ARP防范范文(精选12篇)
ARP防范 第1篇
自从2005年ARP病毒首度发现, 到2007年CERNET应急响应组在报告里指出APR病毒是首要威胁, 再到今天的ARP木马病毒已经排在世界危害病毒的前5位, 它就像大型流感病毒一样, 极大地威胁着以太网用户的安全。的确, ARP病毒已经在相当程度上影响了网络的正常运行。ARP攻击有其自己的特点, 它造成的主要危害有:数据篡改及窃取、网络异常、非法控制等。表现症状为掉线、IP冲突、隐私信息泄露、网络速度受第三方控制等, 其根本原因是ARP病毒可以对网络参数进行强行修改。随着网络规模的日渐变大与网络节点的增加, ARP病毒攻击现象也随之日渐凸显, 所以分析ARP协议漏洞并且提出防范其病毒攻击的措施有着非常重要的现实意义。
1 ARP协议原理及其漏洞与攻击
1.1 ARP协议定义
ARP协议是“Address Resolution Protocol” (地址解析协议) 的缩写。地址解析协议是将OSI模型第三层逻辑IP地址映射成OSI模型第二层的物理地址 (即MAC地址) 。是在仅知道目标主机IP地址时为确定其MAC地址时所使用的一种协议。第三层即网络层的交互是靠IP32位逻辑地址进行通信的, 而到第二层数据链路层实际传输的地址必须要靠48位的物理地址 (即MAC地址) 才能够实现, 因为以太网的第二层交换设备是无法识别IP地址的, 所以必须通过ARP协议将IP地址映射成MAC地址才能完成通信。图1为ARP协议与IP层协议之间的逻辑图。
1.2 ARP协议工作原理
安装了TCP/IP协议栈的主机会有一个ARP高速缓存, 里面有所在同网段上的各主机和路由器的IP地址到MAC地址的映射表。在一个内网中, 如果主机Y向主机X (IP地址为x.x x.x, MAC地址为xx-xx-xx-xx-xx-xx) 发送IP数据报, 那么主机Y会在其缓存表中寻找有无主机X的IP地址, 如果有, 那么就可以查出主机X的MAC地址, 然后将MAC地址写入MAC帧直接发送。如果没在ARP缓存表中找到主机X的IP地址, 那么主机Y会在内网中发送一个广播, 内网上所有主机都会收到, 但是只有主机X会响应这个请求, 当主机Y收到主机X的响应后, 主机Y的ARP高速缓存表就会写入主机X的IP地址到其MAC地址的映射 (如图2所示) 。ARP缓存表采用了所谓的老化机制, 也就是说, 该表会在主机需要的时候进行刷新, 在一段时间内如果表中的某一行映射关系没有使用, 系统就会自动删除该行, 这样可以减少ARP表的长度, 提高查询速度。
1.3 ARP协议漏洞
ARP协议是一个网络中必不可少的协议, 虽然它有着高效率的映射机制, 但是美中不足之处在于, 作为一个局域网协议, 它在设计之初并没有把网络安全因素考虑进去, 而是把网络的安全和信任作为其前提条件。ARP协议是工作在IP协议层的更底层 (即OSI模型第二层) , 因此它的危害更加隐蔽, 这也是为什么ARP欺骗更能让人在神不知鬼不觉的情况下出现网络故障的原因。ARP协议机制有着动态性、无认证性、无连接性、广播性等安全隐患。这些弊端是ARP协议本身固有的缺陷, 如果做较大修改则会破坏它与TCP/IP协议栈的兼容性。以下是ARP协议漏洞的具体分析。
(1) 动态性。所谓动态性是指ARP高速缓存可以随时根据接收到的ARP数据包进行动态更新。由于主机间ARP缓存表在一定的时间段里需要动态更新, 这样欺骗者就可以在被攻击主机下次缓存表更新之前对其进行修改, 于是便可以对该主机进行欺骗和攻击。
(2) 无认证性。无认证性是说只要主机接收到的ARP数据包是有效的, 该主机就会无条件地刷新ARP缓存表, 而无需认证。这样就会给欺骗者提供了修改被攻击主机的机会, 对被欺骗者主机的ARP缓存表进行修改, 而该主机并没有提供检验IP地址到MAC地址映射表的检验机制, 不会考虑它的真实性。
(3) 无连接性。是指任何主机随时都可以接受ARP数据包, 即便该主机没有发出ARP请求时, 也可以做出ARP应答。并用其接受的信息刷新其ARP缓存表。
(4) 广播性。ARP的请求是以广播的方式进行的, 由于主机不知道目的主机的MAC地址时需要在局域网中进行广播, 这样欺骗者就可以伪装ARP应答, 与发送广播的主机实际要通信的计算机进行恶性竞争, 欺骗者还可以知道什么时候该内网的计算机刷新ARP缓存表, 以确保可以最大限度的进行攻击。
1.4 ARP攻击
(1) 伪造网关。简单来说就是欺骗者主机伪装成网关, 而其他受骗主机本来该发往网关的数据包却发往了假网关, 导致受骗主机不能上网。这也是所谓的拒绝服务攻击 (DoS攻击) , 如图3所示。
(2) 中间人攻击 (Man-in-the-Middle Attack) 。是指攻击者插入到通信双方的连接中, 截获并且转发双方数据包的行为。这样通过获得数据包可以获得有价值的信息, 同时也可以篡改信息, 于是信息的机密性和完整性就遭到了破坏, 如图4所示。
(3) 对网关的攻击。由于ARP协议的无连接性、无认证性、和动态性, 攻击者将发送给网关一系列错误的内网MAC+IP地址, 并按照一定的频率不断地进行, 使真正的地址信息无法通过更新保存在网关中, 结果网关的所有数据只能发送给错误的MAC地址, 造成正常主机无法收到信息。
(4) ARP泛洪攻击。攻击者伪造大量的ARP报文, 在内网中进行广播, 导致网关ARP缓存表被占满, 合法用户的ARP表项无法正常学习, 导致合法用户无法正常访问外网。主要是对局域网资源消耗的一种攻击手段。
(1) 由于ARP协议的无连接性和无认证性, 攻击者可以不断地向客户端client发送数据包, 称网关对应的MAC地址为MAC_C; (2) 客户端client想要上网时, 使用MAC_C网关地址发送数据包, 真正的网关发现MAC地址并不是自己的MAC_B, 于是忽略客户端发送的该数据包, 导致客户端不能与外网进行通信。
(1) 攻击者不断地向客户端client发送响应数据包, 欺骗说网关的MAC地址MAC_C; (2) 攻击者不断地向网关发送响应数据包, 欺骗client客户端的MAC地址为MAC_C。
2 ARP攻击防范
ARP攻击的最根本途径就是攻击者利用ARP漏洞的特点进行攻击, 即利用了主机对ARP应答的无条件信任, 强行修改主机ARP缓存表的条目, 进而实现了各种攻击。因此防范ARP攻击就要保证缓存表中MAC地址与IP地址映射关系的正确, 尽可能地做到防范对缓存表的非法篡改。
2.1 用户端计算机的防范范畴
(1) 设置静态的APR缓存。欺骗是通过ARP的动态性实时规则欺骗内网主机的, 所以我们把内网主机的ARP缓存表设置为静态, 攻击者即便向主机发送ARP响应包, 主机的ARP缓存表也不会进行刷新, 从而一定程度上避免了ARP欺骗的发生。即用户在DOS提示符下先利用arp-a命令, 再利用arp-s命令在网内主机上绑定网关的IP和MAC地址。同时在网关也要进行IP地址和MAC地址的静态绑定, 双向的绑定使得内网安全性更高。但是这种方法也有明显的不足, 在经常变化的网络环境中靠手工维护ARP缓存表对于维护人员来说工作量是非常巨大和繁琐的。
(2) 安装杀毒软件。及时对杀毒软件的病毒库进行更新, 同时对系统补丁及时进行更新安装;安装ARP防火墙或者开启ARP局域网防护;安装Sniffer, ArpKiller等软件防止ARP攻击。
(3) 通过RARP协议进行判断。RARP是反地址协议, 它的功能刚好和ARP协议相反, 是用来知道了MAC地址从而确定IP地址的协议。在局域网中如果主机发送一个RARP请求, 若发现一个MAC地址对应了多个IP地址, 则说明拥有该MAC地址的主机受到了ARP克隆攻击。
2.2 内网管理范畴
(1) 使用可防御ARP攻击的三层交换机, 第三层交换技术用的是IP路由交换协议。绑定端口MAC和IP地址;限制ARP流量;采用VLAN技术隔离端口, 内网管理人员可以根据本单位的网络拓扑结构划分若干个VLAN, 这样既能够在发生ARP攻击时减少受影响的网络范围, 又可以方便定位出现攻击时的网段和主机。
(2) 设置ARP服务器, 指定内网中某台主机为ARP服务器, 用来专门保护并且维护可信范围内所有主机的ARP缓存表。该服务器通过查阅自己的ARP缓存的静态记录并且以被查询主机的名义响应局域网内部的ARP请求。同时设置内网中的其他主机只使用来自该ARP服务器的ARP响应。当然前提是该ARP服务器没有被攻击者所攻击。
(3) 使用网关监听网络, 利用网关截取每一个ARP数据包, 并且分析该数据包包头的源地址、目的地址和ARP数据包的协议地址是否匹配。
(4) 可以对内网中传送的数据进行加密, 即使加密数据包被截获也增加了攻击者破获数据包的时间成本。
(5) 因为ARP通信双方的交互流程缺乏一个授信机制, 要从根本上解决ARP攻击问题可以在网内的通信双方建立一个可信任的验证体系。
3 结束语
由于ARP协议自身的漏洞的原因, 给ARP欺骗攻击滋生提供了温床。本文有针对性地提出了漏洞所在和基于漏洞攻击的防范机制, 并从软硬件、单个主机和局域网其他网络设备等方面立体式提出了具体解决方案。随着网络技术的不断发展, 在网络安全的领域里也给技术人员和网络用户们提出了更多的难题。在这种情况下不仅需要用户自身做好防范工作, 网络管理人员更要提高警惕, 确保网络的正常运行。
参考文献
[1]谢希仁.计算机网络[M].北京:电子工业出版社, 2004.
[2]杨延双.TCP/IP协议分析与应用[M].北京:机械工业出版社, 2007.
[3]胡恒峰.驱除恼人的ARP攻击[J].科学24小时, 2008 (Z1) .
[4]程春, 杨春.关于IP的几种欺骗的分析与研究[J].四川师范大学学报, 1999 (4) .
[5]R ITANJALI MAJHI, G.PANDA, G.Sahoo efficient prediction of ex-change rates with low complexity artificial neural network models[J].Expert Systems with Applications, 2009, 36:181-189.
[6]郑先伟.Cernet应急响应组2007年5月报告:ARP欺骗是首要威胁[J].中国教育网络, 2007 (7) .
ARP防范 第2篇
网关 : IP = IP-1, MAC = 11:11:11:11:11:11
本机 : IP = IP-2, MAC = 22:22:22:22:22:22
主机A: IP = IP-A, MAC = AA:AA:AA:AA:AA:AA
主机B: IP = IP-B, MAC = BB:BB:BB:BB:BB:BB
主机C: IP = IP-C, MAC = CC:CC:CC:CC:CC:CC
子网内的任意两台主机(网关也可看作一台主机)要正常通讯,需要互相知道对方的网卡地址MAC,如果一方不知道对方的MAC,就要进行ARP查询。
ARP 查询过程
在一个正常的子网内,一次完整的 ARP 查询需要一次查询广播和一次点对点的应答。查询广播中包含了要查询主机的IP,此广播可以被子网内的每一台主机的网卡收到,网卡会检查要查询的IP是否与自己的IP相等,不等则直接丢弃,相等则将此数据包提交给系统内核(一个中断),内核调用网卡驱动解析收到的数据包,然后构建一个应答数据包回送到查询的主机,查询主机收到应答后更新自己的ARP缓存表。
对应 LnS 的设置,此通讯过程需要两条规则,以本机查询主机B的MAC为例
① 22:22:22:22:22:22 => FF:FF:FF:FF:FF:FF (允许本机广播出站)
② 22:22:22:22:22:22 <= BB:BB:BB:BB:BB:BB (允许主机B应答本机入站)
规则说明方式:=> 表示传出,<= 表示传入,== 表示双向。
注意按此设置 LnS 规则时,有方向规定的始终要将源放在左边,目标放在右边,对方向为双向的始终将本机放在左边,远端放在右边。
只要将此查询过程中的任何一步掐断,则该查询过程就会失败。比如有人找你公司的讨债,总经理秘书可以想各种理由使债主见不到总经理,即使见到了,总经理也可以找财务不在或目前实在没钱为由不付钱,讨债就失败了。这两个方法就好比拦截广播和拦截应答。
子网内的两台主机要能够完整的通讯(双方都可收发数据)必须互知对方的MAC地址,比如本机要跟主机B完整通讯,还必须让主机B也能查询到自己的 MAC。
① 22:22:22:22:22:22 => FF:FF:FF:FF:FF:FF (允许本机广播出站)
② 22:22:22:22:22:22 <= BB:BB:BB:BB:BB:BB (允许主机B应答本机入站)
③ FF:FF:FF:FF:FF:FF <= BB:BB:BB:BB:BB:BB (允许主机B广播入站)
④ 22:22:22:22:22:22 => BB:BB:BB:BB:BB:BB (允许本机应答主机B出站)
显然规则②④在LnS中是可以合并的,则两台机器完整通讯只须 3 条规则:
① 22:22:22:22:22:22 => FF:FF:FF:FF:FF:FF (允许本机广播出站)
② FF:FF:FF:FF:FF:FF <= BB:BB:BB:BB:BB:BB (允许主机B广播入站)
③ 22:22:22:22:22:22 == BB:BB:BB:BB:BB:BB (允许本机与主机B相互应答)
简单的 ARP 欺骗
前面说了,一次查询过程需要一次广播和一次应答,但 ARP 协议中并不要求广播与应答成对出现,也就是可以没有广播,任何一台主机都可以主动发送应答数据包,如果目标主机没有使用静态MAC,则只要收到应答广播就会更新自己的ARP缓存表。因此,我们可以人为的构建一个错误的应答数据包让目标主机更新自己的ARP缓存。
比如从本机控制,不让主机A与主机B通讯:
本机向主机A发送应答数据包,告诉它 IP-B 的 MAC 是 XX:XX:XX:XX:XX:XX
本机向主机B发送应答数据包,告诉它 IP-A 的 MAC 是 YY:YY:YY:YY:YY:YY
此时主机A和主机B的 ARP 缓存中关于对方的MAC都错误的,他们互发数据时就会发到一个错误或都根本不存在(取决于伪造的MAC)的网卡,A、B 间的通讯自然失败。(其实只要其中一台的ARP缓存错误,A、B 间的通讯就会表现不正常)
想想,如果伪造的应答数据包是告诉主机B:IP-1 的 MAC 是 ZZ:ZZ:ZZ:ZZ:ZZ:ZZ 会怎么样?则主机B与网关通讯会不正常,就会表现为断网。如果同时对网关欺骗,告诉它主机B的MAC为一个错误值,且这种欺骗一直持续,则主机B无法上网了。
大家常说的网络执法官就是利用ARP欺骗来踢人的。执法官运行时首先会大量发送广播,获得所有主机的MAC地址,然后,想欺骗谁,就向谁发送伪造的应答数据包。
当然,ARP欺骗决不仅止于此,比如还可以使目标主机断线后将自己的MAC伪造成被欺骗主机的MAC达到特殊目的,或者同时欺骗网关与目标主机,但是用自己的MAC代替伪造应答数据包中的随机MAC并开启本机的数据转发功能,插入到网关与目标主机通讯中充当代理,达到监听目标主机的目的。但本文的目是要说明LnS中的ARP规则如何设置,ARP欺骗不是重点。
ARP 防范
说到这样,大家肯定已经发现一个问题:欺骗者必须能与被欺骗者通讯,以便发送伪造的应答数据包,否则欺骗过程就不能完成。基于这点,我们可以从几个地方来防止 ARP 欺骗:
一、不让非信任的主机查询自己的MAC,欺骗者不能与本机通讯,自然无从欺骗了
可以拦截它的查询广播(要钱的一律不许进门)
可以拦截本机对它的应答(都来要吧,我就一句话,没钱,死猪不怕开水烫)
二、使用静态MAC,拒绝更新ARP缓存,
即使有仿造应答到达本机,但本机不使用该包更新自己的ARP缓存,欺骗失败。
LnS 设置
LnS 可以拦截所有的 ARP 数据包(默认规则中的倒数第二条,将它禁用或拦截),这样安全倒是安全了,但我们的机器也就成孤儿了,不能与任何人通讯了。所以必须对信任的主机设置放行规则,而网关就是必须放行了,否则外网也不能上了。
对于我们假设的子网环境,设置如下:
① 22:22:22:22:22:22 => FF:FF:FF:FF:FF:FF (允许本机广播出站)
② FF:FF:FF:FF:FF:FF <= 11:11:11:11:11:11 (允许网关广播入站)
③ 22:22:22:22:22:22 == 11:11:11:11:11:11 (允许本机与网关相互应答)
(三条规则的图解见后面的附件)
需要局域网共享,则对每台要共享的主机增加如②③的两条规则,将网关的MAC改为信任主机的MAC。
有点麻烦,每台主机需要加两条规则,而防火墙的规则是越少越好,且 LnS 的规则数很容易达到上限,所我们对设置稍微进行一下妥协:对入站的所有广播放行,不要对每台信任的主机添加规则。有人会觉得这样不安全,因为任何非信任的主机都可以向本机发送查询广播,实际上不必担心,因为没有相应的放行应答出站的规则。(你要就要吧,我就不给你钱,你能咋地?)
优化后的规则如下:
① 22:22:22:22:22:22 => FF:FF:FF:FF:FF:FF (允许本机广播出站)
② FF:FF:FF:FF:FF:FF <= 全部 (允许所有查询广播入站)
③ 22:22:22:22:22:22 == 11:11:11:11:11:11 (允许本机与网关相互应答)
④ 22:22:22:22:22:22 == 信任主机1
⑤ 22:22:22:22:22:22 == 信任主机2
……
※ 最后,将倒数第二条规则改为拦截(第二列红杠)或禁用(取消前面的勾)。
不必担心禁用,最后一条规则会拦截所有未匹配的数据包(前提是没有修改该规则)
LnS 过滤方式
论坛出现了几种ARP设置方式,其实从原理上说,要实现的目的是相同的,拦截该拦截的,放行该放行的。但其中有某方法是错误的,有些看起来不一样,实际上与Z老大的置方法是相同的。
防火墙可以用黑名单过滤方式(禁止非信任的,其它允许),也可以用白名单过滤方式(允许信任的,其它禁止),也可以混合运用。过滤目标的选择方式又分直接选择和补集选择。
我上面的规则说明使用的是白名单方式,也就是上面列出的规则是要放行的,然后需要一条拦截所有的规则(就是倒数第二第规则,拦截或取消)。
是黑名单方式好还是白名单方式好呢?普遍性的原则应该是优先选择目标少的。假如有10种数据包要过滤(将数据包用1到10编号),1、3 号是应该放行的,其它是应该过滤的。
则们可以选择白名单方式:
放行1(白名单)
放行3(白名单)
拦截所有
也可以选择黑名单方式:
拦截2(黑名单)
拦截4(黑名单)
拦截5(黑名单)
…… (黑名单)
拦截10(黑名单)
允许所有
对比之下当然应该选择白名单方式。
变种一:
允许1或3 (白名单的一种选择方式)
拦截所有
变种二:
拦截 非1且非3 (黑名单的一种选择方式)
允许所有
注意两个变种方式,它的选择目标用到了组合,如果防火墙能实现这种规则,当然效果是一样的,但 LnS 的 Arp 规则中只能填入一条 MAC 地址。特别变种二方式,相加的组合是不能拆分成多条规则达到相同的拦截目的的。
变种二就是那个禁止非本机到非网关的双向规则,倒数第二条改成允许的方法。此方法等效于前面“LnS 设置”部分针对网关的三条规则中的最后一条,其它的都被拦截了。应该说这是一种错误的方法,该方法仅允许本机与网关的应答数据包通过,倒数第二条规则只能匹配本机与网关间的应答。但光有应答不行,还得允许广播,才进正常进行ARP查询。
那么为什么使用变种二方法的网友实际中“可行”了?说可行是因为过滤太严格,能防止绝大数大ARP欺骗,加引号是因为可行是暂时的,连续的长时间测试,很可能会断网的。
这跟具体的网络环境有关系,可能的原因比较多。一种可能的原因是LnS有BUG,过滤起作用在本机与网关建立连接之后,或者使用了静态MAC、指定IP避免DHCP租约失效之类,具体的我也分析不清楚。但从原理上说,这方法是错误的。
安全是相对的
防止ARP欺骗最好的办法在网关和各子机上均采用静态MAC绑定。防火墙只能增加安全系数,不能保证绝对完全,一是因为防火墙可能有BUG或者功能本身不完善又或者设置不善,二是现实中的妥协可能存在漏洞。比如本机为了上网信任了网关,同时为了共享信任了主机B,但主机B是没有任何安全防护,攻击者可以从主机B下手,迫使主机B当机后将自己伪造主机B的IP与MAC,获得与本机通讯的能力后再用其它办法攻击,更严重的情况是如果网关本身不安全,那么在本机上如何防护都不能取得较好的效果。
Look n Stop 使用指南
浅析ARP攻击与防范 第3篇
【关键词】ARP;局域网;监听;攻击;欺骗
【中图分类号】TP393 【文献标识码】A 【文章编号】1672-5158(2013)03-0067-01
1. 背景
随着信息技术的发展,计算机网络己经成为工作生活中不可或缺的工具。但伴之而来的非法入侵也一直威胁着计算机网络系统的安全,干扰了互联网的正常发展。因此,如何有效地防范各种攻击,增强网络安全性,是一项重要的课题。
局域网内经常性大面积断线;IP地址冲突不断;内网主机互访出错频繁;网站主页给篡改,网页发现病毒;杀毒软件无可奈何;进而登陆账号被盗、敏感信息外泄……
这些常见的局域网故障,很大程度上跟ARP攻击有关。ARP攻击是一种典型的欺骗类攻击,攻击主机通过发送伪造的ARP应答来更新目标主机的ARP高速缓存,从而使自身赢得目标主机的信任。然后再实施有效攻击或非法监听网络数据包,造成目标主机被攻破或机密信息泄漏等一系列灾难性后果。
2. ARP攻击模式
从ARP协议工作原理可以看出,ARP协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。它是无状态的协议,不会检查自己是否发过请求包,也不管(其实也不知道)是否是合法的应答,只要收到目标MAC是自己的ARP reply包或arp广播包(包括ARP request和ARP reply),都会接受并缓存。这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至可以做“中间人”。
2.1 IP冲突或DoS攻击
这种攻击形式与中间人攻击有相似之处,都是持续广播伪造的ARP应答报文,截取并转发主机和网关之间的报文,监听主机与网关之间的通信,常用于窃取敏感的登陆信息和密码。
3 ARP整体防护设计思路
从ARP攻击原理可以看出,防范ARP欺骗攻击最大困难在于其攻击不是针对服务器或交换机系统本身的,而且攻击源可以在网段内任何一个地方隐藏,其隐蔽性很高。所以有时候即使管理员发现了攻击的存在,要在最短时间内快速定位攻击源也是非常困难的事情。这就意味着像防治普通攻击或病毒那样单一的从服务器系统或者从网络网关上进行防范效果不是很好。
一个完整的ARP攻击防范策略需要从三方面同时入手:计算机系统防护、网络设备维护以及健全网络安全监管机制。
计算机系统防护。这是基于主机的安全防护,主要从系统安全加固、系统DLL控制、MAC ARP绑定、安装ARP防火墙等方面构筑第一道防线。
网络设备的防护。局域网内的主机通过交换机、路由器相连,因而应该在交换机与路由器上构筑第二道防线。在交换机某些固定端口上配置静态MAC地址,把一个MAC地址永久性地分配给一个端口。对于连接服务器或机密主机的交换机端口,设置安全保护,阻止攻击方对该端口的监听。对于具有DHCP功能的路由器,尽量用手动指定IP地址给已知MAC地址的主机。
健全网络安全监管机制、合理分配网络资源。监听局域网内ARP数据包的情况。通过监听和分析网络状况,如主机表、协议、数据包特征以及流量等多方面的信息,及时发现通信异常,定位攻击源,并从源头上解决ARP攻击。同时合理利用VLAN优化网络,把ARP攻击所造成的损失减到最低。
4. 结束语
ARP攻击之所以能在公众局域网内如此轻易的传播,是因为在拥有机器数量较多的公众上网环境,由于其中各类系统的安全责任点归属复杂、使用人员安全意识欠缺,造成环境内安全管理漏洞较大、安全盲点较多,从而使新一代以ARP欺骗为基础的网页挂码或重定向攻击得以滋生。即使一个单位或网站管理员能保证自己的服务器与网络交换设备不被攻占,他也无法抵御来自网络范围内任何一台机器的ARP攻击。对付此类攻击,传统上从操作系统或交换设备的单点防御已无济于事。
ARP攻击与防范 第4篇
ARP (Address Resolution Protocol) 是地址解析协议, 是一种将IP地址转化成物理地址的协议。在局域网中, 一个主机要和另一个主机进行直接通信, 除需要知道目标主机的IP地址外, 还必须要知道目标主机的MAC地址。这个目标MAC地址就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送数据前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。即ARP协议是用来来完成IP地址转换为MAC地址 (即第2层物理地址) 的。在局域网中, 网络中实际传输的是“帧”, 帧里面是有目标主机的MAC地址的。
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表, 表里的IP地址与MAC地址是一一对应的, 默认情况下, ARP从缓存中读取IP-MAC条目, 缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此, 只要网络上有ARP响应包发送到本机, 即会更新ARP高速缓存中的IP-MAC条目。在DOS窗口输入命令arp-a可以看到如下所示的对应关系:
通过以上示例可以看出, IP地址192.16.16.1对应的物理地址 (即MAC地址) 为aa-aa-aa-aa-aa-aa, 其类型为动态。我们以主机A (192.168.1.1) 向主机B (192.168.1.2) 发送数据为例。当发送数据时, 主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了, 也就知道了目标MAC地址, 直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址, 主机A就会在网络上发送一个广播, 目标MAC地址是“FF.FF.FF.FF.FF.FF”, 这表示向同一网段内的所有主机发出这样的询问:“192.168.1.2的MAC地址是什么”?网络上其他主机并不响应ARP询问, 只有主机B接收到这个帧时, 才向主机A做出这样的回应:“192.168.1.2的MAC地址是bb-bbbb-bb-bb-bb”。这样, 主机A就知道了主机B的MAC地址, 它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表, 下次再向主机B发送信息时, 直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制, 在一段时间内如果表中的某一行没有使用, 就会被删除, 这样可以大大减少ARP缓存表的长度, 加快查询速度。
从上面可以看出, ARP协议的基础就是信任局域网内所有的人, 那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗, A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候, 把C的MAC地址骗为DD-DD-DD-DD-DD-DD, 于是A发送到C上的数据包都变成发送给D的了。这就正好是D能够接收到A发送的数据包了, 这样欺骗就成功了。
ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗, 从而在网络中产生大量的ARP通信量使网络阻塞。用伪造源MAC地址发送ARP响应包, 是对ARP高速缓存机制的攻击。攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目, 造成网络中断或中间人攻击。当攻击者大量向局域网中发送虚假的ARP信息后, 就会造成局域网中的机器ARP缓存的崩溃。
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候, 就会对本地的ARP缓存进行更新, 将应答中的IP和MAC地址存储在ARP缓存中。因此, 当局域网中的某台机器B向A发送一个自己伪造的ARP应答, 而如果这个应答是B冒充C伪造来的, 即IP地址为C的IP, 而MAC地址是伪造的, 则当A接收到B伪造的ARP应答后, 就会更新本地的ARP缓存, 这样在A看来C的IP地址没有变, 而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行, 而是按照MAC地址进行传输。所以, 那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址, 这样就会造成网络不通, 导致A不能Ping通C。这就是一个简单的ARP欺骗。
2 ARP欺骗的种类
ARP欺骗是黑客常用的攻击手段之一, ARP欺骗分为两种, 一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
前一种ARP欺骗的原理是———截获网关数据。它通知路由器一系列错误的内网MAC地址, 并按照一定的频率不断进行, 使真实的地址信息无法通过更新保存在路由器中, 结果路由器的所有数据只能发送给错误的MAC地址, 造成正常PC无法收到信息;后一种ARP欺骗的原理是———伪造网关。它的原理是建立假网关, 让被它欺骗的PC向假网关发数据, 而不是通过正常的路由器途径上网。在PC看来, 就是上不了网, “网络掉线了”。
一般来说, ARP欺骗攻击的后果非常严重, 大多数情况下会造成大面积掉线。有些网管员对此不甚了解, 出现故障时, 认为PC没有问题, 交换机没掉线的“本事”, 电信也不承认宽带故障。而且如果第1种ARP欺骗发生时, 只要重启路由器, 网络就能全面恢复, 那问题一定是在路由器了。为此, 宽带路由器背了不少“黑锅”。
3 ARP攻击主要的方式
3.1 简单的欺骗攻击
这是比较常见的攻击, 通过发送伪造的ARP包来欺骗路由和目标主机, 让目标主机认为这是一个合法的主机, 便完成了欺骗。这种欺骗多发生在同一网段内, 因为路由不会把本网段的包向外转发, 当然实现不同网段的攻击也有方法, 便要通过ICMP协议来告诉路由器重新选择路由。
3.2 交换环境的嗅探
在最初的小型局域网中我们使用HUB来进行互连, 这是一种广播的方式, 每个包都会经过网内的每台主机, 通过使用软件, 就可以嗅谈到整个局域网的数据。现在的网络多是交换环境, 网络内数据的传输被锁定在特定目标。既已确定的目标通信主机, 在ARP欺骗的基础之上, 可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信。
3.3 MAC Flooding
这是一个比较危险的攻击, 可以溢出交换机的ARP表, 使整个网络不能正常通信。
3.4 基于ARP的DOS
这是新出现的一种攻击方式, DOS又称拒绝服务攻击。当大量的连接请求被发送到一台主机时, 由于主机的处理能力有限, 不能为正常用户提供服务, 便出现拒绝服务。这个过程中如果使用ARP来隐藏自己, 在被攻击主机的日志上就不会出现真实的IP, 攻击的同时, 也不会影响到本机。
4 定位ARP攻击源头和防御方法
4.1 定位ARP攻击源头
(1) 主动定位方式:因为所有的ARP攻击源都会有其特征———网卡会处于混杂模式, 可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的, 从而判断这台机器有可能就是“元凶”。定位好机器后, 再做病毒信息收集, 提交给趋势科技做分析处理。
(2) 被动定位方式:在局域网发生ARP攻击时, 查看交换机的动态ARP表中的内容, 确定攻击源的MAC地址;也可以在局域居于网中部署Sniffer工具, 定位ARP攻击源的MAC。
也可以直接Ping网关IP, 完成Ping后, 用ARP-a查看网关IP对应的MAC地址, 此MAC地址应该为欺骗的MAC。
通过上述方法, 我们就能够快速地找到病毒源, 确认其MAC—〉机器名和IP地址。
4.2 防御方法
(1) 使用可防御ARP攻击的3层交换机, 绑定端口-MAC-IP, 限制ARP流量, 及时发现并自动阻断ARP攻击端口, 合理划分VLAN, 彻底阻止盗用IP、MAC地址, 杜绝ARP的攻击。
(2) 对于经常爆发病毒的网络, 进行Internet访问控制, 限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端, 如果能够加强用户上网的访问控制, 就能极大地减少该问题的发生。
(3) 在发生ARP攻击时, 及时找到病毒攻击源头, 并收集病毒信息, 可以使用趋势科技的SIC2.0, 同时收集可疑的病毒样本文件, 一起提交到趋势科技的TrendLabs进行分析, TrendLabs将以最快的速度提供病毒码文件, 从而进行ARP病毒的防御。
摘要:全球性的网络化、信息化进程正改变着人们的生活方式, 各学校也建立了自己的计算机网络。但是计算机病毒、网络入侵等也随之危害到了各学校的计算机网络。对威胁学校计算机网络的ARP攻击作了简单介绍, 并对其对应的防范措施进行了说明。
关键词:网络安全,ARP攻击,网络入侵
参考文献
[1]W.Richard Stevens.TCP/IP详解 (卷1) :协议[M].范建华, 胥光辉, 张涛, 译.北京:机械工业出版社, 2000.
[2]杨家海.网络管理原理与实现技术[M].北京:清华大学出版社, 2002.
[3]郭卫兴, 刘旭, 吴灏.基于ARP缓存超时的中间人攻击检测方法[J].计算机工程, 2008 (13) .
ARP防范 第5篇
1、做好第一道防线,实现网关和终端双向绑定IP和MAC地址。针对局域网中的每一台计算机利用“IPCONFIG”命令获取本机IP和MAC地址,并将该信息添加到路由器ARP映射表中。同时通过查看路由器的LAN口参数获取其IP和MAC地址,然后在局域网中的每台计算机上实现静态ARP绑定。
具体做法是:打开“运行”对话框,输入CMD进入MSdos界面,通过IPCONFIG命令获取本机的IP地址和MAC地址。然后打开浏览器,输入网址“http;//192168.1.1”进入路由器配置界面,在界面中定位到ARP与IP地址绑定位置处,设置“单机的MAC地址和IP地址的匹配规则”,指定局域网中各个计算机的IP地址和其对应MAC地址实现绑定。
2、通过“网络参数”-“LAN口参数”来查找路由器的MAC地址和IP地址,然后在局域网中的每台电脑中实现静态ARP绑定。
具体做法:打开“运行”对话框,输入CMD进入MSdos界面,然后通过输入如图所示的命令实现网关IP地址和MAC地址的绑定。
3、付出少需的代价换来局域网的长久平静。打开360安全卫士,依次点击“功能大全”-“木马防火墙”-“开启ARP防火墙”,在ARP防火墙上点击,进入360局域网防护界面,点击“切换到手动绑定防火墙”,输入经过查找的正确的网关IP和MAC地址后点击确定。
4、斩草除根,彻底追踪查杀ARP病毒。利用局域网ARP欺骗检测工具来确定ARP攻击源,然后利用ARP专杀工具进行杀毒。例如:安天ARP欺骗检测工具,此检测工具针对流行的局域网ARP欺骗,可以有效的定位到发起ARP欺骗的主机。也可以采用360来实现ARP攻击源的查找,在受到ARP攻击后,通过点击360安全为师局域网防护界面中的“查看详细日志”来追踪攻击源。查找并定位到攻击源地址以后,在相应的计算机上安装ARP专杀工具进行查杀操作。例如,当我们的机子受到ARP攻击时,我们查到了攻击源的MAC地址:00-21-97-12-15-0D,将该MAC地址与路由器当中的ARP映射表进行对比来确定攻击源主机,然后对该主机进入ARP的查杀工作。
5、另外我们还可以借助“聚生网管”软件来实现IP与MAC地址的绑定操作,从而更加有效提高局域网免受ARP病毒的攻击。在程序主界面中,点击“安全防御”-“IP和MAC绑定”项。
6、在弹出的窗口中勾选“启用IP-MAC绑定”,然后点击“手机添加绑定”按钮。最后输入IP以及对应的MAC地址,并点击“保存设置”即可。
以上就是Windows7如何查杀ARP病毒的教程了,教程主要讲述了如何防范ARP病毒以及如何查杀ARP病毒,大家如果中了这个病毒就不要慌了,按照这篇教程操作下来即可解决问题。
校园网ARP欺骗防范浅谈 第6篇
关键词:校园网;ARP欺骗;防范
一、ARP协议简介
ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。
计算机之间的通信是通过IP地址进行的,在每台装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的。ARP缓存表采用老化的机制,在一段时间里表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询的速度。
对于局域网而言,ARP协议是网络正常通信的基础,但是ARP协议缺乏必要的身份认证和鉴别机制,导致安全性能脆弱。
二、ARP欺骗原理
ARP欺骗主要是对路由器的欺骗和同网段其他主机的欺骗。病毒主机会伪造路由器和被害主机ARP缓存表内IP和MAC地址表的对应关系,病毒主机按一定频率发送广播,使真实的地址信息老化,欺骗网段内主机称自己是这个网段的网关设备,让原本流向网关的数据改道流向病毒主机,可截获、更改被害主机数据或者使被害主机掉线,造成网银密码、游戏账号等其他安全信息泄漏。
三、ARP欺骗的定位
方法一:检查三层交换机网段里的ARP信息,如果有不同IP对应相同MAC地址列表的情况,说明这个MAC地址就是对应ARP欺骗的主机MAC。
方法二:在同一网段内的任意主机上运行抓包软件,捕获所有到达本机的数据包。如果有某个IP不断发送ARPRequest请求包的情况,说明这台主机一般就是病毒源。
方法三:在不能上网的主机上DOS窗口下运行arp-a命令,即可显示与该主机相连设备的MAC,会发现网關所对应的MAC地址是否被修改,如果此MAC地址对应的主机既不是网关也不是服务器,但和其他主机都有通信活动,说明这台主机一般就是病毒源。
方法四:使用tracert命令在任意一台受影响的主机上,在DOS命令窗口下运行如下命令:tracert xxx.xxx.xxx.xxx(外网IP地址)。假设缺省网关为10.1.1.1,在跟踪一个外网地址时,第一跳却是同网段另外一台主机的IP地址,说明这个IP地址对应的主机就是病毒源。
方法五:安装了网络监控设备或者软件,如果网段中有ARP欺骗,设备或者软件就会报警,从而查找出病毒源。
四、ARP欺骗的防范
1.划分VLAN,做端口隔离,这样可以将ARP欺骗的影响范围缩小,及时找到源头,这种方法防范不彻底。
2.把网络安全信任关系搭建在IP+MAC的基础上,绑定IP和MAC地址。主机的IP和MAC地址对应表手动维护,不再动态更新,这种方法可以避免ARP欺骗。
3.使用ARP服务器,指定一台主机作为ARP服务器,专门保存并且可维护可信范围内的IP和MAC地址对应关系记录,并以被查询主机名义响应局域网内部的ARP请求。但要确保ARP服务器不被黑。
4.管理员定期查看交换机上的ARP表,DOWN掉有ARP欺骗行为的主机。
5.使用ARP防火墙。
6.增强安全意识,规范上网行为,及时修补系统漏洞,关闭不必要的服务,即使更新杀毒软件病毒库,把感染病毒几率降到最小。
五、结语
ARP欺骗经常造成局域网网络不正常,本文从ARP协议简述和欺骗原理浅谈ARP欺骗的防范,有一定的局限性,对于ARP欺骗的最好方法是预防。
参考文献:
[1]陈英.局域网ARP欺骗防御一法[J].中国教育网络,2008,(38).
[2]杜致远.ARP攻击的发现与定位[J].中国教育网络,2008,(38).
ARP攻击与防范措施 第7篇
由于计算机网络具有开放性, 并且联结形式多样, 因此, 无论是在局域网还是在广域网中, 都存在着自然和人为等诸多因素的威胁, 加之网络自身的脆弱性, 致使网络易受黑客、病毒、恶意软件和其他不轨行为的攻击。其中欺骗类攻击是网络中常见的一种攻击方式, ARP欺骗攻击就是一种典型的欺骗类攻击。因此, 了解ARP攻击的基本原理, 采取有针对性的必要措施, 防患于未然, 才能确保网络信息的保密性、完整性和可用性。
1 ARP协议工作原理
ARP (Address Resolution Protocol, 地址解析
协议) 用来动态地将第三层网络地址转换成数据链路层的物理地址, 也就是通过已知目标设备的IP地址, 找到目标设备的MAC地址, 以保证通信的进行。
在基于以太网交换技术的局域网中, 当数据准备发送时, 由数据链路层将上层数据封装在以太网数据帧中, 然后在以太网中传输。然而在封装过程中, 数据链路层并不知道以太网数据帧头中目的主机的MAC地址, 唯一的信息是IP数据报头中的目的主机IP地址。为了找到与目的主机IP地址相对应的MAC地址, 根据ARP协议, 源主机会发送一个称为ARP Request的以太网数据帧给以太网上的每一个主机, 这个过程称为ARP广播。ARP请求数据帧中包含目的主机的IP地址, 它向以太网上的每一个主机询问“如果你是这个IP地址的拥有者, 请回答你的MAC地址”。只有拥有此IP地址的主机收到这份广播报文后, 才会向源主机回送一个包含其MAC地址的ARP应答。并且, 为了尽量减少广播ARP请求的次数, 每个主机都有一个ARP缓存 (ARP Cache) , 这个缓存存放了最近的IP地址与MAC地址之间的映射记录。ARP缓存表采用老化机制, 主机每隔一定时间或者当收到ARP应答, 都会用新的地址映射来更新ARP缓存, 删除在一段时间内没有使用过的IP地址与MAC地址的映射关系。因为ARP是一个无状态的协议, 所以对于大多数操作系统, 如果收到一个ARP应答, 不管是否在此之前发过ARP请求, 都会更新自己的ARP缓存, 这就为系统安全留下了隐患。
2 ARP欺骗攻击的实现过程
ARP欺骗攻击的核心就是向目标主机发送伪造的ARP应答, 并使目标主机接收应答中伪造的IP与MAC的映射关系, 并以此更新目标主机的ARP缓存。假设网络中, A的IP地址为192.168.0.1, MAC地址为aa-aa-aa-aa-aa-aa, B的IP地址为192.168.0.2, MAC地址为bbbb-bb-bb-bb-bb;C的IP地址为192.168.0.3, MAC地址为cc-cc-cc-cc-cc-cc。
A向B发送一个自己伪造的ARP应答, 而这个应答中的数据发送方IP地址是C的IP地址192.168.0.3, MAC地址是伪造的一个其它地址dd-dd-dd-dd-dd-dd。当B接收到A伪造的ARP应答, B并不知道MAC地址被伪造了, B就会更新它自己本地的ARP缓存。现在和IP地址192.168.0.3对应的MAC地址在B的ARP缓存表上被改变成了一个不存在的MAC地址。从B开始Ping 192.168.0.3, 网卡递交的MAC地址是dd-dd-dd-dd-dd-dd, 结果当然不能Ping通C。如果A向B发送的伪造ARP应答中的MAC地址是aa-aa-aa-aa-aa-aa, 那么B发往C的数据就会错误地发送到A。此时, A就可以窃取C的数据。这样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否, 甚至还可以直接对网关进行攻击, 使网络上的计算机发来的数据无法发送到正常网关, 而攻击者可以伪装成网关, 从而截取网络中其他计算机发送的数据。
3 ARP攻击的防范措施
3.1 设置静态ARP缓存表
ARP协议攻击最根本的原理就是改变IP地址与MAC地址的正确对应关系。所以, 可以采取静态ARP表来防范, 就是在目标主机的ARP缓存中设置静态地址映射记录。这样, 当主机A向主机B发送数据前就不需要通过向所在的局域网广播ARP请求来获得B的MAC地址, 它会直接查询ARP静态记录表来获得B的MAC地址。攻击者也就没有机会向A发送ARP应答。但是, 攻击者在未接收到ARP请求的情况下仍凭空伪造ARP应答发送给A, A将拒绝用伪造的数据更新ARP缓存中的静态记录。这种方法的缺点很明显, 就是在经常更换IP地址的局域网环境里, 由于每个主机都采用ARP静态记录, 手工维护十分繁琐, 通常只针对网关建立静态映射。
3.2 交换机上绑定端口和MAC地址
设置交换机的每个端口与MAC地址相对应。如果来自该端口的MAC地址发生变动, 就自动封锁该端口, 使主机无法连接到局域网。这样, 攻击者就无法发送伪造的ARP数据帧, 从而阻止了ARP欺骗的发生。
3.3 禁用网络接口ARP解析
在操作系统中可以做静态ARP协议设置 (因为对方不会响应ARP请求报文) , 并禁止网络接口做ARP解析以对抗ARP欺骗攻击。例如在Linux下使用ifconfig eth0-ARP可以使网卡驱动程序停止使用ARP, 然后建立静态ARP映射“ARP-s IP MAC”, 即可有效防范ARP攻击。
3.4 利用防火墙和防病毒软件加强监控
可以借助防火墙和防病毒软件, 监控进出主机的网络数据。在局域网内的每台机器都安装防火墙软件和防病毒软件, 每个网段也应安装防火墙软件。通过对防火墙和防病毒软件的正确配置, 可以有效的抵御ARP攻击, 以及防范基于ARP的病毒和木马程序的侵入。
4 结束语
本文通过分析ARP协议的工作原理, 探讨了基于ARP协议欺骗攻击的实现过程, 提出了多种可行的安全防御策略, 对于防范ARP欺骗攻击, 一般需要多种措施配合使用, 可以从制度和技术两方面采取多种有效措施防治, 以减少网络受到的危害, 提高工作效率, 降低经济损失。如果要从根本上解决这一问题, 最好的方法是重新设计一种安全的地址解析协议, IPV6中已经考虑到了这个问题, 采用了更安全的方式以防范来自底层的攻击。
参考文献
[1]门飞, 朱磊明.ARP协议攻击原理及其防范[[J].信息网络安全, 2003, 10:26-27.
[2]李海鹰, 程灏, 吕志强.针对ARP攻击的网络防御式设计与实现[J].计算机工程, 2005, 31 (5) :170-171.
[3]徐涛.基于Ethernet的ARP欺骗原理及防御[J].网络安全技术与应用, 2007, 7:22-24.
浅析ARP攻击防范对策 第8篇
1.1 ARP协议介绍
在TCP/IP网络环境下, 一个IP数据包到达目的地所经过的网络路径是由路由器根据数据包的目的IP地址查找路由表决定的, 但IP地址只是主机在网络层中的地址, 要在实际的物理链路上传送数据包, 还需要将IP数据包封装到MAC帧后才能发送到网络中。在以太网中, 一个主机要和另一个主机进行直接通信, 必须要知道目标主机的MAC地址, 同一链路上的哪台主机接收这个MAC帧是依据该MAC帧中的目的MAC地址来识别的, 即除了同一链路上将网卡置为混杂模式的主机外, 只有当某台主机的MAC地址和链路中传输的MAC帧的目的MAC地址相同时, 该主机才会接收这个MAC帧并拆封为IP数据包交给上层模块处理。因此, 每一台主机在发送链路层数据帧前都需要知道同一链路上接收方的MAC地址, 地址解析协议ARP正是用来进行IP地址到MAC地址的转换的。ARP高速缓存通常是动态的, 该缓存可以手工添加静态条目, 由系统在一定的时间间隔后进行刷新, 在一段时间内如果表中的某一行没有使用, 就会被删除, 这样可以大大减少ARP缓存表的长度, 加快查询速度。
1.2 ARP攻击原理
针对交换机根据目的MAC地址来决定数据包转发端口的特点, ARP欺骗的实现:假设主机C为实施ARP欺骗的攻击者, 其目的是截获主机B和主机A之间的通数据, 且主机C在实施ARP欺骗前已经预先知道A和B的IP地址。这时C先发送ARP包获得主机B的MAC地址, 然后向B发送ARP Reply数据包, 其中源IP地址为A的IP地址, 但是源MAC地址却是主机C的MAC地址。主机B收到该ARP Reply后, 将根据新的IP地址与MAC映射对更新ARP缓存。这以后当B给A发送数据包时, 目标MAC地址将使用C的MAC地址, 因此交换机根据C的MAC地址就将数据包转发到攻击者C所在的端口。同理, 攻击者C发送ARP Reply使主机A确信主机B的MAC地址为C的MAC地址。在间歇的发送虚假ARP Reply的同时, 攻击者C打开本地主机的路由功能, 将被劫持的数据包转发到正确的目的主机, 这时攻击者对主机A和B来说是完全透明的, 通信不会出现异常, 但实际上数据包却被C非法截获, 攻击者C成为了“中间人”。
2. ARP攻击分类及危害
2.1 ARP欺骗/攻击类型
(1) 简单欺骗攻击:这是比较常见的攻击, 通过发送伪造的ARP包来欺骗路由 (网关) 和目标主机, 让目标主机认为这是一个合法的主机。便完成了欺骗。这种欺骗多发生在同一网段内, 因为路由不会把本网段的包向外转发, 当然实现不同网段的攻击也有方法, 便要通过ICMP协议来告诉路由器重新选择路由。
(2) 交换环境的嗅探:在最初的小型局域网中我们使用HUB来进行互连, 这是一种广播的方式, 每个包都会经过网内的每台主机, 通过使用软件, 就可以嗅谈到整个局域网的数据。现在的网络多是交换环境, 网络内数据的传输被锁定的特定目标。既已确定的目标通信主机。在ARP欺骗的基础之上, 可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信。
(3) MAC Flooding:这是一个比较危险的攻击, 可以溢出交换机的ARP表, 使整个网络不能正常通信。
(4) 基于ARP的Do S:这是新出现的一种攻击方式, Do S又称拒绝服务攻击, 当大量的连接请求被发送到一台主机时, 由于主机的处理能力有限, 不能为正常用户提供服务, 便出现拒绝服务。这个过程中如果使用ARP来隐藏自己, 在被攻击主机的日志上就不会出现真实的IP。攻击的同时, 也不会影响到本机。
2.2 ARP欺骗/攻击判断方法
由于各种ARP欺骗/攻击的目的、对象和手段各不相同, 要想准确判断出局域网内是否存在ARP欺骗/攻击, 就必须通过多种手段, 从不同侧面进行检测。
首先, 观察网络表现, 如果存在下列两种情况之一, 则初步判断存在ARP欺骗/攻击。一是网速时快时慢, 极其不稳定, 但单机进行光纤数据测试时一切正常;二是局域网内频繁性区域或整体掉线, 重启计算机或网络设备后恢复正常。
其次, 察看本地机器和路由器的特定信息或应用专业软件进行准确判断, 常用的方法有:使用“ARP-a”命令察看本地计算机ARP表信息变化, 如果发现某个IP (特别是网关) 对应的MAC地址发生了变化, 则可判定局域网内存在ARP欺骗/攻击;察看路由器的“系统历史记录”, 如果看到“MAC Chged 10.128.103.124MAC Old 00016c36d17f MAC New00055d60c718”消息代表用户的MAC地址发生了变化, 则说明局域网内曾经出现过ARP欺骗 (ARP欺骗的木马程序停止运行时, 主机在路由器上恢复其真实的MAC地址) ;三是使用ARPSniffer或ARP防火墙等专业软件进行抓包分析, 具体方法可以参见相关软件的操作手册。
2.3 ARP欺骗/攻击危害
ARP欺骗的危害的表现主要有两种形式:
一是窃取信息, 欺骗主机作为“中间人”, 被欺骗主机的数据都经过它中转一次, 这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据。出现这种情况的可能原因有:木马病毒、嗅探、人为操作。
二是破坏网络, 让被欺骗主机直接断网。出现这种情况的可能原因有:木马病毒、人为破坏、一些网管软件的控制功能。
3. ARP攻击防范措施
ARP欺骗攻击的关键是要铲除ARP欺骗攻击产生的根源, 作为网络管理员, 除了要做到以上八个方面外, 还可以采取以下措施:
一是做好基础资料的收集, 如:建立正确的IP-MAC对应表, 可以在发现问题是更快速地进行问题来源定位。
二是如果计算机数量不是太多, 建议在交换机和客户端上进行IP-MAC双向绑定, 这样可使局域网免疫ARP病毒。
三是定期用响应的IP包中获得一个rarp请求, 然后检查ARP响应的真实性。
四是定期轮询, 检查主机和交换机上的ARP缓存。如果发现IP-MAC表中出现1对多或多对一的情况, 则说明网内存在ARP欺骗攻击。
五是充分发挥交换机的潜力, 正确配置ACL, 禁止以网关IP作为源地址的ARP包通过, 允许以网关MAC地址为源地址的ARP包通过, 从而实现ARP欺骗攻击的防范, 授篇幅限制, 具体方法请参考实际交换机的配置手册。
结束语
ARP本身不能造成多大的危害, 一旦被结合利用, 其危险性就不可估量了。由于ARP本身的问题, 使得防范ARP的攻击很棘手, 经常查看当前的网络状态, 监控流量对一个网管员来说是个很好的习惯。更多新技术的应用将会使ARP欺骗攻击的防范简便易行。
参考文献
ARP攻击与防范措施研究 第9篇
随着通信技术和互联网技术的发展,人们在享受网络带来便利的同时,各种各样的黑客攻击接踵而来,网络安全问题也变得越来越突出。因此,如何有效地防范各种攻击,增强网络安全性是一项重要的课题。欺骗类攻击在主动攻击中是非常普遍的,ARP欺骗作为一种典型的欺骗类攻击,由攻击主机通过发送伪造的ARP应答来更新目标主机的ARP缓存,从而使自身赢得目标主机的信任,然后再实施有效攻击或非法监听网络数据包,造成目标主机被攻破或机密信息泄露等一系列恶性后果。
1 ARP协议
ARP协议是“Address Resolution Protocol”(地址解析协议)[1]的缩写。在以太网中传输的数据包是以太包,而以太包的寻址是依据其首部的物理地址(MAC地址)。仅仅知道某主机的逻辑地址(IP地址)并不能让内核发送一帧数据给此主机,内核必须知道目的主机的物理地址才能发送数据。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
为了提高效率,ARP使用了高速缓存技术(Cache)[2],即在主机中保留一个专用的内存区,存储最近一段时间内获得的IP-MAC映射。在发送报文之前,为了获得目标IP地址对应的MAC地址,会首先在高速缓存中查找相应的MAC地址,如果找不到,则发送一个目的MAC地址为FF:FF:FF:FF:FF:FF(即广播地址)的ARP请求数据包,请求地址解析。主机B要向主机A建立通信连接,当主机B的ARP缓存中没有主机A的IP-MAC映射记录时,主机B在网络中广播ARP请求数据包,其意义是“如果你有此IP地址,请告诉我你的MAC地址”。该数据包被本地网段的所有主机(主机A、C、D)接收,这些主机将主机B的IP地址和对应MAC地址保存在各自的ARP缓存中;同时主机A发现该数据包中的目的IP地址与自身IP地址一致,对该数据包响应,响应报文中有主机A的MAC地址:MAC A;其他主机(主机C、D)不响应。主机B接收到ARP响应后获得主机A的IP-MAC映射,刷新ARP缓存。如图一所示。
2 ARP协议的漏洞
ARP协议虽然是一个高效的数据链路层协议,但是作为一个局域网协议,它是建立在各个主机之间相互信任基础上的,因此存在一些安全问题:
(1)直接动态更新缓存,这是ARP协议的特色之一,但也是安全问题之一,由于正常的主机间的MAC地址刷新都是有时限的,这样假冒者如果在下次更新前成功地修改了被攻击者的地址缓存,就可以进行假冒攻击了。
(2)ARP请求以广播方式进行。这个问题是不可避免的,因为正是由于主机不知道对方的MAC地址,才需要进行ARP广播请求的。这样,攻击者就可以伪装ARP应答,与广播者真正要同新的主机进行竞争。
(3)可以随意发送ARP应答包。根据RFC的规定,任何主机即在没有请求的时候也可以做出应答。只要应答是有效的,接收到ARP应答包的主机就无条件的根据应答包的内容刷新本机的高速缓存。
(4)接收到ARP应答包的ARP缓存没有认证机制。一般来讲,一个局域网内的主机是同属于一个组织的,主机间的通信是相互信任,出于传输效率上的考虑,在数据链路层就没做安全上的考虑。
这些都为ARP欺骗提供了条件[3]。
3 ARP攻击
根据病毒攻击目标的不同,ARP攻击分为两种,一种为主机型ARP欺骗;另一种为网关型ARP欺骗。
3.1 主机型ARP欺骗
当目标发送ARP响应时,会完全相信ARP响应来自于正确的设备。这样,当主机B发送ARP请求以获得主机A的MAC地址时,在A响应前,主机C以某个IP-MAC映射对作出响应,则主机B的缓存设置了错误的MAC地址,从而实现ARP欺骗。如图二所示。
3.2 网关型ARP欺骗
网关型ARP欺骗和ARP欺骗的原理一样,报文中的源IP和源MAC均为虚假的,或错误的网关IP和网关MAC对应关系。它的主要目的不是窃取报文,而是扰乱局域网中合法PC中保存的ARP表,使得网络中的合法PC无法正常上网,通讯中断。假设一台PC B要访问外网,网关IP192.168.10.1对应的MAC地址为MAC A,当PC B发送ARP请求以获得网关的MAC地址时,在响应前,攻击者通过发包工具发出ARP响应,告诉:192.168.10.1对应的MAC地址为MAC X,如图三所示,则PC B的缓存表刷新,设置了错误的MAC地址。最终PC B由于找不到正确的网关,所有访问外网的数据都无法得到回应,如图四所示。
4 ARP攻击防范措施
由于ARP欺骗是利用网络协议本身固有的缺陷而进行的,若对协议进行修改会破坏它与基于TCP/IP网络系统的兼容性,所以完全防御ARP欺骗十分困难。因此,可采取以下措施从一定程度上提高网络的安全性。
4.1 配置静态表
ARP欺骗产生的先决条件是ARP表是动态更新的[4],对网段上主机进行IP地址和MAC地址的登记,禁止动态更新缓存。当执行欺骗的应答到达主机时就不能更新ARP缓存,无法进行欺骗从而达到防范目的。但该方法主要应用于对安全性要求较高且较小的局域网,其操作依靠人工,工作量大。
4.2 制定缓存更新策略
由于ARP协议在无请求的情况下任意接收应答并更新缓存,这为欺骗创造了条件,因此可制定ARP缓存更新规则。规定接收ARP协议报文的顺序是先发送ARP请求然后才能接收与此匹配的ARP应答报文,对到达的无ARP请求或者不匹配的应答报文一律丢弃,这样可以有效防止攻击方利用ARP欺骗报文更新缓存达到欺骗目的。
4.3 信息加密
基于ARP欺骗原理,监听不易为通信双方察觉。如果通信双方对信息进行加密,即便信息被攻击者获取也因没有方法解密而无法获得有用信息,从而保证网络传输的安全性。
4.4 VLAN技术
通过划小VLAN来抑制广播域。通常需要将每个端口划分成一个单独的VLAN,将上连端口设置成链路聚合,设置每一个接入点都处在一个单独的VLAN。这种方式可以将ARP欺骗发生的范围减到最小,其优点是无需对计算机作任何设置,安全性较高。缺点是同一网段的各节点之间不能互相访问,且要求网络设备具有较完善的VLAN功能[5]。
4.5 在服务器端使用检测软件
利用监测软件实时分析网络的状态,一旦有主机在局域网内进行ARP欺骗攻击,服务器端通过监测软件可以立即发现,然后对染毒主机的端口进行封杀,并且告知机主。
4.6 使用专用的ARP服务器
指定局域网内部一台机器作为专用的ARP服务器,专门用于管理可信范围内的所有主机的IP地址和MAC地址映射表[6]。此服务器通过查询自己的ARP缓存的静态记录并以被查询主机的名义响应局域网内部的ARP请求,同时设置局域网内部的其他主机只能使用来自ARP服务器的ARP响应。
4.7 使用专门用于防范ARP欺骗的产品或软件
专门针对ARP欺骗的产品有Cisco路由器、Qno侠诺路由器等。安装ARP防火墙,可以防止来自外部的ARP攻击,也可防止本机向外发送ARP攻击[7]。专门针对ARP欺骗的软件有ARP防火墙、360ARP防火墙、Anti ARP等,此外有些杀毒软件的防火墙也带有防ARP欺骗的功能,使用时把此功能开启。此方法主要作为几种防范方式的有效补充使用。
4.8 利用交换机端口ARP检查安全功能
启用交换机端口安全模式,打开ARP报文检查ARP报文中的源IP和源MAC是否和绑定的一致,可有效防止安全端口上欺骗ARP,防止非法信息点冒充网络关键设备的IP(如服务器),造成网络通讯混乱。设置对端口FA0/1+IP+MAC地址三者绑定,同时启用ARP检测功能,步骤如下:
5 结束语
网络欺骗攻击作为一种非常专业化的攻击手段,给网络安全管理者带来了严峻的考验。ARP欺骗是一种典型的欺骗攻击类型,文中通过分析ARP协议的漏洞,探讨了ARP欺骗攻击的原理,然后提出了几种防范措施。
综上可以看出,防范ARP欺编攻击的几种方式各有其特点,应该根据网络的实际情况来选择合适的一种或几种防范方式,这样才能达到有效的防范攻击的目的。
参考文献
[1]谢希仁.计算机网络(第五版)[M].北京:电子工业出版社,2008.
[2]Trabelsi,Z,El-Hajj,W.Preventing ARP Attacks Using a Fuzzy-Based Stateful ARP Cache[C].Communi-cations,2007.ICC’07.IEEE International Conference on24-28June2007,Page(s):1355-1360.
[3]Meng Xiaoming.Detecting and Precaution of Network Spoofing Base on ARP[J].Information Tech-nology,2005,(5):32-36.
[4]牛少彰,江为强.网络的攻击与防范理论与实践[M].北京:北京邮电大学出版社,2006.
[5]傅军.基于ARP协议的欺骗及预防[J].中国科技论文在线,2007,(1):55-58.
[6]易云飞,阮忠,林芳.ARP协议漏洞分析[J].软件导刊,2008,7(4):154-156.
防范ARP病毒攻击的策略 第10篇
关键词:ARP,攻击,防范,策略
近年来一种“ARP欺骗” (Address Resolution Protocol地址解析协议) 病毒袭击了很多单位的局域网, 导致了网内计算机用户不能正常访问互联网。本校校园网也多次受到ARP病毒的攻击。就此, 谈谈防范ARP病毒的措施。
一、ARP的工作原理
ARP协议是Address Reso Lution Protocol地址解析协议的缩写, 是用来解释地址的协议。具体来说, 就是将网络层IP地址解析为数据链路层地址。TCP/IP协议中规定, 每一台接入局域网的主机都要配置一个32位的IP地址, 而局域网内主机之间的通信是靠一个48位的MAC地址来确定目标, 以太网设备并不识别IP地址, 因此IP驱动器必须把IP地址转换成以太网MAC地址。在这两种地址之间存在着某种静态或动态算法的映射, ARP协议就是用来确定这些映射的协议。
在每台安装有TCP/IP协议的主机里都有一个ARP缓存表, 表里的IP地址与MAC地址是一一对应的。我们以主机A向主机B发送数据为例, 当发送数据时, 主机A会在自己的ARP缓存表中查询是否有目标IP地址, 如果查询到目标IP地址, 也就知道目标MAC地址, 直接把目标MAC地址写入帧里面发送;如果没查询到目标IP地址, 主机A就会在网络上发送一个广播“主机B的MAC地址是什么”, 网络上其他主机并不响应ARP询问, 只有主机B接收到这个帧时, 才向主机A做出这样的回应“我是主机B, MAC地址xx-xx-xx-xxxx-xx”, 这样主机A就知道了主机B的MAC地址, 主机A就可以向主机B发送信息, 同时主机A还更新自己的ARP缓存表, 下次再向主机B发送信息时, 直接从ARP缓存表里查询。ARP缓存表采用了老化机制, 在一段时间内如果表中的某一行没有使用, 就会被删除, 这样可以大大减少ARP缓存表的长度, 加快查询速度。
二、ARP欺骗攻击
通过上面ARP工作原理, 我们可以清楚看到ARP攻击就是通过伪造IP与MAC对应关系实现ARP欺骗, 攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存表中的IP与MAC条目, 造成在链路层上数据不能传输, 从而引起网络中断。ARP欺骗基本上分为四大类。
第一类是对路由器ARP表的欺骗。毒机告诉路由器一系列错误的网内MAC地址, 并按照特定的频率不断进行, 真实地址信息无法更新保存到路由器中, 因而路由器的所有数据只能按照错误的MAC地址进行发送, 使得正常计算机无法正确接收到信息。
第二类是对局域网内计算机的网关欺骗。此方式是利用毒机建立伪造网关, 让被毒机欺骗的计算机向毒机发送数据, 不能向真实网关发送数据。
第三类是“中间人”攻击。“中间人”攻击又称为ARP双向欺骗, 网络中某台PC上网突然掉线, 一会又恢复, 但是恢复后一直上网很慢, 查看该PC机的ARP表, 网关MAC地址已被修改, 而且网关上该PC机的MAC地址也是伪造的, 该PC机和网关之间的所有流量都转到另外一台机子上。
第四类是泛洪攻击。泛洪攻击导致网络经常中断, 或者网速很慢, 查看ARP表项也都正确, 但是在网络中抓包分析, 发现大量的ARP报文发往交换机、路由器或某台PC机, 导致CPU忙于处理ARP协议, 负担过重, 造成设备没有资源转发正常的数据流量。
三、防范ARP欺骗攻击的策略
可以通过网络升级改造防范ARP欺骗攻击。针对ARP欺骗攻击, 一些网络设备或软件开发商已研发生产了相关软硬件, 可以通过引进这类软硬件设备和网络升级改造, 以防范ARP欺骗攻击, 但这需要一定的经费投入, 在此经费没有到位的情况下, 我们还可以采取以下一些方法。
1、预防措施
防范ARP欺骗攻击最主要是做好预防, 具体可以采用以下措施:
(1) 及时更新计算机的病毒库以及升级操作系统。往往病毒就是利用了Windows系统漏洞入侵个人电脑的, 因此局域网内的每一个用户要及时打上安全补丁, 安装杀毒软件定期扫描, 建议启动操作系统和杀毒软件的自动更新功能。
(2) 使用支持ARP过滤的防火墙。出于成本方面的考虚, 往往大家采用大量的非管理型交换机, 无法进行IP+MAC+端口绑定。当单位的计算机数量比较多的时候在PC端进行IP+MAC地址绑定时, 由于机器重启后需要重新绑定, 虽然可以通过编辑批处理文件的方式自动运行, 但工作量无疑是巨大的, 所以可以采用ARP防火墙或者是支持ARP过滤的防火墙。目前比较流行的有Antiarp防火墙、金山ARP防火墙、奇虎360ARP防火墙、瑞星防火墙等。其中AntiARP因其功能强大且安装简单而深受好评。
(3) 将IP地址和MAC地址进行静态绑定。从前面ARP欺骗的工作原理中可以得知, 欺骗者通过修改ARP缓存表中IP地址所对应的MAC地址来达到欺骗的目的, 如果将IP地址与MAC地址进行静态绑定, 使之不能修改, 则欺骗者的伎俩无法得逞。
(4) 利用各种监测网络的软件及硬件可以检测局域网中每台计算机发出的ARP数据包, 能够发现是否存在ARP欺骗, 以及哪台计算机正在进行ARP欺骗。
2、处理措施
当局域网内已被ARP欺骗攻击, 可以采用以下处理措施。
(1) 客户端将IP地址和MAC地址进行静态绑定
编辑批处理文件jxcia.bat如下
@echo off
arp-d*
arp-s 192.168.1.254 AA-BB-CC-DD-EE-FF
其中:192.168.1.254 AA-BB-CC-DD-EE-FF需要更改为具体的网关IP地址和MAC地址。
Echo off是关闭回显, arp–d*是清空arp表, 最后arp–s是为主机加入一条静态arp记录, 用以保证能够正常访问到网关。把jxcia.bat加入到C:Documents and Settingszhl「开始」菜单程序启动其中, zhl为本地用户开机启动的用户名。
将IP地址和MAC地址进行静态绑定也可以采用编辑注册表, 键值如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
“MAC”=”arp s网关IP地址网关MAC地址”
然后保存成Reg文件以后在每个客户端上点击导入注册表。
(2) 查找并清理毒机
采用技术手段, 查找到感染ARP病毒的计算机。
查找方法一, 在电脑上ping一下网关的IP地址, 然后使用ARP-a的命令看得到的网关对应的MAC地址是否与实际情况相符, 如不符, 可去查找与该MAC地址对应的电脑。
查找方法二, 使用抓包工具, 分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径指向自己, 有些是发出虚假ARP回应包来混淆网络通信。第一种处理比较容易, 第二种处理比较困难, 如果杀毒软件不能正确识别病毒的话, 往往需要手工查找感染病毒的电脑和手工处理病毒, 比较困难。
查找方法三, 使用mac地址扫描工具, nbtscan扫描全网段IP地址和MAC地址对应表, 有助于判断感染ARP病毒对应MAC地址和IP地址。
查找到毒机后, 将其从网络中断开, 然后杀毒。
四、结束语
ARP病毒是利用协议的缺陷进行攻击, 目前要重新设计更改ARP协议是不现实的, 因此网络避免不了ARP攻击, 但我们可以通过采用软、硬件的办法, 双管齐下, 尽量预防网络受到ARP攻击, 使ARP攻击的危害降到最低。解决及防范ARP病毒欺骗有更多更好的方法, 这还有待于我们继续探索研究。
参考文献
[1]陈一匡:《浅析ARP欺骗对校园网的危害及防范》, 《电脑知识与技术》, 2009. (5) 。
[2]程渊:《大型校园网防范ARP病毒入侵方案》, 《科技创新导报》, 2008.04。
[3]张少芳、赵李东:《详解ARP欺骗及防范方法》, 《大众科技》, 2009. (1) 。
ARP防范 第11篇
关键词:网络管理;ARP欺骗;ARP病毒攻击;IP地址管理;排查与防控手段
中图分类号:TP393.18 文献标识码:A 文章编号:1006-8937(2012)26-0076-04
回顾企业网络安全运行维护工作,有必要总结归纳近年来企业级网络管理系统和网络管理体系结构有效维护经验,有效利用网络管理防范与处理ARP欺骗、攻击相关经验。
从近年的网络运维,网络管理人员不断接到网络用户反映——“所在的网络在上网应用时网络时断时通,有时基本处于无法使用的状态”。而与此同时网络流量管理在对相应网段的监控中又没有异常情况发生,所以一时间很难使用常规的网络管理手段、经验加以判断与网络定位,从而给网络管理与网络维护提出了新挑战。
由于这种网络故障来的较突然,既没有可以参考的经验,又没有可用的网络协议分析仪等条件进行客观数据的实地采集,所以我们一开始采用的方法就是在网络交换机处对网段进行人为手工的“再细分”,用逐段排除法对有问题的PC机进行定位后再采取整治方法,但这种方法费时费力,排除故障时间长。通过对故障网络现场观察和体会,加上对网络TCP/IP协议的分析后,得出对ARP网络欺骗和ARP网络病毒攻击的初步感性、理性双重认识。那就是如何认识ARP欺骗与攻击的共同点和区别,采取有效的防控手段来遏制这些网络安全威胁。
1 ARP欺骗分析
ARP协议是一种将IP转化成以IP对应网卡的物理地址的协议,或者说ARP协议是将IP地址转化成MAC地址的一种协议。它靠内存中保存的一张表来使IP得以在网络上被目标机器应答。在我们企业网络架构的Vlan中,以太网的每一帧有两种方式传输。一种对外传,就是用户有一个需求,当需要透过路由将网络帧转发到别的Vlan时,需要通过本地Vlan的网关。另外一种是内传,当有用户需求就在本身这个Vlan网络中时就不需要网关了。
当遇到ARP欺骗的时候,我们就会发现原本发送给本地Vlan网关的数据帧,没有得到本地Vlan网关MAC正确的回应。从而导致用户任何应用都没有办法使用了,就感觉到反复“掉线”或者“断线”,网络好像处在“震荡”中,迫使网络用户重新启动自己的计算机以期重新获得联网的需求,此时正好中了欲进行ARP欺骗计算机的“招”,当用户在重新启动自己计算机获得IP地址和本网段网关MAC地址时,进行ARP欺骗的计算机就会以自己网卡的MAC地址代替本网段网关的MAC地址,以至于给用户一个重新获得上网的感觉,其实用户这时所有的外传以太网帧全部发给了正在行使ARP欺骗的计算机,这就是ARP欺骗在一个Vlan中的基本原理。
进行网络ARP欺骗的计算机在进行MAC欺骗的过程中,会将已知某其它主机的MAC地址用来使目标交换机向欺骗计算机转发以该主机为目的地址的数据帧。通过发送带有该主机以太网源地址的单个数据帧办法,网络欺骗计算机改写了CAM表格中的条目,使得交换机将以该主机为目的地址的数据包转发给该网络实施ARP欺骗的计算机。除非该主机重新启动PC并从网络中获取地址时CAM表中对应的条目会被再次改写,以便它能恢复到原始的端口。但是否会再次受到ARP的MAC欺骗就取决于本网段中是否存在这样的欺骗计算机了。
网络欺骗——MAC的欺骗从来不会停止于只在本网段内进行“欺骗”,它很快就演变为与网络病毒相结合的具有网络攻击特征的更具传染与杀伤力的——“地址解析协议(ARP)攻击”。
当有人在未获得授权就企图更改MAC和IP地址ARP表格中的信息时,就发生了ARP攻击。通过这种方式,黑客们可以伪造MAC或IP地址,以便实施如下的两种攻击:“服务拒绝”和“中间人攻击”。
目前以“服务拒绝”演变出来的攻击以网络上多种病毒为主,它们会发送假冒的ARP报文,比如发送网关IP地址的ARP报文,把网关的IP对应到自己的MAC上,或者一个不存在的MAC地址上去,同时把这假冒的ARP报文在网络中广播,所有的内部PC就会更新了这个IP和MAC的对应表,下次上网的时候,就会把本来发送给网关的MAC的报文,发送到一个不存在或者错误的MAC地址上去,这样就会造成网络断线了。
这就是ARP地址欺骗攻击,造成内部PC和外部网的断线,该病毒在满足一定条件的时候会表现的特别猖獗。也对企业内部分局部网段造成非物理“断网”的中断网络破坏,由于它与网络病毒相结合,所以无论在传播的速度和攻击特性都有较大的“聚变”,ARP 地址欺骗攻击的实施是通过伪造IP地址和MAC地址实现ARP欺骗的同时,能够在网络中产生大量的ARP通信量,使网络阻塞或者实现“中间人攻击”(man in the middle) ,进行ARP重定向和嗅探攻击。当攻击源大量向局域网中发送虚假的ARP信息后,就会造成局域网中机器ARP缓存的崩溃。
下面给出ARP欺骗攻击在Vlan229网络交换机上所看到的特征。
3 原因分析
从对感染ARP欺骗的欺骗攻击病毒计算机进行现场查杀和计算机系统安全基本要求方面的检查来看,这些计算机大多存在如下的共同特征:
①系统安全补丁严重缺失,有的Winxp在SP2后只有一个补丁,所以补丁缺少很多(约两年)。
②计算机开机进入系统时几乎都缺少系统应有的“口令”。有的只有弱口令。
③大部分这样的计算机系统无防病毒软件或没有及时对防病毒软件升档,特别是企业网络中使用的Symantec通知升级后不执行升级就导致防病毒策略与防病毒代码无法及时更新。
局域网ARP攻击防范 第12篇
在局域网中, 通过ARP协议来完成IP地址转换为第二层物理地址 (即MAC地址) , ARP协议对网络安全具有重要的意义。通过伪造I P地址和MAC地址实现ARP欺骗, 能够在网络中产生大量的ARP通信量使网络阻塞。近两年来, 针对ARP网络的攻击不断增加, 已经对局域网构成了严重威胁。
2 ARP原理
ARP协议是“Address Resolution Protocol” (地址解析协议) 的缩写。在局域网中, 网络中实际传输的是“帧”, 帧里面是有目标主机的MAC地址。在以太网中, 一个主机要和另一个主机进行直接通信, 必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的I P地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。每台主机都会在自己的ARP缓冲区 (ARP Cache) 中建立一个ARP列表, 以表示IP地址和MAC地址的对应关系。如下所示:
A:192.168.0.1 AA-AA-AA-AA-AA-AA;
B:192.168.0.2 BB-BB-BB-BB-BB-BB;
C:192.168.0.3 CC-CC-CC-CC-CC-CC;
D:192.168.0.4 DD-DD-DD-DD-DD-DD。
当源主机需要将一个数据包要发送到目的主机时, 会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址, 如果有就直接将数据包发送到这个MAC地址;如果没有, 就向本地网段发起一个ARP请求的广播包, 查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后, 会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同, 该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中, 如果ARP表中已经存在该IP的信息, 则将其覆盖, 然后给源主机发送一个ARP响应数据包, 告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后, 将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中, 并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包, 表示ARP查询失败。
3 ARP常见攻击方式
3.1 ARP欺骗攻击
ARP协议的基础就是信任局域网内所有的人, 那么就很容易实现在以太网上的ARP欺骗。通过发送伪造的ARP包来欺骗路由和目标主机, 让目标主机认为这是一个合法的主机, 便完成了欺骗。这种欺骗多发生在同一网段内, 因为路由不会把本网段的数据包向外转发, 当然也可以实现不同网段的攻击, 但要通过ICMP协议来告诉路由器重新选择路由。
对目标A进行欺骗, A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候, 把C的MAC地址骗为DD-DD-DD-DD-DD-DD, 于是A发送到C上的数据包都变成发送给D的了。这正好是D能够接收到A发送的数据包, 嗅探成功。因为A和C连接不上了, D对接收到A发送给C的数据包可没有转交给C。做“man in the middle”, 进行ARP重定向。打开D的IP转发功能, A发送过来的数据包, 转发给C, 好比一个路由器一样。D直接进行整个包的修改转发, 捕获到A发送给C的数据包, 全部进行修改后再转发给C, 而C接收到的数据包完全认为是从A发送来的。不过, C发送的数据包又直接传递给A, 倘若再次进行对C的ARP欺骗。因此D就完全成为A与C的中间桥梁了, 对于A和C之间的通讯就可以了如指掌了。
3.2 交换环境的嗅探
现在的网络多是交换环境, 网络内数据的传输被锁定特定目标。既已确定的目标通信主机, 在ARP欺骗的基础之上, 可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信。如果主机A与主机C正常通信, 主机B可以通过ARP欺骗, 从而实现转发主机A与主机C通信的数据包, 达到在交换网络下主机B对主机A与主机C通信数据的嗅探。
3.3 ARP扫描
ARP扫描又叫ARP请求风暴, 其扫描的表现形式为:网络中出现大量ARP请求广播包, 几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源;ARP扫描一般为ARP攻击的前奏。出现原因一般为:感染病毒程序, 网络上侦听程序、扫描程序。如果网络分析软件部署正确, 可能是我们只镜像了交换机上的部分端口, 所以大量ARP请求是来自与非镜像口连接的其它主机发出的。如果部署不正确, 这些ARP请求广播包是来自和交换机相连的其它主机。
3.4 泛洪攻击
攻击者利用工具制造大量的ARP请求数据包, 泛洪发往本广播域中的路由器、交换机以及主机设备。一方面导致被攻击者的CPU忙于处理ARP请求, 负担过重, 造成设备其他功能不正常甚至瘫痪;另一方面, 占用大量的网络带宽, 使可用网络带宽减少。在局域网遭到ARP数据包的泛洪攻击时, 一般表现为网内主机上网速度很慢甚至无法上网, 但查看所有设备ARP缓存表均没有问题。但通过网络抓包软件捕获网络中的数据包可发现大量的ARP请求数据包。
4 局域网遭受ARP攻击常见现象
4.1 网上银行、游戏及QQ账号的频繁丢失
一些人为了获取非法利益, 利用ARP欺骗程序在网内进行非法活动, 此类程序的主要目的在于破解账号登录时的加密解密算法, 通过截取局域网中的数据包, 然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒, 就可以获得整个局域网中上网用户账号的详细信息并盗取。当局域网内某台主机运行ARP欺骗的木马程序时, 会欺骗局域网内所有主机和路由器, 让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网, 切换的时候用户会断一次线。切换到病毒主机上网后, 如果用户已经登录了QQ服务器, 那么病毒主机就会经常伪造断线的假像, 那么用户就得重新登录QQ服务器, 这样病毒主机就可以盗号了。
4.2 网速时快时慢, 但单机测试一切正常
当局域内的某台计算机被ARP的欺骗程序非法侵入后, 它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包, 阻塞网络通道, 造成网络设备的承载过重, 导致网络的通讯质量不稳定。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制, 用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时, 用户会恢复从路由器上网, 切换过程中用户会再断一次线。
4.3 区域或整体掉线, 重启恢复正常
当带有ARP欺骗程序的计算机在网内进行通讯时, 就会导致频繁掉线, 出现此类问题后重启计算机或禁用网卡会暂时解决问题, 但掉线情况还会发生。
5 局域网ARP攻击防范方法
5.1 ARP缓存表的静态绑定
ARP欺骗利用的是对本广播域其他主机的信任, 即ARP缓存表总是会依据接收到的ARP数据包进行刷新。因此往往由于信任了伪造的ARP响应数据包而导致被攻击, 所以只要不让网关设备和网内主机刷新自己的ARP缓存表即可防范ARP欺骗攻击。在默认情况下, ARP缓存表中的记录类型为“dynamic”, 即依据接收到的ARP数据包进行动态刷新的。为防范ARP欺骗攻击, 可以将IP地址和对应的MAC地址进行静态的绑定, 即进行ARP绑定, 使之不进行刷新。IP地址与MAC地址的绑定操作必须在网关设备上以及网内主机上都要实现, 即进行双向的绑定。因为如果只是在网关设备或者网内主机上进行单向绑定, 则ARP欺骗还是可以通过假冒网关攻击或欺骗网关攻击在网络的另一端达到攻击的目的。
在网关设备上需要对网内所有的主机的IP地址和MAC地址进行静态的绑定。在网内主机上则需要对网关设备的IP地址和MAC地址进行静态的绑定, 绑定方法为:在命令行模式下, 输入命令“ARP-S网关IP地址网关MAC地址”。但是, 在网内主机重启后, ARP缓存表内容会丢失, 即静态绑定的网关设备IP地址与MAC地址的映射关系也会丢失。因此可以将ARP绑定操作写成批处理文件并放置到“开始一程序一启动”中, 使其在系统启动时即被加载执行。这种方法必须人工设置IP地址和MAC地址的映射, 工作量巨大, 灵活性较差, 针对小型的网络比较的适用。
5.2 交换机端口与主机MAC值的绑定
将局域网中交换机的每一个端口与之相连接的主机MAC地址进行绑定, 这就规定了连接这个端口的MAC地址是固定的。如果该端口发现与绑定的MAC地址值不同, 则交换机自动锁定此端口, 使与此端口相连的主机无法连接到局域网。即攻击者发送伪造的ARP欺骗报文, 端口立刻可以检测出MAC值不一样, 让攻击者无法攻击网络, 并中断攻击者连接网络的权利, 这样也可以立刻找出攻击主机。这种方法只适合于高端的交换机, 对于低端交换机是没有交换机的设置功能, 无法实现。同时, 如果是人为的变换了主机的连接端口, 不通过管理员也无法连接到网络。
5.3 划分VLAN
ARP报文是一种广播报文, 也就是说它只能在一个广播域内传输。所以这就决定了ARP欺骗不能跨网段实施, 通过VLAN技术隔离广播域, 从一定的程度上减少ARP攻击的范围, 使ARP欺骗局限于一个被感染的虚拟局域网内, 不会影响整个局域网的运行。
5.4 信息加密
基于ARP欺骗原理, 监听不易为通信双方察觉。如果通信双方对信息进行加密, 即便信息被攻击者获取也因没有方法解密而无法获得有用信息, 从而保证网络传输的安全性。但此方法是一种消极的防护策略。一旦受到ARP欺骗, 该方法不能使网络通信保持正常状态。
5.5 制定ARP缓存更新策略
由于ARP协议在无ARP请求的情况下任意接收ARP应答并更新缓存, 这为ARP欺骗创造了条件, 因此可制定ARP缓存更新规则。规定接收ARP协议报文的顺序是先发送ARP请求然后才能接收与此匹配的ARP应答报文, 对到达的无ARP请求或者不匹配的应答报文一律丢弃, 这样可以有效防止攻击方利用ARP欺骗报文更新ARP缓存达到欺骗目的。但是这种方法由于引入了安全性方面的的考虑, 在一定程度上增加了ARP协议的复杂度。一般此类方法的执行速度较慢, 具有一定的局限性。故该方法的应用要综合考虑安全性和网络性能等多方面的因素。
5.6 设置ARP服务器
指定局域网内部的一台机器作为ARP服务器, 专门保存并且维护可信范围内的所有主机的IP地址与MAC地址映射记录。该服务器通过查阅自己的ARP缓存的静态记录并以被查询主机的名义响应局域网内部的ARP请求。同时可以设置局域网内部的其它主机只使用来自ARP服务器的ARP响应。
6 结束语
ARP欺骗攻击利用了ARP协议的缺陷, 并借助于一些专门的攻击工具, 为计算机用户带来了极大的危害。本文通过分析ARP欺骗攻击的原理, 介绍了ARP欺骗所带来的危害, 探讨了防范ARP欺骗攻击的几种切实可行的方案, 使各计算机用户能够避免ARP欺骗攻击。
摘要:在单位网络维护过程中, 经常遇到ARP病毒导致网络不稳定的情况, 本文介绍了ARP协议的工作原理及ARP攻击的基本原理与方式, 提出预防欺骗的常用防范措施。
关键词:ARP,攻击,防范
参考文献
[1]马军, 王岩.ARP协议攻击及其解决方案[J].信息安全, 2006, 22 (5) .
[2]Dieter Collmann计算机安全[M]北京:人民邮电出版社, 2003.
[3]魏为民, 袁仲雄.网络攻击与防御技术的研究与实践[J].信息网络安全, 2012, (12) :53-56.
