欢迎来到天天文库
浏览记录
ID:54599213
大小:89.40 KB
页数:1页
时间:2020-05-03
《ARP欺骗的原理及防治.pdf》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、ARP欺骗的原理及防治雷雨(襄阳职业技术学院信息中心)【摘要】文章介绍了ARP协议的含义和工作原理,分析了ARP欺骗非法控制。的原理、网段内和跨网段ARP欺骗的实现过程、ARP欺骗的危害5ARP欺骗的防治和现象。最后,分别介绍了几种能够有效防御arp欺骗攻击的安全5.1用户端的ARP防护措施防范策略。(1)在Pc端,手工将动态ARP缓存改为静态ARP缓存。主机A【关键词】ARP欺骗,MAC地址,ARP缓存表,绑定,网络安全对应的网关IP地址为192.168.0.1,MAC为gg—gg—gg—gg—gg—gg。——具体绑定做法是:PC机上MS—DOS运行手工绑定的命令为:arp—lAR
2、P协议简介S。ARP—S192.168.0.1gg—gg—gg—gg—gg—ggARP(AddressResolutionProtoco1)即地址解析协议,所谓手工绑定在计算机关机重开机后就会失效,需要再绑定,可以“地址解析”就是主机在发送帧前将目标IP地址(即逻辑地址)转编辑一个批处理文件a.bat放到拖到“windows~开始一程序一换成目标MAC地址(即物理地址)的过程。ARP协议的基本功能就是启动”中,编辑的内容如下:将逻辑地址映射为物理地址。@echooff2ARP协议的工作过程arp—d假设一个局域网中有三台电脑组成,该局域网由交换机arp—S192.168.0.1aa—
3、aa—aa—aa—aa—aa(Switch)连接,三台电脑分别用A,s,D标识,上Internet时网关将这个批处理软件。IP地址为192.168.0.i,MAC为gg—gg—gg—gg—gg—gg。在局域网中,(2)安装系统补丁和反病毒软件。每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP全网所有的主机上都打上MS06—014和MS07—017这两个补地址与MAC地址是一一对应的。丁,这样可以免疫绝大多数网页木马,防止在浏览网页的时候感染假设以主机S要给主机D发送数据,在主机s内部,主机S要病毒。先查询自身的ARP缓存表,查看里面是否有192.168.0.4这台主
4、5.2网管交换机端绑定机的MAC地址,如果有,就将主机D的MAC地址封装在数据包的外(1)ip和lilac地址的绑定。所示,此局域网通过H3C面,直接发送出去即可。如果没有,这时主机S要向同一网段局域ARI8—22S一8路由器上网,可以在路由器上做如下IP地址与MAC网内发送一个ARPRequest广播包。全网络的主机都收到该ARP地址绑定:广播包了,包括主机A和D。主机A一看其要查询的IP地址不是自arpfixed59.68.227.200e0一fc84—3dcd己的,就将该数据包丢弃。而主机D一看IP地址192.168.0.4正(2)mac地址与交换机端口的绑定。具体操作如下(以
5、Quid一是自己的,则单独向主机s发送一条ARPReply封包应答。way$2016一E1交换机为例):3ARP欺骗的原理[$2016一E卜Ethernet0/1]mac—addressmax—mac—count0ARP协议的基础就是信任局域网内所有的主机和网关,即无论[$2016一E1]macstatic001b—b961一df35inte0/1vlan局域网中任何主机,其发送的ARP数据包都是正确的。假如有主机10:假冒其它主机或网关,就很容易实现在以太网上的ARP欺骗。如在5.3采用vlan技术隔离端口上述数据发送中,当主机s向全网询问“IP地址为192.168.0.4的局域网
6、的网络管理员可根据本单位网络的拓朴结构,具体规主机的MAC地址是多少”后,但是当此时,主A也作出了ARP就应划出若干个vlan,将该端口划一个单独的vlan将该用户与其它用答,由于主机A的不停应答,这样,主机A就劫持了由主机S发送户进行物理隔离,以避免对其它用户的影响。当然也可以利用将交给主机D的数据,这就是ARP欺骗的过程。出现ARP欺骗时,会造换机端口disable掉来屏蔽该用户对网络造成影响,从而达到安成IP地址冲突或局域网内部分主机无法通讯。全防范的目的。假设主机A不冒充主机D,而是冒充网关,那后果会更严重整6小结个局域网所有主机上网掉线,ARP欺骗发生了。ARP欺骗是一种非
7、常专业化的攻击手段。它利用了ARP协议的4ARP欺骗的危害和现象漏洞,给网络安全管理者带来了严峻的考验。在局域网内,可以在ARP欺骗带来的危害主要有以下方面:Pc用户端进行配置静态ARP缓存表和安装ARP防火墙等软件,在(1)网络异常。具体表现为:局域网内频繁性区域或整体掉线,边缘接入层交换机上实现MAC地址+交换端口+VLAN绑定,在核局域网内无法通讯、IP地址冲突等现象。心交换机或路由器上进行IP地址+MAC地址绑定,多种方案配合(2)数据窃取。使用,
此文档下载收益归作者所有