"欺骗”,它很快就演变为与网络病毒相结合的具有网络攻击特征的更具传染与杀伤力的一一"地址解析协议(ARP)攻击”o当有人在未获得授权就企图更改MAC和IP地址ARP表格中的信息时,就发生了ARP攻击。通过这种方式,黑客们可以伪造MAC或IP地址,以便实施如下的两种攻击:'‘服务拒绝”和“中间人攻击”。目前以"服务拒绝”演变出来的攻击以网络上多种病毒为主,它们会发送假冒的ARP报文,比如发送网关IP地址的ARP报文,把网关的IP对应到自己的MAC±,或者一个不存在的MAC地
7、址上去,同时把这假冒的ARP报文在网络中广播,所有的内部PC就会更新了这个IP和MAC的对应表,下次上网的时候,就会把本来发送给网关的MAC的报文,发送到一个不存在或者错误的MAC地址上去,这样就会造成网络断线了。这就是ARP地址欺骗攻击,造成内部PC和外部网的断线,该病毒在满足一定条件的时候会表现的特别猖獗。也对企业内部分局部网段造成非物理“断网”的中断网络破坏,由于它与网络病毒相结合,所以无论在传播的速度和攻击特性都有较大的“聚变”,ARP地址欺骗攻击的实施是通过伪造IP地址和MAC地址实现ARP欺骗的同时,能够在网络中产生大量的ARP通信量,使网络阻
8、塞或者实现“中间人攻击"(maninthemiddle),进行AR
此文档下载收益归作者所有