欢迎来到天天文库
浏览记录
ID:41574242
大小:87.11 KB
页数:8页
时间:2019-08-28
《ARP欺骗防范与追踪祥解》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、摘要论述了ARP欺骗的特征,分析了ARP欺骗产生的原理,并根据长期的实践经验,总结了一套ARP欺骗防范与追踪的策略。关键词ARP欺骗;局域网;MAC土也址1引言ARP协议,又称地址解析协议,简单说就是通过IP地址来查询冃标主机的MAC地址。ARP协议在以太网主机通信屮发挥至关重要的作用。然而,事物都有两面性,如果ARP协议被黑客利用,通过伪造IP地址和MAC地址实施ARP欺骗,将会在网络中产生大量ARP通信流量从而使网络发生拥塞,或者通过实施“ManInTheMiddl才进行ARP重定向和嗅探攻击。我校网络核心层为思科6500系列三层交换机,分布层
2、和接入层采用思科和瑞捷交换机,IP地址采取静态分配。本篇所讨论的ARP防治策略,即是在此种网络环境下归纳的。2ARP欺骗现彖在局域网内,攻击源主机不断发送ARP欺骗报文,即以假冒的网卡物理地址向同一子网的其它主机发送ARP报文,甚至假冒该子网网关物理地址蒙骗其它主机,诱使其它主机经山该病毒主机上网。真网关向假网关的切换,会导致网内用户断网。当攻击源主机断电或离线,网内其它主机自动重新搜索真网关,这个过程又会导致用户断一次网。所以某子网内,只要存在一台或多台这样的攻击源主机,就会使其它主机上网断断续续,严重时将致使整个网络陷于瘫痪。上述现象即是一种典
3、型ARP欺骗,除了影响网络运行效率,攻击者也会趁机窃取网内用户的帐号和密码。因为发送的是ARP报文,具有一定的隐秘性,如果侵占系统资源不是很大,乂无防病毒软件监控,一般用户不易察觉。3ARP欺骗分析3」原理简析局域网内某主机运行ARP欺骗程序时,会诱骗局域网内所冇主机和路rti器,使上网流量必须经由该病毒主机。原来通过路由器上网的用户现在转由病毒主机,这个切换会致使用户断线。切换到病毒主机上网后,如果用户已经登录了传奇服务器,病毒生机会不断制造断线的假象,用户就得重新登录,病毒主机就可以趁机实施盗号行为。ARP欺骗木马程序发作会发送大量数据包,从而
4、导致局域网通讯拥塞,受口身处理能力的限制,用户会感觉网速越來越慢。ARP欺骗木马程序停止运行,用户会恢复从路由器上网,该切换则会导致用户再次断网。3.2欺骗方式3.2.1一般冒充欺骗这是一种比较常见的攻击,通过发送伪造的ARP包來实施欺骗。根据欺骗者实施欺骗时所处的立场,可分为三种情况:冒充网关欺骗主机、冒充主机欺骗网关、冒充主机欺骗其它主机。在冒充网关欺骗中,欺骗者定时且频繁的对本网发送ARP广播,告诉所有网络成员自己就是网关,或者以网关身份伪造虚假的ARPlH]应报文,欺骗局域网内的其它主机,这样子网内流向外网的数据就可以被攻击者截取;骨充主机
5、欺骗网关的过程跟冒充网关的过程相反,欺骗者总是通过虚假报文告诉网关,自己就是目标主机,从而使网关向用户发送的数据被攻击者截取;冒充主机欺骗其它主机则是同一网内设备间的欺骗,攻击者以正常用户的身份伪造虚假ARP回应报文,欺骗其它主机,结果是其它用户向该用户发送的数据全部被攻击者截获。3.2.2虚构MAC地址欺骗这种攻击也是攻击者以正常用户身份伪造虚假的ARP冋应报文,欺骗网关。但是,和上述一般冒充欺骗不同的是,此时攻击者提供给网关的MAC地址根本不存在,不是攻击者自己的MAC地址,这样网关发给该用户的数据全部被发往-个不存在的地方。3.2.3ARP泛
6、洪这是一•种比较危险的攻击,攻击者伪造人量虚假源MAC和源IP信息报文,向局域网内所冇主机和网关进行广播,冃的就是令局域网内部的主机或网关找不到正确的通信对象,甚至直接用虚假地址信息占满网关ARP缓存空间,造成用户无法止常上网。同时网络设备CPU居高不下,缓存空间被大量占用。由于影响到了网络设备,攻击者口己上网的效率也很低,这是一种典型的损人不利己行为。3.2.4基于ARP的DoS这是新出现的一种攻击方式,DoS乂称拒绝服务攻击,当大量的连接请求被发送到一台主机时,山于该主机的处理能力有限,不能为正常用户提供服务,便出现拒绝服务。这个过程中如果使用
7、ARP來隐藏自己,被攻击主机日志上就不会出现真实的IP记录。攻击的同时,也不会影响到本机。2ARP欺骗鉴定方法4.1检查网内感染“ARP欺骗”木马病壽的计算机在“命令提示符”下输入并执行"ipconfig^命令,记录网关IP地址,即4tDefaultGateway,,X'J*应的值,例如“192.168.18.1”。然后执行"arp-a"命令查看自己网关MAC地址,如若变成和内网一机器MAC地址相同,可据此断定内网有机器屮了ARP网关欺骗型病毒。本操作前提是知道网关的正确MAC地址,可在止常上网主机上,使用Fip命令查看网关MAC地址,通过对比查看
8、网关MAC地址是否被修改。4.2查看ARP表用三层设备接入校园网的单位,网管可以检查其三层设备上的ARP表。如果有多个IP
此文档下载收益归作者所有