IP欺骗攻击论文(精选8篇)
IP欺骗攻击论文 第1篇
随着网络的发展, 网络攻击的手段越来越多, 其中以IP欺骗形式的SYN攻击所占的比例较大, 众多的专家学者都致力于研究如何有效控制SYN攻击[1]。也提出了较多的方法, 例如状态检测算法, 该算法主要是利用TCP连接过程中的几个状态[2], 判断是否是攻击性数据包, 但是该算法存在一些缺陷, 对每个数据包都要检测其状态, 而且要保存较多的数据包信息, 这对系统的吞吐量和内存都有较大的影响。因此, 本实验防火墙致力于提高正常包的通过率, 以及系统吞吐量。对于轻度和中度攻击时的系统性能有很大的提高。
1 系统相关知识
1.1 防火墙
防火墙是防止网络攻击的主要手段之一, 目前的防火墙得到很大的发展, 它防止外部网络对内部网络的攻击, 一个防火墙的参考模型如图1 所示。
1.2 RED算法
RED算法[3]利用当前队列的平均长度计算数据包的丢弃概率, 如图2 所示, 具体由三个原则确定:
(1) 当平均队列长度Lav小于给定的数据包队列长度最小门限值minth时, 数据包丢弃概率P= 0;
(2) 当平均队列长度Lav大于给定的数据包队列长度最大门限值maxth时, 数据包的丢弃概率P= 1;
(3) 当平均队列长度在minth和maxth之间, 数据包的丢弃概率在0~1之间。而且P=max*{ (Q-Min) / (max}th-minth) 。
2 总体设计
因为IP欺骗形式的SYN攻击, 是采用的伪造IP地址和端口, 主机发送ACK数据包, 攻击机器是不会做出回应的[4]。所以判断正常包就可以让客户机其超时重传, 从而检测是否是真实IP。防火墙的设计主要是针对SYN请求数据包, 利用RED算法计算当前的TCP连接请求数据包到来时的TCP缓冲区的平均队列长度Q, 如果平均队列长度Q小于给定的最小队列门限值minth, 则说明当前没有SYN攻击或者只有少数的SYN数据包, 这种情况下不会影响本机性能, 可以直接接收数据包。如果平均队列长度大于最大门限值maxth, 说明当前遭受到较强的SYN攻击, 则随机的丢弃数据包。如果平均队列长度在最小门限minth和最大门限值maxth之间, 则计算当前数据包的随机丢弃概率P, 如果P小于给定的阈值Pm, 则接收数据包, 如果P大于给定的阈值, 则先到哈希表中查找是否存在相同数据包信息的元素 (哈希表存放的是被丢弃的数据包的相关信息) , 如果找到则接收数据包到本机, 如果没有找到则保存数据包相关信息到哈希表中, 同时丢弃该数据包。总体设计如图3 所示。
3 防火墙关键技术实现
3.1 包检测模块
采用RED算法实现对数据包的处理, 判断进入到主机的TCP连接请求数据包的丢弃概率, 首先要定义RED算法中用到的参数:
队列的平均长度是判断丢弃概率的关键因素, 利用函数red_cmp_thresh实现RED算法的队列长度判断, 对于不同的返回值, 计算丢弃概率。
针对不同的队列长度, 计算出当前数据包的丢弃概率:
3.2 哈希表
一个TCP连接请求数据包的丢弃概率经过上面的函数计算以后, 根据和预定的概率值进行比较, 如果概率小于给定的阈值, 则接收数据包通过主机, 如果概率大于给定阈值, 则到哈希表中进行查找, 哈希表中存在相同的数据包信息则接收数据包进入主机, 如果不存在则删除数据包, 同时保存数据包的相关信息到哈希表中。
定义哈希结构PACK_hash, 为了方便系统的快速查找, 在这里将其定义为大小为4 096 的哈希数组。
进行哈希函数的查找和插入的哈希函数, 可以利用数据包的源地址表示, 将源地址的前16 位和后16 位相加, 得到的结果除留余数, 具体的函数可以是:
3.3 数据包信息结构和定时器
在后面的处理过程中, 只用到了数据包的源地址和目的地址, 所以可以定义数据包的信息结构:
3.4 数据包匹配
数据包在哈希表中查找相应的节点, 匹配数据包的源地址和目的地址是否相同。
基于数据包的源IP地址进行匹配:
基于数据包的目的IP地址进行匹配:
4 结论
本防火墙的设计采用的拥塞控制算法RED算法, 同时利用了哈希表相关知识。构建了一个简单实用的小型防止IP地址欺骗的SYN攻击的防火墙, 经过试验测试, 该防火墙在轻度和重度攻击时, 有较好的防御能力, 正常包的通过率保持在98%左右, 系统性能较好, 吞吐量较大。
摘要:目前, SYN FLOOD攻击占70%80%。IP欺骗是常用的方式, 如何防止IP欺骗的SYN攻击成为研究热点。设计是以redhat 5.0为平台, 结合RED算法设计并实现一个抗SYN攻击的包过滤防火墙, 该防火墙在轻度和中度攻击的情况下判断一个数据包的丢弃概率, 当被丢弃则保存该数据包到哈希表中, 主机等待客户机重传TCP连接请求, 检测是否是真实性的IP地址, 经过分析研究和实验的验证具有较好的吞吐量, 同时正常数据包的通过率很高。当遭受的是重度攻击时, 则直接采用的是RED中的随机丢弃数据包。
关键词:防火墙,SYN攻击,RED算法,哈希表
参考文献
[1]周剑岚, 冯珊.运用hook技术实现的软件防火墙[J].华中科技大学学报:自然科学版, 2004, 32 (3) :83-85.
[2]毛德操, 胡希明.Linux内核源代码情景分析[M].杭州:浙江大学出版社, 2001.
[3]陈军, 陈志刚.主动队列管理RED算法的改进与实验仿真研究[J].计算机工程, 2006, 9 (6) :44-47.
[4]POTTER B.Open source firewall alternatives[J].Network Security, 2006, 18 (6) :16-17.
[5]丁晓波, 桑楠, 张宁.Linux 2.6内核的内核对象机制分析[J].计算机应用, 2005, 25 (1) :76-84.
网络遭遇ARP欺骗攻击的症状 第2篇
接下来就开始有三三两两的说网络不正常的,包括Web浏览、股票行情、视频直播,都出现问题,这下麻烦大了。在自己机器上开ping,外部网站、DNS,都不正常,从30ms到丢包,不规律重复出现。
查看已经打开的页面源文件,第一行有一个iframe,访问一个直接数字ip开头的vip.htm页面,但是那个页面打不开,这个应该就是所有网站打开缓慢的原因之一。
打电话给ISP,让他们反向ping回来,过了几分钟,反馈说一切正常,维持在1-2ms之间,ISP嫌疑排除,继续。
询问ISP是否做广告推送,确认没有。
带笔记本到机房,直接接到ForitGate上,一切正常,故障定位在下层交换机。
怀疑arp欺骗(已经碰到过n次了),笔记本看一下网关,到别的地方看一下,果然不同,确定故障,
到FortiGate的dhcp log里面查找那个问题mac,居然没有,想不通。
先群发bqq消息,通知有问题的人下载antiARP安装,继续查。
找一台有问题的机器,做全c段ip scan,然后arp –a,看到那个问题机器的mac对应的ip。
问题ipd$,出现登录窗口,看到问题机器名,找到。
将问题机器断网,杀毒,杀木马,搞定。
整个流程是这样:问题机器中木马,开始arp欺骗,其他机器收到arp广播,认为问题机器是网关,于是走这条路,问题机器将http请求开头加上那个iframe,目的是为了流量或者广告或者再传播。
总结一下
浅析ARP欺骗攻击与防范 第3篇
随着计算机技术、网络技术、电子通信等技术的发展, 网络的应用越来越深入的到社会的各个行业, 随之而来的是人们对于接入网络的高效和安全问题的关注, 在网络应用的众多问题中, ARP欺骗攻击也日益被提到关注的重点上。
ARP攻击是指黑客利用ARP协议缺陷的基本原理, 通过在局域网内一台终端或服务器上发布欺骗ARP广播包以达到非法活动的目的。由于ARP广播协议本身存在的缺陷, 无法辨别来自网络范围内任何一台机器的ARP数据包的真伪。所以, 防止ARP攻击, 需要从网络整体结构上加强对MAC地址的综合管理防止各机器ARP表混乱, 并通过网络范围内ARP广播包分析以快速检测到攻击源位置。
2 ARP工作原理
连接到互联网上的计算机需要两个地址:一是MAC地址 (网卡地址) ;另一个是IP地址。ARP (地址转换协议) 就是解决主机和路由器在物理网络上发送分组时, 如何将32位IP地址转换成48位物理地址的问题, 它允许主机在只知道同一物理网络上一个目的站IP地址的情况下, 找到目的主机的物理地址。
在ARP工作中PC机1准备向PC机2发送数据, 已知它知道PC机2的IP地址IPB。通过比较IPB与子网掩码, 判断PC机1与PC机2是否在同一网段。如果是PC机1检查本机上ARP缓存存在IP/TCP对, 则直接发送数据, 否则广播ARP请求, 请求IP地址为IPB的PC机2做出响应。ARP请求包发出后, 同一网段内的所有主机接收到这个请求, 但只有PC机2识别它的IP地址, 并发出一个包含其MAC的应答。A接收到应答后, 更新本机上的ARP缓存, 然后用该MAC把数据包直接发送给PC机2;如果PC机2与PC机1不在同一网段, 则PC机1广播ARP请求来解析本地网关的MAC地址, 发送数据至网关, 然后判断网关与PC机2是否在同一网段。如果是则查找ARP缓存, 有IP/MAC对则转发数据, 无则继续广播ARP请求。
3 ARP欺骗危害与常见攻击形式
3.1 欺骗危害表现
主要现在以下几方面: (1) 网络访问速度变慢、频繁掉线、或网络时断时续。 (2) 同一网段的所有上网机器均无法正常连接网络。 (3) 打开windows任务管理器, 出现可疑进程。 (4) 查看交换机的ARP列表记录中看到大量的MAC更换信息。
3.2 常见攻击形式
(1) 简单欺骗攻击。通过发送伪造的ARP包来欺骗路由 (网关) 和目标主机, 让目标主机认为这是一个合法的主机, 便完成了欺骗。 (2) 嗅探攻击。在局域网中小的办公室环境下可能会使用HUB来进行互连, 这是一种广播的方式, 每个包都会经过网内的每台主机, 通过嗅探就能捕获到整个局域网的数据, 在ARP欺骗的基础之上, 可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信。 (3) 拒绝服务攻击。用不存在的MAC地址来更新ARP缓存中的MAC地址, 导致发送到该MAC的数据包丢失攻击者将目标主机中的ARP缓存MAC地址全部改为不存在的地址, 致使目标主机向外发送的所有以太网数据包丢失。 (4) 全子网轮询欺骗。全子网轮询欺骗是网络黑客取得点上突破后, 继续篡改被攻击主机中关于网络内多台主机的ARP记录, 这台被攻击的主机为网关或网络内任何一台非网关的主机, 被篡改后的MAC地址可以为网络内正在运行的主机MAC地址或随机伪造的不存在主机的MAC地址。
4 ARP欺骗防范策略
4.1 IP-MAC-交换机端口捆绑
现有的二层及以上交换机进行IPMAC一交换机端口配对绑定, IP只能在指定交换机端口使用, 防止内部ARP攻击机发送虚假IP地址, 虚假MAC地址, 伪造网关, 进行欺骗攻击。
4.2 批处理命令实现主机双向绑定
创建PC机上的绑定脚本文件以在XP系统上的设置为例, 采用双向绑定的方法解决并且防止ARP欺骗。
将文件中的网关IP地址和MAC地址更改为实际使用的网关l P地址和MAC地址即可。
4.3 配置安全防火墙
防火墙软件被安装在正常主机上后, 能有效地防范自身被ARP欺骗, 并能检测出感染主机的MAC地址。
4.4 网络检测
配置主机定期向中心管理主机报告其ARP缓存的内容。这样, 中心管理主机上的程序就会查找出两台主机报告信息的不一致, 以及同一台主机前后报告内容的变化;利用网络嗅探工具连续监测网络内主机硬件地址与IP地址对应关系的变化, 以便找出潜在的安全隐患。
摘要:目前局域网环境中ARP欺骗是黑客最为常用的攻击手段。其主要目的是在于篡改网站内容、嵌入恶意代码、盗取用户帐号、发布不良信息, 监听传输数据等非法活动。通过分析ARP协议的工作原理, 讨论了ARP协议从IP地址到物理地址解析过程中存在的安全隐患, 给出了常见的ARP攻击的方法, 并着重讨论了不同网络环境下ARP欺骗的防范策略。
关键词:ARP,欺骗攻击,防范
参考文献
[1]蔡艳, 蔡豪, 李娜.ARP病毒攻击及局域网防范.电脑知识与技术.2011, 07 (26) .
网络DNS欺骗攻击的检测及其防护 第4篇
1 DNS服务器工作原理
DNS是一种实现域名名称与IP地址转换的系统,其工作原理是将域名到IP地址或将IP地址到域名的转换过程,也称为域名-地址解析。DNS分为服务器端和客户端,服务器的公认端口号是53。当客户端向服务器端发送映射请求时,本地DNS服务器首先会查询自己的数据库是否有对应的结果,若有则直接返回结果;否则要向上一级DNS服务器询问,以此类推直到获得结果,或者被告知查询结果失败,服务器必须做出回答。本地DNS服务器若获得结果将先保存在自己的高速缓存中,并回答客户端。
平常我们使用得最多的就是通过浏览器方式请求域名到IP地址的转换,即客户端向DNS服务器提交域名,请求对应的IP地址。现以所在校园网为例说明正常的DNS工作过程:假设现在有一台主机IP地址为192.168.1.102,学校DNS服务器为202.193.160.33,现在用这台主机访问谷歌网站,但是如果不知道其IP地址是多少,这时只能输入域名www.google.cn通过DNS查询其对应的IP地址。这个请求会从192.168.1.102的某个随机端口发送出去,由202.193.160.33的53号绑定端口接收并开始解析工作,这时先在202.193.160.33的缓存中查找www.google.cn的IP地址,如果存在就直接将其IP地址返回,若不在缓存中,则由202.193.160.33向外询问别的DNS服务器,然后把查询的结果先返回至202.193.160.33,最后才由202.193.160.33将谷歌网的IP地址(203.208.39.99)返回给主机192.168.1.102,这样192.168.1.102就可以和谷歌的站点建立连接并访问谷歌网站了,其具体过程如图1。
2 DNS欺骗原理
DNS的查询请求和响应数据包是通过DNS报文的ID标识来匹配。在域名解析的整个过程中客户端首先以特定的ID标识向DNS服务器发送一个域名查询请求包,该标识是随机产生的。在DNS服务器查询出结果之后就会以相同的ID号给客户端发送响应包。在客户端收到响应包后,将其ID与原来发送的查询请求包的ID比较,如果匹配则表明接收到的正是自己等待的数据包,如果不匹配则抛弃。
针对DNS协议的特点,现在Internet上主要是抓住其协议的漏洞分别采取不同原理实施攻击:
1)由于DNS报文只是简单的使用一个序列号来进行有效性鉴别,序列号由客户程序设置并由服务器返回结果,客户程序通过它来确定响应与查询是否匹配,这就引入了序列号攻击的危险;
2)在DNS应答报文中可以附加信息,该信息与所请求的信息没有直接关系,因此攻击者就可以在应答中随意添加某些信息,指示某域的权威域名服务器的域名及IP,导致在被攻击的域名服务器上查询该域的请求都会被转向攻击者所指定的域名服务器上去,从而对网络的完整性构成威胁;
3)DNS的高速缓存机制,当一个域名服务器收到有关域名和IP的映射信息时,它会将该信息存放在高速缓存中,当再次遇到对此域名的查询请求时就直接使用缓存中的结果而无需重新查询。这样攻击者将DNS响应数据包的生存时间设置得很长,就能长期欺骗用户并不易被发现。
3 欺骗攻击方式
目前可行性的DNS欺骗的技术主要有内应攻击和序列号攻击两种方法。所谓内应攻击是指攻击者在非法或合法地控制一台DNS服务器后,直接操作域名数据库,修改指定域名所对应的IP为自己所控制的主机IP。当客户发出对指定域名的查询请求后,将得到伪造的IP地址。
序列号攻击则是指DNS协议格式中定义了序列号ID是用来匹配请求数据包和响应数据报,客户端首先以特定的ID向DNS服务器发送域名查询数据包,在DNS服务器查询之后以相同的ID号给客户端发送域名响应数据包。这时客户端会将收到的DNS响应数据包的ID和自己发送的查询数据包ID相比较,如果匹配则表明接收到的正是自己等待的数据包,如果不匹配则丢弃之。利用序列号进行DNS欺骗的关键是伪装DNS服务器向客户端发送DNS响应数据包,并在DNS服务器发送的真实DNS响应数据报之前到达客户端,从而使客户端DNS缓存中查询域名所对应的IP就是攻击者伪造的IP,因此将客户端带到攻击者所希望的网站。
4 DNS欺骗检测思路
根据序列号攻击方式的描述可知一个客户端在遭受DNS欺骗攻击的时候,至少会接收到两个序列号相同的应答包,其中一个是合法包,另一个则是欺骗包。根据这个特点就可以通过一些方法检测出这种攻击。目前可行的检测方法有以下两种:
1)被动方式检测:该方式就是通过旁路监听的方式,捕获所有的DNS请求和应答数据包。正常情况下DNS服务器对一个查询请求包不会给出多个不同结果的应答包,即使目标域名对应多个IP地址,也只是有多个应答域,DNS服务器会在同一个DNS应答包中返回。因此如果一段时间内,一个请求对应两个或两个以上结果不同的应答包,则怀疑其受到了DNS欺骗攻击。
2)主动方式检测:所谓主动监测就是主动发送探测包去检测网络中是否存在欺骗攻击。在正常情况下发送这样的探测包不会收到任何应答,但是由于攻击者为了能在合法包之前将欺骗包送到客户端,所以不会对域名服务器IP的有效性进行验证,而是照样实施欺骗,由此收到应答包的就说明受到欺骗攻击了。
5 DNS欺骗防范思路
在检测到存在DNS欺骗行为后,可以采取一些防范措施,比如:及时更新补丁或者使用代理就可以防范到DNS攻击。总的说来就只有两条:1)直接用IP访问重要的服务,这样至少可以避开DNS欺骗攻击,但这需要你记住要访问的IP地址。2)加密所有对外的数据流,对服务器来说就是尽量使用SSH之类的有加密支持的协议,对一般用户应该用PGP之类的软件加密所有发到网络上的数据。
本文针对序列号攻击,制作了一个客户端的我们只要捕获所有的DNS请求和应答数据包,如果较短的一段时间内,一个请求对应两个或两个以上结果不同的应答包,则提示其受到了DNS欺骗攻击,并将后到的那个合法包发送到DNS服务器将其DNS信息修改,这样在下次请求时就会得到正确的结果。
其检测和防范的流程图如图2所示。
6 DNS欺骗攻击和检测防范系统实现
本系统使用Visual Studio 2005.NET中的Visual C++语言来开发,采用winpcap编程实施欺骗攻击和检测防范系统。
本系统通过连续抓取一段内的数据包,分析是请求包还是应答包,若是应答包则将其保存到一个数组中,否则不予理会。然后判断数组中的DNS数据报的ID是否相同,若这段时间内有相同的ID则说明检测出有DNS欺骗攻击,这时将取出后到的数据包再重发一遍,用正确的响应取代原来的欺骗包。DNS欺骗检测防范的实现的部分代码如下所示:
printf("注意!你的机子已经受到DNS欺骗攻击!n");//提醒有DNS欺骗,并发送一个正确的包过去
7 结束语
网络攻防一直是推动网络安全向前发展的动力,只有在不断的发现安全漏洞的同时不断改正,才能使整个网络更加健全和完善。本文所做的防范措施方面还是做得不够好,有时不能有效防范。这些只是阶段性的成果,要想真正做到完美,使DNS安全性真正让人放心,还需要在日后继续努力,做更深入的研究。
参考文献
[1]贺思德,申浩如.计算机网络安全与应用[M].北京:科学出版社,2007.
[2](美)W.Richard Stevens.TCP/IP详解,卷1:协议[M].范建华,等,译.北京:机械工业出版社,2000.
[3]滕步炜.DNS欺骗技术的实现[N].连云港职业技术学院学报.2007(12),20(4).
[4]姜春茂,黄春梅,聂福林.基于DNS攻击的安全防范策略[J].陕西科技大学学报,2004(12):150-500.
[5]闫伯儒,方滨兴,李斌,王篧.DNS欺骗攻击的检测和防范[J].计算机工程,2006,32(21).
arp欺骗攻击网络的安全问题分析 第5篇
1. arp欺骗
ARP欺骗是黑客常用的攻击手段之一, ARP欺骗分为二种, 一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
假设一个网络环境中, 网内有三台主机, 分别为主机A、B、C。主机详细信息如下描述:
A的地址为:IP:192.168.10.1 MAC:AA-AA-AA-AA-AA-AA B的地址为:IP:192.168.10.2 MAC:BB-BB-BB-BB-BB-BB C的地址为:IP:192.168.10.3 MAC:CC-CC-CC-CC-CC-CC正常情况下A和C之间进行通讯, 但是此时B向A发送一个自己伪造的ARP应答, 而这个应答中的数据为发送方IP地址是192.168.10.3 (C的IP地址) , MAC地址是BB-BB-BB-BB-BB-BB (C的MAC地址本来应该是CC-CC-CC-CC-CC-CC, 这里被伪造了) 。当A接收到B伪造的ARP应答, 就会更新本地的ARP缓存 (A被欺骗了) , 这时B就伪装成C了。同时, B同样向C发送一个ARP应答, 应答包中发送方IP地址四192.168.10.1 (A的IP地址) , MAC地址是BB-BB-BB-BB-BB-BB (A的MAC地址本来应该是AA-AA-AA-AA-AA-AA) , 当C收到B伪造的ARP应答, 也会更新本地ARP缓存 (C也被欺骗了) , 这时B就伪装成了A。这样主机A和C都被主机B欺骗, A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么:) 。这就是典型的ARP欺骗过程。
2. 目前的网络防御方法
2.1 防火墙
虽然防火墙可以有效地保护网络免遭黑客的攻击, 但是也现存着一些明显的不足: (1) 对内部网络发起的攻击无法阻止; (2) 可以阻断外部攻击而无法消灭攻击来源; (3) 做nat转换后, 由于防火墙本身性能和并发连接数的限制, 容易导致出口成为网络瓶颈, 形成网络拥塞; (4) 对于网络中新生的攻击行为, 如果未做出相应策略的设置, 则无法防范; (5) 对于利用系统后门、蠕虫病毒以及获得用户授权等一切拥有合法开放端口掩护的攻击行为将无法防范。为了弥补防火墙存在的不足, 许多网络管理者应用入侵检测来提高网络的安全性和抵御攻击的能力。
2.2 入侵检测系统 (intrusiondetectionsystem)
入侵检测系统 (ids) 按照收集数据来源的不同一般可以分为三大类:
(1) 由多个部件组成, 分布于内部网络的各个部分的分布式入侵检测系统。
(2) 依靠网络上的数据包作为分析、监控数据源的基于网络型入侵检测系统。
(3) 安装在网段内的某台计算机上, 以系统的应用程序日志和审计日志为数据源主机型入侵检测系统。
虽然入侵检测系统以不同的形式安装于内部网络的各个不同的位置, 但由于采集数据源的限制, 对arp病毒形式的攻击行为却反应迟钝。入侵检测系统一般部署在主干网络或者明确要监控的网段之中, 而一个内部网络往往有很多个独立的网段;由于财力的限制, 网络管理者一般都不能在每个网络中部署用于数据采集的监控计算机。一旦未部署的网段中arp欺骗阻塞了本网段与外界的正常通讯, 入侵检测系统无法采集到完整的数据信息而不能迅速准确的作出反应。除此以外, 现有的各种入侵检测系统还存在着一些共同的缺陷, 如;较高的误报率, 无关紧要的报警过于频繁;系统产品对不同的网络或网络中的变化反应迟钝, 适应能力较低;系统产品报告的专业性太强, 需要管理者、使用者有比较高深的网络专业知识;对用于处理信息的设备在硬件上有较高的要求, 在大型局域网络中检测系统受自身处理速度的限制, 容易发生故障无法对网络进行实时监测。
2.3 入侵防御系统 (intrusionpreventsystem)
(1) 入侵防御系统 (ips) 是针对入侵检测系统 (ids) 所存在的不足, 借用网络防火墙的部分原理而建立的。入侵防御系统有效的结合了入侵检测技术和防火墙原理;不但能检测入侵的发生, 而且通过一些有效的响应方式来终止入侵行为;从而形成了一种新型的、混合的、具有一定深度的入侵防范技术。
入侵防御系统 (ips) 按照应用方式的不同一般可以分为三大类:
(1) 基于主机的入侵防御系统hips:是一种驻留在服务器、工作站等独立系统中的安全管理程序。这些程序可以对流入和流出特定系统的数据包进行检查, 监控应用程序和操作系统的行为, 保护系统不会被恶意修改和攻击。
(2) 基于网络的入侵防御系统nips:是一种以嵌入模式部署与受保护网段中的系统。受保护网段中的所有网络数据都必须通过nips设备, 如果被检测出存在攻击行为, nips将会进行实时拦截。
(3) 应用服务入侵防御系统 (aips) :是将hips扩展成位于应用服务器之间的网络设备。利用与hips相似的原理保护应用服务器。
相对与ids而言, ips是以在线方式安装在被保护网络的入口处, 从而监控所有流经的网络数据。ips结合了ids和防火墙的技术, 通过对流经的数据报文进行深层检查, 发现攻击行为, 阻断攻击行为, 从而达到防御的目的。
(2) 但同时, 我们也认识到:由于ips是基于ids同样的策略特征库, 导致它无法完全克服ids所存在的缺陷, 依然会出现很多的误报和漏报的情况, 而主动防御应建立在精确、可靠的检测结果之上, 大量的误报所激发的主动防御反而会造成巨大的负面影响;另一方面, 数据包的深入检测和保障可用网络的高性能之间是存在矛盾的, 随着网络带宽的扩大、单位时间传输数据包的增加、ips攻击特征库的不断膨胀, 串连在出口位置的ips对网络性能的影响会越来越严重, 最终必将成为网络传输的瓶颈。
3. 新的网络安全发展方向
分析目前网络安全技术的特点不难发现:现有的安全技术无法保证100%发现和阻断外来的网络攻击行为;同时, 内网中的计算机以及其它网络通讯设备中存在的系统安全漏洞基本上没有得到任何监控。
所以网络安全新的发展方向就是要建立起上述的网络故障自动监控平台, 在建网时就要尽量做到以下几个方面的工作:
(1) 设计大规模的局域网时, 网内的交换机应该联入一个或多个独立的网段中, 这样既可以让交换机之间形成一个独立的管理网络, 又可以避免远程操作交换机时受到用户网段通信的影响。
(2) 应尽量多的在网络中部署管理型网络交换机, 这样既可以缩小故障源的范围便于定位, 又便于网络管理员进行远程操作以迅速处理网络故障。
(3) 应在核心交换机上部署一个基于全网拓扑图的网络监控软件, 网络值班人员 (非核心技术人员) 可以通过网络交换机的图形化管理软件对网络信息进行收集、分析和进行故障分析和排除, 达到动态监控的目的。
(4) 努力开发收集交换机数据的软件, 开发分析网络行为的策略库, 不断提高网络监控平台的故障反应速度和故障源定位的准确性。
参考文献
[1]张仕斌, 易勇。网络安全技术[M]清华大学出版社
[2]任侠, 吕述望。arp协议欺骗原理分析与抵御方法[J]计算机工程2004
[3]张海燕。arp漏洞及其防范技术。网络与信息安全2006
局域网内ARP欺骗攻击的防范 第6篇
人们的生活与网络关系越来越密切当前背景下, 集团公司, 教育机构, 科研企业构建了大量局域网, 内网互联Internet, 病毒以ARP欺骗攻击来妨害公共网络安全, 局域网信息互通、信息安全、网络系统构架稳定性受到威胁, 因此, 明确局域网ARP欺骗攻原理、种类、危害, 并通过节点分析法采取防御和解决措施十分必要。
二、局域网ARP欺骗攻击简述
2.1局域网ARP欺骗攻击原理
ARP是Address Resolution Protocol的英文缩写, 意为地址解析协议, 存在于属于TCP/IP协议的底层, 其功能是通过目标计算机IP地址查询目标计算机的MAC地址, 达到将IP地址转变为介质访问控制的MAC地址, 从而保证通信的正常进行。病毒木马以ARP欺骗对局域网展开攻击, 其原理是ARP协议本身存在的安全漏洞与缺陷, 让局域网防火墙等不能识别出病毒所发送的“假”数据包, 欺骗局域网内互联主机和路由器, 错误引导流量通道, 造成了用户本地连接正常, 但是打不开局域网主页, 或者伴随间歇性“网络掉线”的攻击后果。
2.2局域网ARP欺骗攻击种类
根据ARP病毒欺骗攻击的对象, 将局域网ARP欺骗攻击按照攻击对象的不同分成两种:第一种是以路由器ARP列表为对象。第二种是以网关为对象进行欺骗性攻击。第一种, 对路由器ARP表的攻击, 是通过伪造的数据包, 截获了网关的流量, 由于是伪造的数据包, 就产生了大量的无效MAC地址, 造成了局域网内数据流的紊乱, 大量的数据流向无用的PC, 导致正常PC不能接受到数据线;第二种是伪装成网关, 通过想被欺骗的PC发送假网管数据, 接受了假网管数据的PC就会出现中毒现象, 具体表现为网络间歇性中断, 更为严重是通过这种攻击模式, 黑客可以挂马到被攻击的PC上, 局域网内仍和一台计算机与受感染计算机接触后, 都会被病毒感染, 从而让整个局域网处于崩溃状态, 严重者会导致数据丢失, 账户被盗等。
三、ARP协议的缺陷
之所以会存在局域网ARP欺骗攻击是因为ARP协议的自身缺陷, 明确ARP协议的缺陷, 对于采取针对性措施有重要的帮助。
3.1假冒ARP应答
从主机A发送出来的请求数据包, B主机收到后会主动发憷应答的数据包, 同时反馈到主机A, 主机A则会按照应答的数据包的内容, 在MAC地址缓冲带的主机B的MAC地址。从上述的过程可以发现, 主机A对于任何机器发送过来的ARP应答数据包, 都会主动的向应答数据包的来源主机更新和发送主机B的MAC地址, 那么通过网关流入主机B的流量, 都会经过假冒的ARP流程, 而被秘密占用, 从而导致了主机B接受来自主机的通讯中断, 形成了信息孤岛的情况, 最后感染到其他PC。
3.2假冒查询
当局域网中的两台机器进行信息共享时, 主机A的数据“帧”形成包, 走到了主机B的介质访问层的MAC地址, 那么主机A可以通过端对端的数据传输形式向主机B传输单向的ARP信息查询数据包, 主机B对主机A发送而来的查询包进行解析和处理后, 自动在MAC地址缓冲区当中更新对应主机A的MAC地址。通过上述过程我们发现, 局域网中任何一个主机, 都可以想主机B发送伪造的主机A的ARP调查数据包, 从而主机B与主机A通过IP传输协议的流量和信息将会中断。
3.3自动定时ARP欺骗
在局域网中主机MAC地址缓冲区的存在, 让局域网沟通更加迅速, 而且大大缩短了排队等候的时间, 然而, 在缓冲区当中MAC会自动更新, 一些局域网ARP病毒利用这一特性, 在MAC更新的过程中植入到数据帧当中, 从而形成了间歇性的ARP欺骗攻击特性, 一般而言ARP病毒欺骗性攻击之后, 被欺骗的主机之间的通信发生异常, 一些病毒利用了这个间隙, 在MAC自动更新之间, 给目标主机反复的发送不同种类的数据欺骗包, 从而来延长欺骗时间, 来提高所能窃取的信息量。
3.4对网关的干扰
在局域网ARP系统内, ARP查询数据包以广播的形式在各层之间传输, ARP病毒在局域网内发播报一个IP地址, 这个IP地址是冒充网关的ARP通知, 这样的数据包在局域网中会造成整个局域网的主机不能访问局域网外部的IP地址, 从而形成了内部闭塞和信息。另外在ARP欺骗攻击发作时, 对网关的干扰程度会增大, 且信息中断可能性增加。
若广播式ARP查询包的源MAC地址和目的IP地址一样, 则这种ARP查询包为通知ARP包, 如果在以太网上发送一个IP地址为网关的欺骗ARP通知包, 则使得这个网上的主机都不能访问这个局域网外的所有IP。若这个ARP通知包围干扰局域网上的某个主机, 则这个主机和其他IP的所有通信都将中断。
3.5推测ARP解析时间
当给被欺骗得主机发送一个错误但是的确存在地MAC地址, 这样, 被欺骗的主机强向这个主机发送IP包, 接受主机收到被欺骗主机的IP包后, 将返回报告不可达信息的ICMP, 这种方式能使得被欺骗主机推迟再次进行ARP解析的时间。
四、局域网ARP欺骗攻击的防范
4.1应急处理方式用户端绑定
当确认PC遭到了局域网ARP攻击后, 为了采取的应急处理措施是: (1) 在中毒PC上, 点击开始运行, 键入“arp-d”, 然后确定, 如何能够暂时恢复上网, 说明主机可能受到了ARP欺骗攻击, 一旦能上网的话, 就立即将网络断掉, 常用方法是拔掉网线, 再运行arp a查看网关的正确MAC地址。如果不能够恢复正常, 则要考虑其他的原因。 (2) 另外用户端的绑定方法是, arp-s网关IP网关MAC。其缺点在于重启计算机后, 静态绑定消失。为了方便, 首先创建一个txt的文本, 在文本中输入:@echo off;arp d;arp s网关的IP地址网关的MAC地址。 (例如网关地址10.10.68.254的MAC地址为0021aa0021aa) 。编写一个批处理文件Anti-Arp.bat内容如下:@echo off arp-d arp-s10.10.68.25400-21-aa-00-21-aa;保存关闭之后, 将txt的后缀名改为“.bat”, 这样原有的txt文件变成了批量处理文件, 设置成为开机启动, 就能够方便每次开始后的自动绑定功能的实现, 防范于未然。 (3) IP地址与MAC地址双向绑定。上文中提到的用户绑定, 需要配合MAC绑定一起使用, 而相对IP地址绑定来说, MAC静态绑定需要耗费大量的人力, 需要做很多重复性的工作, 最为复杂的是当PC主机修改IP地址之后, 如果不进行ARP静态绑定记录就会引起局域网内的混乱。
总之, 以上方法有的易于操作, 但是效果不佳, 有的从操作过于复杂, 且容易造成混乱, 在实际中运用不多。
4.2使用Sniffer主动修复软件
在网络内任意一台主机上运行抓包软件, 捕获所有到达本机的数据包。如果发现有某个IP不断发送ARP-Request请求包, 那么这台电脑一般就是病毒源。原理:无论何种ARP病毒变种, 行为方式有两种, 一是欺骗网关, 二是欺骗网内的所有主机。最终的结果是, 在网关的ARP缓存表中, 网内所有活动主机的MAC地址均为中毒主机的MAC地址;网内所有主机的ARP缓存表中, 网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机, 后者相反, 使得主机发往网关的数据包均发送到中毒主机。填入网关IP地址, 点击[获取网关mac地址]将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意:如出现ARP欺骗提示, 这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包, 如果您想追踪攻击来源请记住攻击者的MAC地址, 利用MAC地址扫描器可以找出IP对应的MAC地址。总之, sniffer主动修复抓包软件的广泛使用, 也催生了很多新兴的软件, 例如, 奇虎360安全卫士所携带的局域网ARP防御系统, 再比如德国小红伞嵌入式局域网ARP病毒库等。
4.3采用VLAN技术隔离端口
局域网的拓扑结构决定了局域网的稳定性, 星形结构、环形结构、总线型结构各自有各自的优势, 然而在网络环境复杂的当下, 要具体到局域网拓扑结构的节点的管理方式是较为彻底的。例如, 当局域网的网络警察和电子嗅觉狗探测的到ARP病毒发作或者入侵局域网的情况下, 网络警察或者局域网维护者通过探针技术找到受攻击用户所在的交换机或者路由器端口, 然后通过单独给受欺骗的主机进行VLAN隔离, 本质上是通过物理隔绝, 防止进一步的病毒扩散的危害。
五、结论
构筑立体式ARP欺骗攻击防御体系 第7篇
自2006年以来,基于ARP协议的欺骗攻击愈演愈烈,A R P病毒在各大校园网内泛滥成灾,严重威胁了用户的信息安全,轻则网络变慢、时断时续,重则直接无法上网、重要信息被窃取,为此研究有效的防范A R P欺骗攻击的措施已成为确保网络畅通的必要条件。
2 ARP欺骗攻击
2.1 ARP协议缺陷
ARP(Address Resolution Protocol,地址解析协议)位于OSI参考模型中的数据链路层,负责将网络层IP地址解析为数据链路层的MAC地址。在局域网中,网络中实际传输的是“帧”,帧里面有源和目标主机的M A C地址,帧在网络中就是靠这个M A C地址进行目标识别和传输的。A R P协议通过发送请求广播包,查询目标设备的M A C地址,得到应答后将M A C地址插入帧中。就可以在网络中进行传输了。
A R P协议设计初衷是方便数据的传输,它是建立在局域网主机相互信任基础之上,所以ARP协议具有广播性、无状态性、无认证性、无关性和动态性等一系列的安全缺陷:
(1)A R P协议寻找M A C地址是广播方式的。攻击者可以应答错误的M A C地址.同时攻击者也可以不间断地广播A R P请求包.造成网络的缓慢甚至网络阻塞;
(2)ARP协议是无状态和动态的。任意主机都可以在没有请求的情况下进行应答。且任何主机只要收到网络内正确的A R P应答包。不管它本身是否有A R P请求,都会无条件的动态更新缓存表;
(3)ARP协议是无认证的。ARP协议默认情况下是信任网络内的所有节点,只要是存在ARP缓存表里的IP/M A C映射以及接收到的ARP应答中的IP/M A C映射关系。A R P都认为是可信任的,并没有对IP/M A C映射的真实性、有效性进行检验,也没有维护映射的一致性。
2.2 ARP欺骗攻击的形式
在网络中各种形式的A R P欺骗攻击,给网络带来的危害基本上可以表现为:网络异常、数据窃取、数据篡改、非法控制等,给网络的通信和网络结点的安全带来重大的危害,常见ARP欺骗病毒攻击的典型症状有:
(1)上网时经常会弹出一些广告,有弹出窗口形式的,也有嵌入网页形式的。下载的软件不是原本要下载的,而是其它非法程序;
(2)网关设备ARP表项存在大量虚假信息,上网时断时续;网页打开速度让使用者无法接受;
(3)终端不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框;
(4)经常会有用户的网上银行、游戏及Q Q账号频繁丢失的现象。
这些问题的出现很大一部分要归因于A R P欺骗攻击,目前校园网内已发现的A R P欺骗攻击系列病毒已经有了几十个变种,这种病毒的程序如PwSteal.Lemir或其他变种,属于木马程序/蠕虫类病毒。据检测数据显示,APR欺骗攻击从未停止过。
3立体式防御ARP欺骗攻击
从分析A R P欺骗的过程得出,如果要消除A R P欺骗就要将局域网中每一个主机的I P地址与MAC地址绑定在一起,这样就不会出现欺骗问题了。
结合我校校园网A R P防范经验,依托锐捷网络的GSN全局安全网络中的强大数据源和联动能力,通过三层网关设备、安全智能交换机、R G-S U用户接入认证的联动,在我们校园网实现了对ARP欺骗的三道防线立体防御。图1为GSN功能组件结构。
第一道防线:网关防御,其实现过程如下:
首先R G-S M P(安全管理平台)学习已通过认证的合法用户的IP-MAC对应关系,R G-S M P(安全管理平台)将用户的ARP信息通知相应网关,网关生成对应用户的可信任A R P表项(图2)。
第二道防线:客户端防御,其实现方法如下:
在R G-S M P(安全管理平台)上设置网关的正确I P-MAC对应信息,用户认证通过,R G-S M P(安全管理平台)将网关的A R P信息下传至R G-S U用户接入认证端,SU静态绑定网关的ARP。若攻击者冒充网关欺骗合法用户,用户已经静态绑定网关地址,欺骗攻击无效(图3)。
第三道防线:交换机防御
用户认证通过后,交换机会在接入端口上绑定用户的I P-MAC对应信息,交换机对报文的源地址进行检查,对非法的攻击报文一律丢弃处理,该操作不占用交换机C P U资源,直接由端口芯片处理。若攻击者伪造源I P和MAC地址发起攻击,则因报文不符合绑定规则,被交换机丢弃(图4)。
针对主机、接入交换机、三层网关等不同ARP攻击的问题,锐捷GSN三道防线立体防御提供了A R P欺骗最彻底的解决方案。对各种A R P欺骗攻击软件和病毒木马能够进行有效的防御,确保网络通信的可靠,无需大量广播免费ARP报文,不会对网络造成额外负荷,只需要简单的配置,便可实现全网A R P攻击的立体防御
4结语
本文探讨了由于A R P协议缺乏合法性验证手段的缺陷漏洞导致欺骗攻击的实现过程,分析了A R P欺骗的原理和防御思想,最终形成了业界最为有效的“A R P三道立体防御体系”解决方案。该防御体系有效弥补了由于A R P协议本身的缺陷所带来的漏洞,解决了困扰广大网络管理员的A R P欺骗问题,给我校校园网乃至所有的园区网带来更加健康和谐的网络环境。
摘要:针对目前校园网及网吧频繁发作的ARP欺骗病毒攻击,从ARP协议的缺陷方面分析了欺骗攻击的形式和ARP欺骗的类型,提出了立体式防御ARP欺骗攻击的解决方案。
关键词:ARP协议,ARP欺骗,防御,攻击,立体式
参考文献
[1]宋新见,殷冬梅,惠俊英.基于矢量信号处理的水声定位系统[J].海洋工程,2001,21.110-114.
[2]宋新见,惠俊英,殷冬梅,李艳梅.水下噪声目标被动测距技术研究[J].应用声学,2004,24.133-139.
[3]张颖颖,杜立彬,侯广利,张颖.基于矢量信号处理的水下目标定位和跟踪设计[A].计算机仿真,2008,1.310-313.
[4]孙仲康,周一宇,何黎星.单多基地有源无源定位技术[M].北京:国防工业出版社,1996:37-7.
IP欺骗攻击论文 第8篇
随着计算机网络的飞速发展和普及应用,网络资源所遭受的攻击和破坏也日益严重,网络攻击手段呈现复杂化和多样化趋势,网络监听、网络欺骗、拒绝服务等多种形式的攻击屡见不鲜,其中网络欺骗攻击正是利用网络结构及其相关协议在实现过程中的安全漏洞,绕过网络安全设备的检测监控,结合社会工程学的一些方法,达到网络欺骗攻击的目的。基于协议脆弱性的典型的网络欺骗攻击有TCP会话劫持、ARP欺骗、DNS欺骗等。
2 几种典型的网络欺骗攻击
2.1 TCP会话劫持
2.1.1 欺骗原理
用户受到TCP会话劫持的主要原因来自于TCP协议本身的脆弱性,TCP协议并不对数据包进行加密和认证,确认数据包的主要根据是判断序列号是否正确。TCP通过3次握手建立连接后,主要采用滑动窗口机制验证对方发出的数据。如果对方发送的数据不在本地接收窗口内,则丢弃,这种发送序列号不在对方接收窗口的状态称为非同步状态。当通信双方进入非同步状态后,攻击者可以伪造发送序列号在有效接收窗口内的报文,也可以截获报文,篡改内容后,再修改发送序列号,而接收方会认为数据是有效数据而受到欺骗。
2.1.2 实现过程
TCP会话劫持主要是针对基于TCP连接的协议发起的攻击,例如攻击者利用TCP会话劫持接管一个Telnet会话,实现过程为:通信双方建立三次握手连接过程中,攻击者使用协议分析器分析捕获的数据包,判断TCP连接状态和序列号,等待目标主机与被劫持主机身份认证过程结束,认证结束后,攻击者在被劫持主机发送正确的序列号之前发送前期分析得到的序列号劫持会话,之后由被劫持主机发送的TCP分段因其序列号被目标主机认为不正确而被丢弃,攻击者继续向目标主机发送连接数据包与目标主机建立连接,这样就完成了对目标主机的会话劫持攻击,如图1所示。
2.2 ARP欺骗
2.2.1 ARP欺骗原理
ARP作为一个局域网协议,建立在各个主机相互信任的基础上。主机地址映射是基于高速缓存的动态更新,ARP协议同时又是一个无状态的协议,只要主机接收到ARP应答帧,就会对本地ARP缓存进行更新,将应答帧中的IP地址和MAC地址存储在ARP高速缓存中,并不要求主机必须先发送ARP请求后才能接收ARP应答,同时,从不对其进行检验。攻击者向目标主机发送含有伪造的IP地址和MAC地址报文,目标地址收到该报文后,根据报文中伪造的信息更新ARP缓存。如果攻击者定时向目标主机发送该报文,且时间间隔比ARP缓存的时间隔小时,目标主机就会一直维持着一张含有错误信息的ARP缓存表。
2.2.2 实现过程
ARP欺骗是攻击者常用的攻击手段之一,最常见的攻击方式是会话劫持。会话劫持是攻击者通过将自身插入到两个通信主机之间,从而获取通信双方交互信息,为防止通信中断,攻击者将不断转发两个通信主机之间的信息。ARP会话劫持又分为内网会话劫持和外网会话劫持两种情况。
(1)内网会话劫持
假设在同一网段内的主机A与主机B进行通信,现在攻击者主机C处于内网中,进行监听双方通信内容,如图2所示。
攻击者主机C在已知通信双方IP地址的条件下,通过收集ARP请求/响应信息获取通信双方的MAC地址,并将网卡设置为具有转发功能混杂模式。主机C首先构造ARP应答包发送给主机A,构造的应答包中源MAC地址为主机C的真实MAC地址,源IP地址伪造成主机B的IP地址。由于ARP协议自身的缺陷,主机A正常接收主机C构造的ARP应答包并更新ARP缓存,为防止欺骗失效,主机C不断发送ARP应答包持续欺骗。同理,主机C构造ARP应答包,源IP地址伪装为主机A的IP地址,发送给主机B进行欺骗。由此攻击者阻断了主机A与主机B的直接通信,通过攻击者主机C可以接收并转发通信双方的信息,从而在内网中实现了基于ARP欺骗的会话劫持攻击。
(2)外网会话劫持
假设在同一网段内的主机A和主机B进行通信,现在攻击者主机C处于外网中,要实现对主机A和主机B之间的通信监听,如图3所示。攻击者主机C为监听主机A和主机B的通信内容,必须通过路由器。
考虑到信息从内网到外网的存活时间问题,修改攻击者IP分组的TTL时间,使攻击者发出的欺骗包有充足的时间到达目的主机。主机C发送ARP应答包至主机A,应答包源MAC地址为主机C真实MAC地址,源IP地址伪装为主机B的IP地址,主机A接收到ARP应答包更新缓存,主机A在遭受欺骗后将信息发送给主机B时是按照攻击者主机C的MAC地址寻址,ARP协议为局域网协议,由于主机C在外网,所以主机A不会将信息发送到路由器,这时主机C利用ICMP更新主机A的路由表,将发送给主机B的信息先发送到路由器再转发给攻击者,这样攻击者就实现了对主机A的监听。同理,攻击者主机C可实现对主机B的监听,从而实现了在外网环境下基于ARP欺骗的会话劫持。
2.3 DNS欺骗
DNS欺骗是指攻击者将用户访问的域名信息对应的IP地址修改为攻击者设定的虚假IP地址,从而导致用户无法访问域名或访问攻击者指定的欺骗网址。DNS欺骗最常见的是DNS序列号欺骗攻击。
2.3.1 欺骗原理
序列号欺骗攻击是指伪装的DNS服务器在真实的DNS服务器之前向客户端发送应答数据报文,该报文中含有的序列号ID与客户端向真实的DNS服务器发出请求数据包中含有的ID相同,因此客户端会接收该虚假报文,丢弃晚到的真实报文,这样DNS ID序列号欺骗成功。客户机得到的虚假报文中提供的域名的IP是攻击者设定的IP,这个IP将把客户带到攻击者指定的站点。
2.3.2 实现过程
DNS序列号(ID)欺骗以侦测ID和端口为基础。在Switch构建的网络中,攻击方首先向客户端实施ARP欺骗。当客户端、攻击者和DNS服务器同在一个网络时,实现过程如下:
(1)攻击方向目标反复发送伪造的ARP请求包,修改目标机ARP缓存内容,同时依靠IP续传使数据经过攻击方再流向目的地;攻击方用网络嗅探软件侦测DNS返回数据包,获取ID序列号和端口;
(2)攻击方一旦获得ID和端口,即刻向客户机发送虚假的DNS返回数据包,客户端接收后验证ID和端口正确,认为接收了合法的DNS应答;而客户端得到的IP可能被转向攻击方诱导的非法站点,从而使客户端信息安全受到威胁;
(3)客户端再接收DNS服务器的应答数据包,因落后于虚假的DNS响应,因此被客户端丢弃。当客户端访问攻击者指向的虚假IP时,一次DNS ID欺骗随即完成。如图4所示。
3 防范建议
网络欺骗攻击是基于TCP/IP协议组协议脆弱性的攻击方法,很难防范,但通过一些技术和管理手段能够有效防御此类攻击。主要有以下防范建议:
(1)加强每一个ISP或局域网的网关路由器的设置,使其对出去的IP数据包进行IP源地址的检验和过滤。同时网络管理员要能够将自己管理的网络尽可能严密监控,以防备可能的IP地址欺骗攻击。
(2)防范会话劫持首先应该使用交换式网络替代共享式网络,能够防范最基本的嗅探攻击。同时采取加密通信,使用SSH代替Telnet、使用SSL代替HTTP,或者直接使用IPSec/VPN,另外,实时监控网络流量,发现网络中出现大量的ACK包时,及时关注是否遭受的会话劫持攻击,并采取相应的防护措施。
(3)防范ARP欺骗攻击方法有,一是设置静态的ARP缓存表,如在三层交换机设置IP>MAC地址对应表,如果遭受到了ARP欺骗攻击,三层交换机将拒绝伪造的数据更新ARP缓存表中的静态记录。二是交换机上绑定端口和MAC地址。如果来自端口的MAC地址与之前的MAC地址不相符,则自动封锁该端口。三是采用VLAN技术。一个VLAN就是一个逻辑广播域,将信任的主机所在的安全子网与攻击者可能访问的不安全子网隔离。
(4) DNS欺骗攻击最有效的方法是直接用IP访问重要的服务,最根本的解决方法是加密所有对外的数据流,服务器尽量使用SSH之类的有加密支持的协议,对一般用户来说应该使用PGP等加密软件加密所有发送到网络上的数据,但实现起来比较困难。防范DNS欺骗最重要的是要树立安全意识,及时发现并采取相应措施。
4 结语
对基于TCP/IP协议脆弱性的几种网络欺骗攻击技术进行了研究,阐述了TCP会话劫持、ARP欺骗攻击和DNS欺骗攻击的原理,分析了实现过程,最后为防范常见的网络欺骗攻击提出了几点建议,使读者能够在了解常见网络欺骗攻击技术的基础上,加强网络安全防范。
摘要:随着计算机网络的飞速发展和普及应用,网络攻击手段呈现复杂化和多样化趋势。互联网是一个基于TCP/工P协议的开放体系,由于通信各层的协议都是以TCP/IP协议为基础,各层的网络协议都具有其相关脆弱性特点,导致互联网容易受到多种形式的攻击。从基于协议脆弱性的角度,分析了TCP会话劫持、ARP欺骗和DNS欺骗的相关原理和实现过程,同时提出防范建议。
关键词:脆弱性,欺骗攻击,安全防范
参考文献
[1]李俊民,等.网络安全与黑客攻防宝典[M].3版.北京:电子工业出版社,2011.
[2]William Stallings,白国强,等.网络安全基础应用与标准[M].北京:清华大学出版社,2014.
[3]张海燕.网络安全技术与应用[J].湖北:中南民族大学计算机学院,2005.
