计算机安全ARP的欺骗分析与防范
《计算机安全》课程论文
ARP的欺骗分析与防范
目录
摘要: (1)
关键词: (1)
引言: (1)
1. ARP协议简介 (1)
1.1ARP协议的工作原理 (2)
2. ARP地址欺骗攻击者的定位 (2)
2.1 Sniffer嗅探法 (2)
2.2命令提示符法 (2)
2.3利用相关软件工具 (3)
3. ARP协议存在的漏洞及ARP欺骗 (3)
4.ARP欺骗的防范对策 (3)
4.1.建立静态ARP表 (3)
4.2.禁止某个网络接口做ARP解析 (3)
4.3.推出ARP病毒查杀软件 (3)
5.结束语 (4)
参考文献: (5)
ARP的欺骗分析与防范
摘要:ARP协议的基本功能是完成将目标IP地址转换成目标MAC地址的过程。ARP实现机制中存在一个不完善的地方,ARP欺骗正是利用了这点来发动对网络的攻击。从网络管理角度,可以采取一些措施来防范它。防止ARP欺骗行为的发生,必须引入实体认证和数据加密机制。]arp欺骗是局域网中最普遍、最具危害性的病毒,从arp协议的原理、arp协议所存在的漏洞及安全隐患出发,分析arp欺骗的原理和攻击时的现象,并提出有效的解决办法和防范策略。[1]
关键词:ARP协议 ARP欺骗防范措施
引言:
随着网络技术在各个领域的广泛应用,在提高工作效率、实现数据共享及信息交换等方面提供了极大的便利。然而,由于网络协议设计上的缺陷,给网络病毒以可乘之机。arp病毒的出现,使网络的使用效率急剧下降,甚至对用户的信息安全构成威胁,随着网络、电子通信等技术的发展,互联网的接入,网络的应用越来越深入的到社会的各个行业,而随之而来的是人们对于接入网络的高效和安全问题的关注,在网络应用中的众多问题中,arp欺骗攻击也日益被提到关注的重点上。
1. ARP协议简介
ARP协议是Address Resolution Protocol地址解析协议的缩写,在局域网中以帧的方式进行传输数据,并且根据帧中目标主机的MAC地址来进行寻址。在以太网中,一台主机要和另一台主机进行直接通信,就必须要知道目的主机的MAC地址,这个目的MAC地址就是通过ARP协议获取的,地址解析就是主机在发送帧前将目的主机的IP地址转换成目的主机MAC地址的过程,这样才能保证局域网内各主机间可靠快速的通信。[1]ip数据包在以太网中传送,但以太网设备并不能识别32位的ip地址,只能识别48位的mac地址,arp的解析过程就是将目的主机的ip地址转换成mac地址。
ARP协议即地址转换协议(Address Resolution Protocol),它是一个链路层协议,工作在OSI 模型的第二层。以太网中,网络设备之间要进行直接通信,必须知道MAC地址。因为以太网交换机设备不鞥识别32位的IP地址,它们是以48位以太网地址(MAC地址)传输数据包的。ARP协议的基本功能就是完成IP地址转换成目标地址MAC地址的过程。
当一个网络设备要向令另一个网络设备发送数据包时,它首先判断该设备和自己是否处于同一网络段。若处于同一网段,它会查询本地ARP缓存表,看是否在目标设备的IP地址与MAC地址的映射关系记录。如果存在,则将此数据包做第二层封装,目的MAC。[2]
地址为查询到的MAC地址。如果不存在,则向网络上广播一个ARP请求报文,其中包含了源设备与目标设备的IP地址。同一网段中的所有其它设备都收到并分析这个ARP请求报文,假如某设备发现报文中的目标IP地址与自己的IP地址相同,则它像源设备发回ARP响应报文,通过该报文使源设备获得目标设备的MAC地址信息。若目标设备与源设备不在同一网段,则源设备首先把IP分组发向自己缺省的网关,由缺省网关对该分组进行转发。
为了减少广播包数目,网络设备通过ARP缓存表保存IP于MAC地址映射信息。在一次ARP的请求与响应的过程中,通过双方都把对方的MAC地址与IP地址的对应关系保存在各自的ARP缓存中,以反方便在后续的通信中使用。
1.1ARP协议的工作原理
1.1.1在同一个网段内
假设主机A和B在同一个网段,主机A要向主机B发送信息。具体的地址解析过程如下。
(1)主机A首先查看自己的ARP缓存表,确定其中是否包含有主机B对应的ARP表项。如果找到了主机B对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给主机B。
(2)如果主机A在ARP缓存表中找不到对应的MAC地址,则将缓存该数据报文,然后以广播方式发送一个ARP请求报文。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机B会对该请求进行处理[3]。
(3)主机B比较自己的IP地址和ARP请求报文中的目标IP地址,如果相同则将ARP请求报文中的发送端主机A的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A。
(4)主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP缓存表中以用于后续报文的转发,同时将IP数据包进行封装后发送出去.
1.1.2在不同网段间
当主机A和主机B不在同一网段时,主机A就会先向网关发出ARP请求报文。当主机A从收到的响应报文中获得网关的MAC地址后,将报文封装并发给网关。如果网关没有主机B的ARP表项,网关会广播ARP请求,目标IP地址为主机B的IP地址,当网关从收到的响应报文中获得主机B的MAC地址后,就可以将报文发给主机B;如果网关已经有主机B的ARP表项,网关直接把报文发给主机B。
2. ARP地址欺骗攻击者的定位
2.1 Sniffer嗅探法
当局域网中有ARP地址欺骗时,往往伴随着大量的ARP欺骗广播数据包,这时,流量检测机制应该能够很好地检测出网络的异常举动,利用Ethereal之类的抓包工具找出大量发送ARP广播包的机器,这基本上就可以当作攻击者进行处理。
2.2命令提示符法
在开始→运行中输入cmd ,在弹出的命令窗口中输入系统自带的ARP命令即可完成。当局域网中发生ARP欺骗攻击的时候,攻击者会向全网不停地发送ARP欺骗广播,这时局域网中的其他主机就会动态更新自身的ARP缓存表,将网关的MAC地址记录成攻击者本身的MAC地址,此时,我们只要在其受影响的主机中使用“ARP -A”命令查询一下当前网关的MAC地址,就可知道攻击者的MAC地址。例如,输入“ARP -A',命令后的返回信息如下:
Interface: 192.168.1.2 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-41-57-57-44-67 static
192.168.1.9 00-0b-2f-1a-28-b5 dynamic
因当前电脑的ARP表是错误的记录,故该MAC地址不是真正网关的MAC地址,而是攻击者的MAC 地址。此时,再根据网络正常时,全网的IP-MAC地址对照表,查找攻击者的IP地址就可以了。
2.3利用相关软件工具
现在只要通过百度或者Google一下便能找到很多ARP(病毒)定位工具,如Anti ARP Sniffer (现已更名为ARP防火墙)、ArpDog监控软件、360安全卫士(360ARP防火墙部分);其中做的比较好的是ARP防火墙。利用此类软件,我们可以轻松地锁定ARP攻击者的MAC地址。然后,我们根据欺骗机的MAC地址,对比查找全网的IP-MA C地址对照表,即可查出攻击者。
3. ARP协议存在的漏洞及ARP欺骗
局域网中每台主机都包含一个称之为ARP缓存的数据结构,他的主要目的是为了减少数据包数目以提高网络传输性能。但是在ARP的缓存表的实现机制中存在一个不完善的地方,当主机收到一个ARP的应答包后,他并不会去验证自己是否发送过这个ARP请求,验证该ARP应答包是否真实的来源于他所生成的那个主题,而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息,ARP欺骗正是利用了这个漏洞,来达到对网络进行攻击的目的。
4.ARP欺骗的防范对策
ARP欺骗攻击影响网络设备的正常通信,从网络管理角度,可以采取一些措施来防范它
4.1.建立静态ARP表
ARP不是一张IP地址-MAC地址映射表,在有些系统中,静态的ARP表项不会被动态刷新。这样就能从一定车高度傻瓜减少遭受ARP欺骗攻击的风险。所有参与通信的网络设备都可以建立类似的静态ARP表。对于网络中的主机,保存一条路由器的IP地址-MAC地址映射记录显得尤为重要。
4.2.禁止某个网络接口做ARP解析
对于那些可以刷新ARP表的网络设备,建立静态的ARP表不能防止攻击行为的发生。在有些系统中可以通过禁止某个网络接口做ARP解析,从而当收到ARP欺骗包以后不去更新ARP表。
4.3.推出ARP病毒查杀软件
以上仅仅是从网络日常管理的角度提出一些饭防范的措施。经过前述分析知道ARP协议本身存在着缺陷,即没有验证ARP应答包的真实性,所以,要彻底防止ARP欺骗行为的发生,必须映入实体认证机制。所谓实体认证,是建立在密码体制上的一种高级互通协议,它运行在计算机通信网或者分布式系统中,为安全需要的各方提供一系列步骤,借助于密码算法来达到验证协议参与各方身份的目的。简言之就是用某种手段或者机制,验证一个实体是否就是所声明的那个实体的过程。在引入实体认证机制以后,网络设备之间要进行通信,都要先确认对方真实身份[4]。
为了防止因为ARP欺骗而造成的通信过程被监听,敏感信息泄密等的发生,有必要引入数据加密机制,对传输的信息进行加密处理,这样即使ARP欺骗攻击者可以截获传输的数据,但因为信息内容被加密,他得到的数据也是毫无意义的乱码。
4.3.1.IP地址和MAC地址的静态绑定
在用户端进行绑定。ARP欺骗是通过ARP的动态刷新,并不进行验证的漏洞,来欺骗内网主机的,所以我们把ARP表全部设置为静态可以解决对内网的欺骗,也就是在用户端实施IP和MAC地址绑定,
可以再用户主机上建立一个批处理文件,此文件内容是绑定内网主机IP地址和MAC地址,并包括网关主机的IP地址和MAC地址的绑定,并把此批处理文件放到系统的启动目录下,使系统每次重启后,自动运行此文件,自动生成内网主机IP地址到MAC地址的映射表。这种方法使用于小型的网络中。在交换机上绑定。在核心交换机上绑定用户主机IP地址和网卡的MAC地址,同时在边缘交换机上将用户计算机网卡的IP地址和交换机端口绑定的双重安全绑定方式。这样可以极大程度上避免非法用户使用ARP 欺骗或盗用合法用户的IP地址进行流量的盗取,可以防止非法用户随意接入网络,网络用户如果擅自改动本机网卡的IP或MAC地址,该机器的网络访问将被拒绝,从而降低了ARP攻击的概率。
4.3.2.采用VLAN技术隔离端口
局域网的网络管理员可根据需要,将本单位网络规划出若干个VLAN,当发现有非法用户在恶意利用ARP欺骗攻击网络,或因合法用户受病毒ARP病毒感染而影响网络时,网络管理员可先找到该用户所在的交换机端口,然后将该端口划一个单独的VLAN,将该用户与其它用户进行隔离,以避免对其它用户的影响,当然也可以利用将交换机的该端口关掉来屏蔽该用户对网络造成影响[5]。
4.3.3.采取802.1X认证
802.1X认证可以将使未通过认证的主机隔离,当发现某台主机中毒时,将禁止其认证从而达到将中毒主机隔离网络的目的。例如,在本人所在学校就是需要上网的用户要提前到网络管理中心登记,也就是在网关中心申请一个用户名,并创建密码,并且把自己的MAC地址和用户名进行绑定,如果自己的换网卡后,还需要去网络管理中心进行重新绑定。用户上网前首先运行一个客户端软件,输入用户名密码后,通过认证服务器认证成功后才能上网。
4.4.4.防火墙和杀毒软件
可以安装ARP防火墙或者开启局域网ARP防护,比如360安全卫士等ARP病毒专杀工具,并且实时下载安装系统漏洞补丁,关闭不必要的服务等来减少病毒的攻击。
5.结束语
随着网络技术的快速发展,由于ARP协议早期的许多设计缺陷, ARP漏洞弊病日益显露。针对这个问题,最根本的解决措施是使用下一版本的互联网协议:IPv6协议。因为在IPv6协议定义了一种新的协议----邻居发现协议(NDP),其中邻居宣告与邻居请求一起代替了IPv4中的ARP协议,将其包含在ICMPv6中;使之更具安全性。虽然它也不尽完美,但是相信随着互联网的发展,它也会日臻完善,精益求精。
参考文献:
[1]张德芬,计算机网络与互联网[M].北京:人民邮电出版社.
[2]杨尚森,网络管理与维护技术
[3]卓越,计算机大全
[4]牛少彰,江为强.网络的攻击与防范———理论与实践[M].北京:北京邮电学院出版社.
[5]马军,王岩.ARP协议攻击及其解决方案[J].
5
实验二 ARP欺骗实验
实验二ARP欺骗实验 【实验目的】 加深对ARP高速缓存的理解 了解ARP欺骗在网络攻击中的应用 【实验原理】 ARP欺骗是黑客常用的攻击手段之一,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通过发送ARP应答包通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,―网络掉线了‖。 ARP表是IP地址和MAC地址的映射关系表,任何实现了IP协议栈的设备,一般情况下都通过该表维护IP地址和MAC地址的对应关系,这是为了避免ARP 解析而造成的广播数据报文对网络造成冲击。 【实验环境】 需要使用协议编辑软件进行数据包编辑并发送;IP地址分配参考如下表所示。 设备IP地址Mac地址后缀 HostA 10.28.23.112 44-37-e6-10-77-81 HostB 10.28.23.168 28-92-4a-56-15-c2 设备连接即两台个人电脑。
【实验内容】 搭建网络实现ARP地址欺骗过程 防范ARP地址欺骗 【实验步骤】 一、设定环境(在实验中应根据具体实验环境进行实验) (1)根据环境拓扑图设定网络环境,并测试连通性。 (2)需要使用协议编辑软件进行数据包编辑并发送。 二、主机欺骗 (1)获得设定网络中各主机的IP地址和MAC地址,Ping网关。如图2-1、图 2-2 图2-1 图2-2
ARP欺骗 -攻击原理和防范
ARP欺骗/ MITM(Man-In-The-Middle)攻击原理和防范 一、MITM(Man-In-The-Middle) 攻击原理 按照 ARP 协议的设计,为了减少网络上过多的 ARP 数据通信,一个主机,即使收到的 ARP 应答并非自己请求得到的,它也会将其插入到自己的 ARP 缓存表中,这样,就造成了“ ARP 欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个 ARP 应答包,让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可。在这种嗅探方式中,黑客所在主机是不需要设置网卡的混杂模式的,因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。 这里举个例子,假定同一个局域网内,有 3 台主机通过交换机相连: A 主机: IP 地址为 192.168.0.1 , MAC 地址为 01:01:01:01:01:01 ; B 主机: IP 地址为 192.168.0.2 , MA C 地址为 02:02:02:02:02:02 ; C 主机: IP 地址为 192.168.0.3 , MAC 地址为 03:03:03:03:03:03 。 B 主机对 A 和 C 进行欺骗的前奏就是发送假的 ARP 应答包,如图所示 在收到 B主机发来的ARP应答后,A主机应知道: 到 192.168.0.3 的数据包应该发到 MAC 地址为 020********* 的主机; C 主机也知道:到 192.168.0.1 的数据包应该发到 MAC 地址为 020********* 的主机。这样, A 和 C 都认为对方的 MAC 地址是 020********* ,实际上这就是 B 主机所需得到的结果。当然,因为 ARP 缓存表项是动态更新的,其中动态生成的映射有个生命期,一般是两分钟,如果再没有新的信息更新, ARP 映射项会自动去除。所以, B 还有一个“任务”,那就是一直连续不断地向 A 和 C 发送这种虚假的 ARP 响应包,让其 ARP缓存中一直保持被毒害了的映射表项。 现在,如果 A 和 C 要进行通信,实际上彼此发送的数据包都会先到达 B 主机,这时,如果 B 不做进一步处理, A 和 C 之间的通信就无法正常建立, B 也就达不到“嗅探”通信内容的目的,因此, B 要对“错误”收到的数据包进行一番修改,然后转发到正确的目的地,而修改的内容,无非是将目的 MAC 和源MAC 地址进行替换。如此一来,在 A 和 C 看来,彼此发送的数据包都是直接到达对方的,但在 B 来看,自己担当的就是“第三者”的角色。这种嗅探方法,
arp欺骗原理及处理办法
故障原因 主要原因是在局域网中有人使用了ARP欺骗的木马程序,比如一些盗号的软件。 传奇外挂携带的ARP木马攻击,当局域网内使用外挂时,外挂携带的病毒会将该机器的MAC 地址映射到网关的IP地址上,向局域网内大量发送ARP包,致同一网段地址内的其它机器误将其作为网关,掉线时内网是互通的,计算机却不能上网。方法是在能上网时,进入MS-DOS窗口,输入命令:arp –a查看网关IP对应的正确MAC地址,将其记录,如果已不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网,一旦能上网就立即将网络断掉,禁用网卡或拔掉网线,再运行arp –a。 如已有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。可在MS-DOS窗口下运行以下命令:arp –s 网关IP 网关MAC。如被攻击,用该命令查看,会发现该MAC已经被替换成攻击机器的MAC,将该MAC记录,以备查找。找出病毒计算机:如果已有病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址。 故障现象 当局域网内有某台电脑运行了此类ARP欺骗的木马的时候,其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。 切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。 由于ARP欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞,用户会感觉上网速度越来越慢。当木马程序停止运行时,用户会恢复从路由器上网,切换中用户会再断一次线。 该机一开机上网就不断发Arp欺骗报文,即以假冒的网卡物理地址向同一子网的其它机器发送Arp报文,甚至假冒该子网网关物理地址蒙骗其它机器,使网内其它机器改经该病毒主机上网,这个由真网关向假网关切换的过程中其它机器会断一次网。倘若该病毒机器突然关机或离线,则其它机器又要重新搜索真网关,于是又会断一次网。所以会造成某一子网只要有一台或一台以上这样的病毒机器,就会使其他人上网断断续续,严重时将使整个网络瘫痪。这种病毒(木马)除了影响他人上网外,也以窃取病毒机器和同一子网内其它机器上的用户帐号和密码(如QQ和网络游戏等的帐号和密码)为目的,而且它发的是Arp报文,具有一定的隐秘性,如果占系统资源不是很大,又无防病毒软件监控,一般用户不易察觉。这种病毒开学初主要发生在学生宿舍,据最近调查,现在已经在向办公区域和教工住宅区域蔓延,而且呈越演越烈之势。 经抽样测试,学校提供的赛门铁克防病毒软件企业版10.0能有效查杀已知的Arp欺骗病毒(木马)病毒。恶意软件由于国际上未有明确界定,目前暂无一款防病毒软件能提供100%杜绝其发作的解决方案,需要借助某些辅助工具进行清理。 解决思路 不要把你的网络安全信任关系建立在IP基础上或MAC基础上。 设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。
ARP欺骗在网络中的应用及防范
ARP欺骗在网络中的应用及防范 一、ARP协议的内容和工作原理 地址解析协议(Address Resolution Protocol,ARP)是在只知道主机IP地址时确定其物理地址的一种协议。因IPv4、IPv6和以太网的广泛应用,其主要用于将IP地址翻译为以太网的MAC地址,但其也能在ATM和FDDI IP网络中使用。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC 层,也就是相当于OSI的第二层)的MAC地址。 首先,每台主机都会在自己的ARP缓冲区中建立一个ARP映射表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP 请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里面包括源主机的IP地址、源主机的MAC地址以及目的主机的IP地址、目的MAC地址。同一网段中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就丢弃此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP映射表中,如果ARP映射表中已经存在该IP的信息,则将其覆盖,然后以单播的形式给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到目的主机的IP地址和MAC地址并添加到自己的ARP映射表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。 二、ARP协议存在的安全漏洞 ARP协议是建立在信任局域网内所有节点的基础上的,它很高效,但却不安全。其主要漏洞有以下三点: 1、主机地址映射表是基于高速缓存、动态更新的,ARP将保存在高速缓存中的每一个映射地址项目都设置了生存时间,它只保存最近的地址对应关系。这样恶意的用户如果在下次交换前修改了被欺骗机器上的地址缓存,就可以进行假冒或拒绝服务攻击。 2、由于ARP是无状态的协议,即使没有发送ARP请求报文,主机也可以接收ARP应答,只要接收到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机的高速缓存。这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP 报文从而影响网内节点的通信,甚至可以做“中间人”。 3、任何ARP应答都是合法的,ARP应答无须认证,只要是局域网内的ARP 应答分组,不管是否是合法的应答,主机都会接受ARP应答,并用其IP-MAC信息篡改其缓存。这就是ARP的另一个隐患。 三、ARP欺骗攻击的实现过程 3.1 网段内的ARP欺骗攻击 ARP欺骗攻击的最基本手段就是向目标主机发送伪造的ARP应答,并使目标主机接收应答中伪造的IP与MAC间的映射表,并以此更新目标主机缓存。设在
ARP攻击和防范原理及示例
本科生毕业论文(设计) 题目:ARP攻击和防范原理及示例 专业:计算机网络(本科) 考生姓名:********** 准考证号:************ 指导教师:****** 二〇一五年十月
学术诚信声明 本人所呈交的毕业论文,是在导师的指导下,独立进行研究工作所 取得的成果,所有数据、图片资料均真实可靠。除文中已经注明引用的 内容外,本论文不包含任何其他人或集体已经发表或撰写过的作品或成 果。对本论文的研究作出重要贡献的个人和集体,均已在文中以明确的 方式标明。本毕业论文的知识产权归属于培养单位。本人完全意识到本 声明的法律结果由本人承担。 本人签名:日期:2015-10-12
摘要 ARP攻击是指攻击者利用ARP协议本身的缺陷,在区域内一台终端或服务器上发布欺骗ARP广播包以达到盗取用户帐号、篡改网站内容、嵌入恶意代码、发布不良信息、监听传输数据等非法活动的目的。 ARP的攻击方式是ARP欺骗,ARP欺骗在过去常被运用到简单的拒绝服务攻击中。然而,随着大量缺乏管理且流动性较大的网吧以及其他公共上网环境的普及,互联网上开始出现许多由ARP基本攻击与侦听、网页篡改等黑客技术相互结合的攻击方式。这种ARP攻击之所以能在各类公共上网设施内迅速蔓延是因为在拥有上千台机器的公众上网环境或对外服务的IDC托管机房中,同一网段中往往有来自不同单位或不同人群使用的各类终端与服务器,由于其中各类系统的安全责任点归属复杂、使用人员流动性大,造成环境内安全管理漏洞较多,从而使新一代以ARP欺骗为基础的网页挂码或重定向攻击得以滋生。 目前,很多研究者已经给出了针对ARP欺骗攻击的防治方法,在一定程度上减少了ARP问题的发生,这类方法主要是通过保护ARP高速缓存等方法来实现,它们不能从根本上解决ARP欺骗问题,因为ARP欺骗是利用ARP协议本身存在在的漏洞,本文将从技术层面入手,分析解决该类问题。 关键词:ARP攻击、ARP协议、ARP欺骗、ARP安全防护
Arp攻击原理及防范
Arp攻击原理及防范 1.ARP协议简介 在局域网中,一台主机要和另一台主机进行通信,必须要知道另一台主机的IP地址,但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的,只能识别其MAC地址。MAC地址是48位的,通常表示为12个16进制数,每2个16进制数之间用“-”或者冒号隔开,如:FF-FF-FF-FF-FF-FF就是一个MAC地址。每一块网卡都有其全球唯一的MAC地址,网卡之间发送数据,只能根据对方网卡的MAC地址进行发送,这时就需要一个将数据包中的IP地址转换成MAC地址的协议,而这个重要的任务将由ARP协议完成。 ARP全称为Address Resolution Protocol,即地址解析协议。所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。这时就涉及到一个问题,一个局域网中的电脑少则几台,多则上百台,这么多的电脑之间,如何能准确的记住对方电脑网卡的MAC地址,以便数据的发送呢?这就涉及到了另外一个概念,ARP 缓存表。在局域网的任何一台主机中,都有一个ARP缓存表,该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。当这台主机向同局域网中另外的主机发送数据的时候,会根据ARP缓存表里的对应关系进行发送。 下面,我们用一个模拟的局域网环境,来说明ARP欺骗的过程。 2.ARP欺骗过程: 如图(1)所示(在相册)局域网中有三台主机与交换机相连接,主机名分别为A、B、C,交换机为网关命名为S,IP如图所示。现在A与C进行通信,正常情况下通信过程如下:A 将自身的数据打包目地IP为C的IP,因为不知道C的MAC,所以A向全网发出ARP请求要求得到C的MAC,C收到广播报文后将自身的MAC地址发送给A,A得到C的MAC后将数据打包,封装目的为C的IP和MAC,然后将数据包发送给S;S收到该包后拆包得到C的MAC,然后再对照自身的ARP缓存表,将数据包发送给C,一次通信完成。 这样的机制看上去很完美,似乎整个局域网也天下太平,相安无事。但是,上述数据发送机制有一个致命的缺陷,即它是建立在对局域网中电脑全部信任的基础上的,也就是说它的假设前提是:无论局域网中那台电脑,其发送的ARP数据包都是正确的。那么这样就很危险了!因为局域网中并非所有的电脑都安分守己,往往有非法者的存在。此时A想得到C 的MAC向全网发送广播,C将自己的MAC发给A,而此时一直沉默的B也向全网发出广播报文,说自已的IP为192.168.0.4MAC为B的MAC即MAC_b,原本A得到的C的MAC是正确的,由于B不停的发送广播报文,但A不知道B的MAC是伪造的,导致A重新动态更新自己的ARP缓存表,此时A的ARP缓存表里记录了一条错误的记录,这就导致了A以后要发送给C的数据全部发给了B。这就是ARP欺骗中冒充主机的方式。 如果B冒充网关又会是什么情况呢?大家知道局域网中所有电脑上网都要通过网关转发数据才能登陆互联网。此时如果B向全网发送广播说我的IP为192.168.0.1 MAC为MAC_b 即B自己的MAC,由于局域网通信的前提条件是信任任何电脑发送的ARP广播包。这样局域网中的其它电脑都会更新自身的ARP缓存表,记录下192.168.0.1-MAC_b这样的记录,这样,当它们发送给网关,也就是IP地址为192.168.0.1这台电脑的数据,结果都会发送到MAC_b这台电脑中!这样,B就将会监听整个局域网发送给互联网的数据包! ARP病毒新的表现形式 由于现在的网络游戏数据包在发送过程中,均已采用了强悍的加密算法,因此这类ARP病毒在解密数据包的时候遇到了很大的难度。现在又新出现了一种ARP病毒,与以前的一样的是,该类ARP病毒也是向全网发送伪造的ARP欺骗广播,自身伪装成网关。但区别是,
实验三:ARP欺骗工具及原理分析
实验三:ARP欺骗工具及原理分析 一、实验目的 1.熟悉ARP欺骗攻击工具的使用 2.熟悉ARP欺骗防范工具的使用 3.熟悉ARP欺骗攻击的原理 二、实验准备 1.要求实验室内网络是连通的,组内每台计算机均可以访问另外一台计算机。 2.下载相关工具和软件包(ARP攻击检测工具,局域网终结者,网络执法官,ARPsniffer 嗅探工具)。 三、实验说明 本实验所介绍的工具软件使用起来都比较方便,操作起来也不是很难,但是功能或指令却不止一种,所以实验中只介绍其中的某一种用法。其他的则可"触类旁通"。 四、实验涉及到的相关软件下载: ARP攻击检测工具 局域网终结者 网络执法官 ARPsniffer嗅探工具 五、实验原理 1、ARP及ARP欺骗原理: ARP(Address Resolution Protocol)即地址解析协议,是一种将IP地址转化成物理地址的协议。不管网络层使用什么协议,在网络链路上传送数据帧时,最终还是必须使用硬件地址的。而每台机器的MAC地址都是不一样的,具有全球唯一性,因此可以作为一台主机或网络设备的标识。目标主机的MAC地址就是通过ARP协议获得的。 ARP欺骗原理则是通过发送欺骗性的ARP数据包致使接收者收到数据包后更新其ARP 缓存表,从而建立错误的IP与MAC对应关系,源主机发送数据时数据便不能被正确地址接收。 2、ARPsniffer使用原理: 在使用该工具时,它会将网络接口设置为混杂模式,该模式下工具可以监听到网络中传输的所有数据帧,而不管数据帧的目的地是自己还是其他网络接口的地址。嗅探器会对探测到的每一个数据帧产生硬件数据中断,交由操作系统处理,这样就实现了数据截获。 3、局域网终结者使用原理: 一个主机接收到与自已相同IP发出的ARP请求就会弹出一个IP冲突框来。利用局域网终结者可以伪造任一台主机的IP向局域网不停地发送ARP请求,同时自已的MAC也是伪造的,那么被伪造IP的主机便会不停地收到IP冲突提示,致使该主机无法上网。这便构成了局域网终结者的攻击原理。 4、网络执法官使用原理: 网络执法官原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地
ARP欺骗原理与解决办法
ARP欺骗原理与解决办法 2009-03-26 18:18 【故障原理】 要了解故障原理,我们先来了解一下ARP协议。 在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP 协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。 ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。 每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下所示。 主机IP地址MAC地址 A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd 我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B 发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。 从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD 这个地址上。如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A 发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么,
网络安全实验2 ARP欺骗实验
实验1 ARP地址欺骗 声明:本实验教程仅限于实验室教学和实验用,不能用于其他非法用途,否则后果自负。 1、实验目的 1、掌握常见ARP欺骗类型和手段 2、掌握ARP协议工作原理和格式 3、掌握防范ARP地址欺骗的方法和措施 4、掌握Sniffer Pro软件的使用 2、实验环境 硬件:交换机1台、路由器1台、计算机数台 软件:Sinfffer pro
Heinaen和Govindan RFC1735 对上进行了进一步的讨论 W.Richard Stenvens TCP/IP协议详解卷1:协议 [日]村上公保TCP/IP网络实验程序篇科学出版社 4、实验原理 数据封装过程 1)、ARP协议简介 ARP(Address Resolve Protocol)地址请求解析协议,用于寻找和IP地址相对应的MAC 地址。在RFC 826中定义了ARP协议的数据格式和类型。ARP协议属于在网络层的下部,可看作为网络层和数据链路层的接口,主要用于IPv4以太网。 ARP消息类型有2种: ARP request :ARP 请求 ARP response :ARP应答 ARP协议格式
ARP报文格式 以太网帧的格式:
ü源MAC地址:发送方的MAC地址 ü源IP地址:发送方的IP地址 ü目的MAC地址:ARP请求中该字段没有意义;ARP响应中为接收方的MAC地址 ü目的IP地址:ARP请求中为请求解析的IP地址;ARP响应中为接收方的IP地址 ARP协议的改进 高速缓存技术 高速缓冲区中ARP表项新鲜性的保持:计时器 目的主机接收到ARP请求后将源主机的IP地址与物理地址映射关 系存入自己的高速缓冲区 主机启动时主动广播自己的IP地址与物理地址的映射关系 5、实验步骤 1)掌握常用的ARP常用命令 ARP命令: 功能:用于查看、添加和删除高速缓存区中的ARP表项 高速缓冲区中的ARP表项 表项添加后两分钟内没有被再次使用:删除 表项被再次使用:增加2分钟的生命周期
最全的ARP欺骗攻击原理深入分析
1、ARP协议概述 IP数据包常通过以太网发送。以太网设备并不识别32位IP地址:它们是以48位以太网地址传输以太网数据包的。因此,IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射,常常需要查看一张表。地址解析协议(Address Resolution Protocol,ARP)就是用来确定这些映象的协议。 ARP工作时,送出一个含有所希望的IP地址的以太网广播数据包。目的地主机,或另一个代表该主机的系统,以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来,以节约不必要的ARP通信。 如果有一个不被信任的节点对本地网络具有写访问许可权,那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己,然后它就可以扮演某些机器,或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上,ARP映射可以用固件,并且具有自动抑制协议达到防止干扰的目的。 图1是一个用作IP到以太网地址转换的ARP报文的例子。在图中每一行为32位,也就是4个八位组表示,在以后的图中,我们也将遵循这一方式。 硬件类型字段指明了发送方想知道的硬件接口类型,以太网的值为1。协议类型字段指明了发送方提供的高层协议类型,IP为0806(16进制)。硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度,这样ARP报文就可以在任意硬件和任意协议的网络中使用。操作字段用来表示这个报文的目的,ARP请求为1,ARP响应为2,RARP请求为3,RARP响应为4。 当发出ARP请求时,发送方填好发送方首部和发送方IP地址,还要填写目标IP地址。当目标机器收到这个ARP广播包时,就会在响应报文中填上自己的48位主机地址。
简要回答arp欺骗的工作原理及如何防范
1.arp欺骗的原理 以太网设备(比如网卡)都有自己全球唯一的MAC地址,它们是以MAC地址来传输以太网数据包的,但是以太网设备却识别不了IP数据包中的IP地址,所以要在以太网中进行IP通信,就需要一个协议来建立IP地址与MAC地址的对应关系,使IP数据包能够发送到一个确定的主机上。这种功能是由arp (AddressResolution Protocol)来完成的。 arp被设计成用来实现IP地址到MAC地址的映射。arp使用一个被称为arp高速缓存的表来存储这种映射关系,arp高速缓存用来存储临时数据(IP地址与MAC地址的映射关系),存储在arp高速缓存中的数据在几分钟没被使用,会被自动删除。 arp协议不管是否发送了arp请求,都会根据收到的任何arp应答数据包对本地的arp高速缓存进行更新,将应答数据包中的IP地址和MAC地址存储在arp高速缓存中。这正是实现arp欺骗的关键。可以通过编程的方式构建arp应答数据包,然后发送给被欺骗者,用假的IP地址与MAC地址的映射来更新被欺骗者的arp高速缓存,实现对被欺骗者的arp欺骗。 有两种arp欺骗:一种是对路由器arp高速缓存的欺骗;另一种是对内网电脑arp高速缓存的欺骗。2.arp欺骗攻击的防范 (1)在客户端使用arp命令绑定网关的IP/MAC(例如arp 00-e0-eb-81-81-85)。 (2)在交换机上做端口与MAC地址的静态绑定。 (3)在路由器上做IP/MAC地址的静态绑定。 (4)使用arp服务器定时广播网段内所有主机的正确IP/MAC映射表。 (5)及时升级客户端的操作系统和应用程序补丁。 (6)升级杀毒软件及其病毒库。
解决ARP欺骗和攻击的方法
什么是网络瓶颈?如何克服网络瓶颈对网络整体性能的影响? 网络瓶颈指的是影响网络传输性能及稳定性的一些相关因素,如网络拓扑结构,网线,网卡,服务器配置,网络连接设备等,下面我们逐一加以简单分析: 1.组网前选择适当的网络拓扑结构是网络性能的重要保障,这里有两个原则应该把握:一是应把性能较高的设备放在数据交换的最高层,即交换机与集线器组成的网络,应把交换机放在第一层并连接服务器,二是尽可能减少网络的级数,如四个交换机级联不要分为四级,应把一个交换机做一级,另三个同时级联在第一级做为第二级; 2.网线的做法及质量也是影响网络性能的重要因素,对于100M设备(包括交换机,集线器和网卡),要充分发挥设备的性能,应保证网线支持100M,具体是网线应是五类以上线且质量有保障,并严格按照100M网线标准(即568B和568A)做线; 3.网卡质量不过关或芯片老化也容易引起网络传输性能下降或工作不稳定,选择知名品牌可有很好的保障; 4.对某些如无盘网络,游戏网络等对服务器的数据交换频繁且大量的网络环境,服务器的硬件配置(主要是CPU处理速度,内存,硬盘,网卡)往往成为影响网络性能的最大瓶颈,提升网络性能须从此入手; 5.选择适当的网络连接设备(交换机和集线器)同样也是网络性能的重要保障,除选择知名品牌外,网络扩充导致性能下降时应考虑设备升级的必要性。 解决ARP欺骗和攻击的方法 在局域网中,通信前必须通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,对网络的正常传输和安全都是一个很严峻的考验。 “又掉线了!!!”每当听到客户的抱怨声一片响起,网管员就坐立不安。其实,此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大患。
ARP攻击与防范”课程实验设计
Computer Knowledge and Technology 电脑知识与技术网络通讯及安全本栏目责任编辑:冯蕾第6卷第3期(2010年1月)“ARP 攻击与防范”课程实验设计 宋星月 (辽宁金融职业学院信息技术系,辽宁沈阳110122) 摘要:针对“ARP 攻击与防范”课程教学,分析了ARP 协议及ARP 攻击的工作原理,提出了一种更好理解“ARP 攻击与防范”的课程实验设计方案。 关键词:ARP 协议;ARP 攻击;ARP 防范;实验设计 中图分类号:TP393文献标识码:A 文章编号:1009-3044(2010)03-611-02 Experimental Design of Courses Based on the ARP Attack and Prevention SONG Xing-yue (Department of Information Technology,Liaoning Finance Vocatinal College,Shenyang 110122,China) Abstract:Based on ARP attack and prevention courses teaching,analyzed the principle of ARP protocol and ARP attacks.A advanced experiment method about the ARP attack and prevention is introduced,and it is helpful for students to study ARP attack and prevention.Key words:ARP protocol;ARP attack;ARP prevention;experiment design 互联网是一个面向大众的开放系统,设计初衷是信息共享、开放、灵活和快速,对于信息的保密措施和系统的安全性考虑得并不完备,这些特性不可避免地引发一些网络安全问题,而且,这些问题随着信息技术的发展也就日益严重,如何有效地防范各种攻击,增强网络安全性,是一项重要的课题。 网络协议安全是网络安全中的重要领域,研究ARP 协议及其在网络攻防中的应用具有积极的意义。但ARP 攻击方式在不断变换,就连一些资深的网络管理员也为此感到十分头疼。更何况学校里没有实际工作经验的学生。基于此,本文设计了一套ARP 攻击与防范实验方案,增强学生对ARP 协议、ARP 攻击原理的理解,并提高对网络实际操作和故障解决的能力。 1ARP 协议工作原理 ARP 协议,全称Address Resolution Protocol ,中文名是地址解析协议,它工作在OSI 模型的数据链路层,用于将IP 地址转化为网络接口的硬件地址(MAC 地址)。无论是任何高层协议的通信,最终都将转换为数据链路层硬件地址的通讯。 当网络中一台主机要向另一台主机或者路由器发送数据时,会首先检查自己ARP 列表中是否存在该IP 地址对应的MAC 地址,如有,就直接将数据包发送到该MAC 地址;如无,就向本地网段发起一个ARP 请求的广播包,查询此目的主机对应的MAC 地址,此ARP 请求数据包里包括源主机的IP 地址、硬件地址、以及目的主机的IP 地址。网络中所有的主机收到该ARP 请求后,会检查数据包中的目的IP 是否和自己的IP 地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC 地址和IP 地址添加到自己的ARP 列表中,如果ARP 表中已经存在该IP 的信息,则将其覆盖,然后给源主机发送一个ARP 响应数据包,告诉对方自己是它需要查找的MAC 地址;源主机收到这个ARP 响应数据包后,将得到的目的主机的IP 地址和MAC 地址添加到自己的ARP 列表中,并以超时则删除的策略加以维护。 ARP 协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。它不会检查自己是否发过请求包,也不管(其实也不知道)是否是合法的应答,只要收到目标MAC 是自己的ARP Reply 包或ARP 广播包都会接受并缓存,这就为欺骗提供了可能。 2ARP 攻击原理 ARP 欺骗的核心思想是向目标主机发送伪造的ARP 应答,并使目标主机接收应答中伪造的IP 地址与MAC 地址之间的映射对,以此更新目标主机ARP 缓存。2.1ARP 攻击过程 设在同一网段的三台主机:A 、B 、C 。其IP 地址和MAC 地址映射关系如表1 所示。 假设A 与B 是信任关系,A 欲向B 发送数据包。攻击方C 通过前期准备,收 集信息,发现B 的漏洞,使B 暂时无法工作。然后C 发送一个源IP 地址为192.168.0.3源MAC 地址为BB:BB:BB;BB:BB:BB 的包给A 。由于大多数的操作系统在接收到ARP 应答后会及时更新ARP 缓存,而不考虑是否发出过真实的ARP 请求,所以A 接收到应答后,就更新它的ARP 缓存,建立新的IP/MAC 地址映射对,即192.168.0.2→CC:CC:CC:CC:CC:CC 。这样,A 就将发往B 的数据包发向了C ,这就是典型的ARP 欺骗过程。 收稿日期:2009-11-19 作者简介:宋星月(1978-),女,内蒙古人,讲师,东北大学硕士研究生,研究方向为计算机网络技术。 表1同网段主机IP/MAC 对应表ISSN 1009-3044Computer Knowledge and Technology 电脑知识与技术Vol.6,No.3,January 2010,pp.611-612E-mail:info@https://www.wendangku.net/doc/c710826326.html, https://www.wendangku.net/doc/c710826326.html, Tel:+86-551-56909635690964611
ARP攻击原理简析及防御措施
ARP攻击原理简析及防御措施 网络欺骗攻击作为一种非常专业化的攻击手段,给网络安全管理者,带来严峻的考验。网络安全的战场已经从互联网蔓延到用户内部的网络,特别是局域网。目前利用ARP欺骗的木马病毒在局域网中广泛传播,导致网络随机掉线甚至整体瘫痪,通讯被窃听,信息被篡改等严重后果。 0x1 简介 网络欺骗攻击作为一种非常专业化的攻击手段,给网络安全管理者,带来严峻的考验。网络安全的战场已经从互联网蔓延到用户内部的网络,特别是局域网。目前利用ARP欺骗的木马病毒在局域网中广泛传播,导致网络随机掉线甚至整体瘫痪,通讯被窃听,信息被篡改等严重后果。 0x2 ARP协议概述 ARP协议(address resolution protocol)地址解析协议 一台主机和另一台主机通信,要知道目标的IP地址,但是在局域网中传输数据的网卡却不能直接识别IP地址,所以用ARP解析协议将IP地址解析成MAC 地址。ARP协议的基本功能就是通过目标设备的IP地址,来查询目标设备的mac地址。 在局域网的任意一台主机中,都有一个ARP缓存表,里面保存本机已知的此局域网中各主机和路由器的IP地址和MAC地址的对照关系。ARP缓存表的生命周期是有时限的(一般不超过20分钟)。 举个例子:假设局域网中有四台主机
主机A想和主机B通信 主机A会先查询自己的ARP缓存表里有没有B的联系方式,有的话,就将mac-b 地址封装到数据包外面,发送出去。没有的话,A会向全网络发送一个ARP广播包,大声询问:我的IP地址是192.168.0.2,硬件地址是mac-a,我想知道IP地址是192.168.0.3的硬件地址是多少?此时,局域网内所有主机都收到了,B收到后会单独私密回应:我是192.168.0.3,我的硬件地址是mac-b,其他主机不会理A的此时A知道了B的信息,同时也会动态的更新自身的缓存表 0x3 ARP协议的缺陷 ARP协议是建立在信任局域网内所有节点的基础上的,他的效率很高。但是不安全。它是无状态的协议。他不会检查自己是否发过请求包,也不知道自己是否发过请求包。他也不管是否合法的应答,只要收到目标mac地址是自己的ARP reply或者ARP广播包(包括ARP reply和ARP request),都会接受并缓存。 0x4 ARP攻击原理
计算机网络安全实验arp欺骗
《计算机网络安全》实验报告实验名称: arp欺骗 提交报告时间:年月日
一、实验目的 程序实现ARP欺骗,对ARP欺骗进行进一步的认识并提出防范措施。 二、系统环境 主机1 windows系统 主机2 windows系统
主机3 linux操作系统 三、网络环境 同一网段下的网络 四、实验步骤与实验结果 将主机A、C、E为一组,B、D、F为一组。实验角色说明如下: 实验主机实验角色 主机A、B 目标主机一/Windows 主机C、D 黑客主机/Linux 主机E、F 目标主机二/Windows 首先使用“快照X”恢复Windows/Linux系统环境。 一.ARP欺骗攻击 实验需求: (1)本实验使用交换网络结构(参见附录B),组一、二和三间通过交换模块连接(主机A、C、E通过交换模块连接,主机B、D、F也通过交换模块连接)。因此,正常情况下,主机C无法以嗅探方式监听到主机A与主机E间通信数据,同样主机D也无法监听到主机B与主机F 间的通信数据。 (2)主机C要监听主机A和主机E间的通信数据;主机D要监听主机B与主机F间的通信数据。 分析:
黑客主机通过对目标主机进行ARP欺骗攻击,获取目标主机间的通信数据。 1.正常通信 图6-1-1 目标主机正常通信示意图 (1)目标主机二单击工具栏“UDP工具”按钮,启动UDP连接工具,创建2513/udp服务端。 主机1发送数据 (2)目标主机一启动UDP连接工具,将“目标机器”IP地址指定为目标主机二的地址,目标端口与服务器一致。在“数据”文本框中输入任意内容,单击“发送”按钮,向服务端发数据。服务端确定接收到数据。
ARP病毒的攻击与防范论文
XXXXXXXX 专科毕业设计(论文) 题目ARP病毒的攻击与防范 学生姓名 专业班级 学号 系别 指导教师(职称)
ARP病毒的攻击与防范 摘要 ARP攻击是指黑客利用ARP协议缺陷的基本原理,通过在区域内一台终端或服务器上发布欺骗ARP广播包以达到进行盗取用户帐号、篡改网站内容、嵌入恶意代码、发布不良信息、监听传输数据等非法活动的目的。 ARP欺骗原理在过去常被运用到简单的拒绝服务攻击中。然而,随着大量缺乏管理且使用者流动性较大的网吧与其他公共上网环境的普及,互联网上开始出现许多由ARP基本攻击与侦听、网页篡改等黑客技术相互结合的攻击方式。这种ARP攻击之所以能在各类公共上网设施内迅速蔓延是因为在拥有上千台机器的公众上网环境或对外服务的IDC托管机房中,同一网段中往往有着来自不同单位或不同人群使用的各类终端与服务器,由于其中各类系统的安全责任点归属复杂、使用人员流动性大,造成环境内安全管理漏洞较大、安全盲点较多,从而使新一代以ARP欺骗为基础的网页挂码或重定向攻击得以滋生。 而且,ARP攻击相对与通常攻击方式可能造成的更大的破坏在于:一般来说IP 地址的冲突可以通过多种方法和手段来避免,而ARP协议工作在更底层协议上,隐蔽性更高。系统并不会判断ARP缓存的正确与否,无法像IP地址冲突那样给出提示。很多黑客工具可以随时发送ARP欺骗数据包和ARP恢复数据包,这对于公众上网环境来说,就可以在任何权限的终端计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机甚至服务器或网络设备的网络连接、侦探通讯数据、篡改数据包以加入病毒代码或不良信息进行传播。黑客还可以最大化的利用ARP欺骗原理,将其与其他攻击方法组合后运用于多种攻击,如,侦听、拒绝服务、挂载病毒等。从而达到多种攻击目的,如:窃取信息、病毒传播、破坏网络路由,暴力广告等等。 本文通过现象分析逐步推测出ARP的攻击原理。随后通过对ARP数据帧格式的解析,证明了ARP协议漏洞是可以被用作ARP欺骗。在探讨ARP攻击的防御措施时,文章从MAC地址集中管理、ARP数据包探测以及系统安全加固三方面进行论述。对于公众上网环境中存在可被ARP攻击的漏洞进行分析,并对整体防御构架进一步探索。 关键词ARP攻击/ARP协议/安全防护
ARP地址欺骗实验报告
计算机科学与技术系 实验报告 专业名称网络工程 课程名称 TCP/IP协议 项目名称 ARP地址欺骗 班级 13网络工程2班 学号 1304032025 姓名王梦梦(E) 同组人员张奔、肖治才、张嫚嫚、杨中成、杨维维 实验日期 2015/12.7
一、实验目的与要求: (简述本次实验要求达到的目的,涉及到的相关知识点,实验的具体要求及实验环境,实验环境中标明源主机、目的主机的IP地址及MAC地址) 1、实验目的 理解ARP协议的原理,掌握ARP地址欺骗的方法。 2、实验环境(标明拓扑结构、源主机、目的主机的IP地址及MAC地址) 发给A的包:数据链路层:源主机MAC:D 目的主机MAC:A ARP报头格式:源主机IP:C 目的主机IP:A 源主机MAC:D 目的主机MAC:000000-000000 发给C的包:数据链路层:源主机MAC:D 目的主机MAC:C ARP报头格式:源主机IP:A 目的主机IP:C 源主机MAC:D 目的主机MAC:000000-000000 二、实验内容 (根据本次实验项目的具体任务和要求,完成相关内容,可包括:实验原理、实验流程概述、实验具体步骤、关键技术分析、实验过程。) 1、实验原理 ARP协议是用来已知IP地址求MAC地址。在每台主机中都有一张ARP地址缓存表,当有ARP请求时,它不但会应答,还会将请求报文中ARP层的源IP和源MAC与本地缓存进行对比,若不一致,则更新。 2、实验流程概述 1)编辑ARP报文中的相关字段值 2)持续发送报文 3)各主机检查本地地ARP地址缓存表,观察D发包前后ARP缓存表的变化。 3、实验具体步骤 各主机打开工具区的“拓扑验证工具”,选择相应的网络结构,配置网卡后,进行拓扑验证,如果通过拓扑验证,关闭工具继续进行实验,如果没有通过,请检查网络连接。 本练习将主机A、C和D作为一组,主机B、E和F作为一组。现仅以主机A、C、D所在组为例,其它组的操作参考主机A、C、D所在组的操作。 1. 主机A和主机C使用“arp -a”命令察看并记录ARP高速缓存。 2. 主机A、C启动协议分析器开始捕获数据并设置过滤条件(提取ARP协议和ICMP协议)。 3. 主机A ping 主机C。观察主机A、C上是捕获到的ICMP报文,记录MAC 地址。 4. 主机D启动协议编辑器向主机A编辑ARP请求报文(暂时不发送)。其中: MAC层: