返回
ARP攻击原理简析及防御措施

ARP攻击原理简析及防御措施

ID:47277610

大小:61.44 KB

页数:4页

时间:2019-08-26

ARP攻击原理简析及防御措施_第1页
ARP攻击原理简析及防御措施_第2页
ARP攻击原理简析及防御措施_第3页
ARP攻击原理简析及防御措施_第4页
资源描述:

《ARP攻击原理简析及防御措施》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、0x1简介网络欺骗攻击作为一种非常专业化的攻击手段,给网络安全管理者,带来严峻的考验。网络安全的战场已经从互联网蔓延到用户内部的网络,特别是局域网。目前利用ARP欺骗的木马病毒在局域网中广泛传播,导致网络随机掉线甚至整体瘫痪,通讯被窃听,信息被篡改等严重后果。0x2ARP协议概述ARP协议(addressresolutionprotocol)地址解析协议一台主机和另一台主机通信,要知道目标的IP地址,但是在局域网中传输数据的网卡却不能直接识别IP地址”所以用ARP解析协议将IP地址解析成MAC地址。ARP协议的基本功能就是通

2、过目标设备的IP地址,来查询目标设备的mac地址。在局域网的任意一台主机中,都有一个ARP缓存表z里面保存本机已知的此局域网中各主机和路由器的IP地址和MAC地址的对照关系。ARP缓存表的生命周期是有时限的(一般不超过20分钟)。举个例子:假设局域网中有四台主机主机IP地址A192.168.0.2B192.168.0.3C192.168.0.4D192.168.0.5MAC地址网关Mac-a192.168.0.1Mac-b192.168.0.1Mac-c192.168.0.1Mac-d192.168.0.1主机A想和主机B通

3、信主机A会先查询自己的ARP缓存表里有没有B的联系方式z有的话,就将mac-b地址封装到数据包外面,发送出去。没有的话,A会向全网络发送一个ARP广播包,大声询问:我的IP地址是192.168.0.2,硬件地址是mac-a,我想知道IP地址是192.168.0.3的硬件地址是多少?此时,局域网内所有主机都收到了,B收到后会单独私密回应:我是192.168.0.3,我的硬件地址是mac-b,其他主机不会理A的此时A知道了B的信息,同时也会动态的更新自身的缓存表0x3ARP协议的缺陷ARP协议是建立在信任局域网内所有节点的基础上

4、的,他的效率很高。但是不安全。它是无状态的协议。他不会检查自己是否发过请求包,也不知道自己是否发过请求包。他也不管是否合法的应答,只要收到目标mac地址是自己的ARPreply或者ARP广播包(包括ARPreply和ARPrequest),都会接受并缓存。0x5ARP攻击原理ARP欺骗攻击建立在局域网主机间相互信任的基础上的当A发广播询问:我想知道IP是192.168.0.3的硬件地址是多少?此时B当然会回话:我是IP192.168.0.3我的硬件地址是mac-b,可是此时IP地址是192.168.0.4的C也非法回了:我是

5、IP192168.0.3,我的硬件地址是mac・c。而且是大量的。所以A就会误信192.168.0.3的硬件地址是mac-c,而且动态更新缓存表这样主机C就劫持了主机A发送给主机B的数据,这就是ARP欺骗的过程。假如C直接冒充网关,此时主机C会不停的发送ARP欺骗广播,大声说:我的:[P是192.168.0.1z我的硬件地址是mac・c,此时局域网内所有主机都被欺骗,更改自己的缓存表,此时C将会监听到整个局域网发送给互联网的数据报。0x6ARP病毒攻击症状通常表现:■打开网页速度非常慢,甚至打不开・提示IP地址冲突■甚至导致

6、校园网瘫痪断网■一般会绑定木马病毒,窃取用户账号密码0x7ARP病毒攻击形式1.从协议内部分析■假冒ARPreply包(单波或广播),向单台主机或多台主机发送虚假的IP/MAC地址■假冒ARPrequest包(单播或广播)z实际上是单播或广播虚假的IP、MAC映射。•假冒中间人,启用包转发向两端主机发送假冒的ARPreply,由于ARP缓存的老化机制,有时还需要做周期性连续性欺骗。2.从影响网络连接通畅的角度看■对路由ARP表的欺骗ARP病毒截获网关数据,让路由器获得错误的内网MAC地址,导致路由器把数据发送给错误的mac,

7、是内网内的主机断网■伪造内网网关ARP病毒通过冒充网关,是内网计算机发送的数据无法到达真正的路由器网关,导致内网计算机断网0x8ARP欺骗攻击监测技术1.手动监测网络管理员可以通过命令查看主机的ARP表或路由器的ARP表也可以用Sniffer工具进行抓包,查看可疑的vIPzMAC>地址映射2.动态监测・被动监测(ARPwatch,ARPGuard)仅监测网路中是否存在ARP欺骗,不主动向外发送ARP报文■主动监测(ARP防火墙)能够动态的监测局域网内针对本主机和针对网关的ARP欺骗,但如果配置错误,ARP防火墙会向局域网内发

8、送大量的ARP报文,造成ARP报文的广播风暴z影响网络通信。0x9ARP欺骗攻击的防御■ARP双向绑定在pc端上IP+mac绑定在网络设备(交换路由)上采用ip+mac+端口绑定网关也进行IP和mac的静态绑定•采用支持ARP过滤的防火墙■建立DHCP服务器ARP攻击一般先攻击网关,将DH

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。