2022年ARP欺骗攻击及防 .pdf
《2022年ARP欺骗攻击及防 .pdf》由会员分享,可在线阅读,更多相关《2022年ARP欺骗攻击及防 .pdf(33页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、ARP 欺骗攻击及防范研究名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 33 页 - - - - - - - - - 摘 要伴随着计算机网络的普及和通讯技术的迅猛发展,网络信息已逐步成为当今社会发展的重要资源。 网络互连一般采用TCP/IP 协议, 由于网络及其协议的设计者,在设计之初只考虑了效率问题没有考虑网络安全的问题,所以几乎所有的网络协议都有漏洞,ARP 协议同样也存在着安全漏洞。ARP 攻击在现今的网络中频频出现,轻者造成网络性能下降,重者造成网络不通或信息被
2、盗。因此有效的防范ARP 形式的网络攻击己成为确保网络畅通安全的必要条件。本文分析了ARP 协议及其存在的漏洞,ARP 病毒的攻击原理和方式方法,对比了现有的检测、 定位和防范方法的优缺点。设计实现了一个检测、定位和防范ARP 病毒的系统。能够有效的检测到交换的ARP 缓存表, 通过对缓存中ARP 映射信息的分析,找出可能发生的欺骗或者谁是攻击者,通过远程设置交换机的ACL 等操作对检测到的危险进行处理,可以有效地对ARP 攻击进行防范和检测。关键词:校园网,ARP 病毒,检测,定位,防范名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - -
3、- - 名师精心整理 - - - - - - - 第 2 页,共 33 页 - - - - - - - - - 目 录1 绪 论 . 11.1 研究背景与意义 . 11.2 研究现状 . 11.3 高校校园网特点及安全缺陷 . 32 ARP 协议及相关理论基础. 42.1 ARP 协议的相关理论. 42.1.1 OSI 参考模型 . 42.1.2 TCP/IP 参考模型 . 52.2 ARP 协议概述 . 62.2.1 ARP 缓存 . 62.2.2 ARP 代理 . 72.2.3 免费ARP . 93 ARP 欺骗分析与测试. 10 3.1 ARP 欺骗原理 . 10 3.2 常见的ARP
4、欺骗 . 10 3.2.1 中间人欺骗 . 10 3.2.2 IP 地址冲突 . 11 3.2.3 一般主机欺骗 . 11 3.4 ARP 测试程序 ARPTable . 11 3.5 Windows 环境下的ARP 欺骗测试与分析. 12 3.5.1 IP 地址冲突的ARP 请求和应答实验. 12 3.5.2 假冒网关欺骗的ARP 请求和应答实验. 15 3.5.3 ARP 请求过程实验. 18 3.5.4 ARP 应答过程实验. 20 3.6 实验结果 . 23 4 防御ARP 欺骗系统模型实验 . 25 5 总结 . 30 6 参考文献 . 31 .名师资料总结 - - -精品资料欢迎下
5、载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 33 页 - - - - - - - - - 华东师范大学网络学院毕业论文1 1 绪 论Internet 的迅速发展使得网络已伸入到社会生活的各个层面,给人们的工作、学习、生活带来了巨大的改变,效率得到了极大的提高,信息资源得到最大程度的共享。伴随着网络的不断发展和扩大,各种网络业务如雨后春笋、层出不穷, 这其中包括电子商务、网络游戏、在线支付等新兴业务,为人类社会的进步提供了推动力。与此同时, 出于经济目的、 政治目的甚至是偏执于技术的黑客也在不停的编写各种各
6、样病毒和木马威胁着网络安全,其攻击手段不断翻新和变换,大有愈演愈烈之势。这使得计算机安全问题日益突出。所有这些都对网络安全提出了新的要求。1.1 研究背景与意义目前Internet 中广泛使用的是IPv4 协议,也就是人们常说的IP 协议( Internet Protocol) 。现行的IPv4 自 1981 年 RFC 791 标准发布以来并没有多大的改变。事实证明,IPv4 具有相当强盛的生命力,易于实现且互操作性良好,经受住了从早期小规模互联网络扩展到如今全球范围Internet 应用的考验。所有这一切都应归功于IPv4 最初的优良设计。然而, 其设计者没有预料到网络会以极大的发展速度覆
7、盖全球,出现了今日IP 地址使用紧张的局面。为了应对日益紧张的IP 地址资源,大多数学校、网吧或企业纷纷组建自己的局域网,使用代理服务器访问外部网络。通过这种方式可以节约IP 地址数量,同时也有利于局域网和外网的物理隔离,实现了局域网内信息交互的安全。作为网络底层使用的TCP/IP 协议( Transfer Control/Internet Protocol ) ,其设计之初考虑的是为本单位内部提供一个互联的信息和资源共享平台,设计基础是单位内部各网络结点之间是可以相互信赖的,没有过多的考虑安全问题。这使得TCP/IP 协议在实现上更加简单高效, 提高了运行效率, 对于协议的发展和普及也具有一
8、定意义。但它没有考虑到互联网会发展成今天这样一个全球性的网络,使得TCP/IP 协议的完全开放性存在着很多重大安全隐患。并且国内众多用户使用Windows 操作系统,出于安全考虑,微软不会像Linux 一样公布全部代码可让用户重新编写内核程序,再加上为数众多的黑客,给原本脆弱的安全体系雪上加霜。ARP,即地址解析协议,实现通过IP 地址得知其物理地址。在TCP/IP 网络环境下,每个主机都分配了一个32 位的 IP 地址,这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送,必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为
9、例, 为了正确地向目的主机传送报文,必须把目的主机的32 位 IP 地址转换成为48 位以太网的地址。这就需要在互连层有一组服务将 IP 地址转换为相应物理地址,这组协议就是ARP 协议。欺骗的存在直接危害了网内各主机的安全,以及用户的切身利益,扰乱了局域网的正常通信。研究ARP 欺骗的防御方法,有助于加强局域网的安全建设,提高局域网内各主机的通信安全,抑制ARP 欺骗的影响,同时也保证用户上网的信息资料不被非法获取。1.2 研究现状为了解决ARP 欺骗给局域网带来的安全问题,前人已经作了许多有意义的探索与实践,某些方案在实际项目的应用中已相对成熟,但也存在着一定的局限性。现对国内外几类常见防
10、御ARP 欺骗的解决方案及其局限性进行了分析与总结:(1)设置静态的ARP 缓存。在主机上使用arp -s 命令添加相应静态的ARP 缓存记名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 33 页 - - - - - - - - - 华东师范大学网络学院毕业论文2 录。攻击者如果向主机发送ARP 应答报文, 目标主机在接收此报文后也不会刷新ARP 缓存的相关映射信息,避免了ARP 欺骗的发生。 这种方法必须人工设置IP 地址和MAC 地址的映射。 仅适用于小型的局域网络,
11、并且该方法对某些操作系统无效,如 windows 2000 及windows XP sp1 以前版本系统无效。在这些系统中,即使设置了静态的ARP 缓存记录,也会因为主机接收到相关的应答报文而修改。(2)不断删除ARP 缓存内容。编制一个简单的程序,其功能为以一个固定的频率不断的使用arp d 命令删除ARP 缓存中相关的记录。该程序删除频率设定要大于ARP 欺骗频率,这样才能保证主机缓存不保留伪造的IP 地址和MAC 地址映射信息,达到抑制 ARP 欺骗的目的。但是这种方法会导致网络中出现过多的ARP 请求广播。(3)使用ARP 服务器。 ARP 服务器保存有局域网内各主机的IP 地址和MA
12、C 地址的映射信息, 并且禁用局域网内除服务器之外各主机的ARP 应答,仅保留服务器对接收到的 ARP 请求进行应答。但是必须要保证ARP 服务器的正常运行,不被黑客攻击。(4) 交换机端口绑定。 设置局域网交换机的每一个端口都与唯一的MAC 地址相对应。一旦检测出来自该端口所连接的主机的MAC 地址发生变化,就自动锁定该端口,使主机无法连接到局域网。 通过这种方式, 攻击者就无法发送伪造的ARP 报文,进而阻止了ARP 欺骗的发生。 这种方法的缺点就是不灵活。假设局域网中主机位置发生变动,仍需要管理员重新配置相应交换机的端口;并且仅高端交换机支持此项功能,一般低端交换机不支持端口绑定技术。(
13、5)划分虚拟局域网。针对ARP 欺骗不能跨网段实施的特性,将局域网划分成多个不同的虚拟局域网。 某虚拟局域网内发生ARP 欺骗不会影响到其它虚拟局域网内的主机通信。这样做缩小了ARP 欺骗影响的范围。将受信任主机放置在同一个虚拟局域网中,将绝密主机放置在另一个虚拟局域网中,有效降低无漏洞渗透的渗入。同交换机端口绑定一样,仍需要高端网络设备的支持。(6)使用通信加密。将在网络中的数据进行加密。加密后的数据即使被黑客截获,没有相应的解密算法,仍无法获取其真实的数据,即使能够采用暴力破解,也需要花费很高的时间代价。如局域网内的远程系统登录使用SSH 替换Telnet;使用SFTP 替换FTP;访问网
14、站用HTTPS 替换HTTP 等。这种方法并没有解决ARP 欺骗的问题,仅能够保证重要数据不被恶意破解。(7)删除Windows 系统中的npptools.dll (network packet provider tools helper )动态连接库。因为它容易被ARP 病毒所利用,来制造ARP 欺骗攻击。在安全模式中,打开WINDOWSSYSTEM32NPPTOOLS.DLL 文件。删除这个文件后,用零字节的文件替换。最后将 nnptools.dll 保存为只读文件,以防病毒释放该源文件进行覆盖。在 ARP 协议的改进和算法方面,前人也做了许多重要而突出的工作。分析总结如下:(1)Brus
15、chi1 提出将数字签名技术引入ARP 帧发送方验证的S-ARP 协议。它采用在源主机发送ARP 信息时,对其摘要进行签名,在目标主机接收ARP 信息时,对其签名进行验证。攻击者无法发送伪造的ARP 帧,从而加强了局域网安全。(2)Goyal2 在其论文 An Efficient Solution to the ARP Cache Poisoning Problem提出了基于数字签名和Hash 链表的的一次一密方案相结合,比较 S-ARP 协议在实现效率上有了进一步的提高。提出一种基于公钥密钥体制的安全ARP 协议TARP,即Ticket-based Address Resolution Pr
16、otocol(基于票据的地址解析协议)。票据中除包含数字签名外,还引入有效期。这种TARP 协议与S-ARP 相比,其优势为不必每次ARP 解析时都进行签名和验证,减轻了主机的负担,提高了效率。(3)郑文兵 3提出一种改进的ARP 协议算法。加入两个线性表RequestList 和ResponseList 用于保存已发送ARP 请求和接收ARP 应答信息。在发送ARP 请求报文和名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 33 页 - - - - - - - - -
17、华东师范大学网络学院毕业论文3 接收ARP 应答报文时,对这两个线性表进行相应检测,将不符合要求的报文丢弃并记录。(4)林宏刚 4提出一种主动检测和防范ARP 攻击的算法。分别对接收ARP 请求、接收ARP 应答、发送ARP 请求、发送ARP 应答这四个事件分别进行处理,采用封装TCP SYN 数据包检测目标主机存在的方法,设计了一种发送ARP 报文和更新ARP 缓存的安全性方案。1.3 高校校园网特点及安全缺陷高校校园网的以下特点导致安全管理非常复杂,具体来说存在以下特点及安全缺陷:(1)校园网的速度快规模大;(2)校园网中的计算机系统管理比较复杂;(3)用户群体比较活跃;(4)网络环境比较
18、开放;(5)盗版资源泛滥;以上各种原因导致校园网既是大量攻击的发源地,也是攻击者最容易攻破的目标。目前各种 ARP 欺骗在校园网内内横行,造成相当数量的用户出现网络连接问题。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 33 页 - - - - - - - - - 华东师范大学网络学院毕业论文4 2 ARP 协议及相关理论基础2.1 ARP 协议的相关理论ARP 协议是TCP/IP 协议族中重要的一员, 工作于OSI 参考模型的网络层与数据链路层之间。 在局域网中, 利
19、用ARP 协议可实现根据目标主机IP 地址获得其MAC 地址的功能。而以太网技术是局域网的重要组网技术。所以在研究ARP 协议之前,首先对OSI 参考模型、 TCP/IP 参考模型、以太网技术、IP 地址、 MAC 地址等相关理论基础进行研究。2.1.1 OSI 参考模型OSI 参考模型开放系统互连参考模型OSI/RM (Open System Interconnection Reference Model )是一个多层的网络协议,简称OSI。它最初是由国际标准化组织(International Standard Organization,ISO)于 1977 年成立专门机构研究所得出的一个试
20、图使各种计算机在世界范围内互连成网的标准框架。在1983 年形成了开放系统互连参考模型的正式文件,即 ISO 7498 国际标准,也就是所谓的七层协议的体系结构。开放系统互连参考模型将网络划分为七层模型,由高至低分别为:应用层(ApplicationLayer ) , 表示层(Presentation Layer) , 会话层(Session Layer) , 传输层(Transport Layer) , 网络层 (Network Layer ) ,数据链路层 (Data Link Layer )和物理层 (Physical Layer) 。该模型如图1 所示:OSI 参考模型中每一层仅与其相
21、邻的上下两层通过接口直接通信。这种分层结构使得各层的设计与测试是相对独立的。第N 层为第N+1 层提供服务,第N+1 层不必理会下层服务是如何实现的,因此第N 层的改变是不会影响到第N+1 层的,实现了层次间的透明。 OSI 各层的主要功能是:物理层:物理层处于OSI 参考模型的最低层。物理层的主要功能是利用物理传输介质(如同轴电缆、 光纤、双绞线等) 为数据链路层提供物理连接,将帧的结构和内容串行发送,每次发送一个比特,其传输的过程是透明的。数据链路层: 在物理层提供比特流传输服务的基础上,在通信的实体之间建立数据链路连接, 传送以帧为单位的数据,采用差错控制、流量控制方法,使有差错的物理线
22、路变成无差错的数据链路。网络层:网络层主要任务是通过路由器算法,为分组通过通信子网选择最适当的路径。网络层要实现路由器选择、拥塞控制与网络互连等功能。在单独的局域网中,网络层的存在名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 33 页 - - - - - - - - - 华东师范大学网络学院毕业论文5 是冗余的, 因为报文是从一台主机传送到另一台主机。传输层: 传输层的主要任务是向用户提供可靠的端到端(End-to-End)服务,透明地传送报文。它向高层屏蔽了下层数据通
23、信的细节,因而是计算机通体体系结构中最关键的一层。会话层: 会话层的主要任务是组织两个会话进程之间的通信,并管理数据的交换。会话层提供的服务之一是管理对话控制,它允许信息同时双向传输,或者只能单向传输。表示层:表示层主要用于处理在两个通信系统中交换信息的表示方式,它关注的是所传送的信息的语义和语法。它包括数据格式变换、数据加密与解密、数据压缩与恢复等功能。应用层:应用层是OSI 参考模型中的最高层。应用层确定进程之间通信的性质,以满足用户的需要。 应用层不仅要提供应用进程所需要的信息交换和远程操作,而且还要作为应用进程的用户代理(User Agent) ,来完成一些为进行信息交换所必需的功能。
24、OSI 的七层参考模型试图使全世界的计算机网络都遵循同一标准,且得到当时许多政府和公司的支持,但是由于因特网抢先在全世界覆盖相当大的范围,OSI 并没有得到有效推广。目前广泛应用的是非国际标准TCP/IP,即TCP/IP 已成为事实上的国际标准。2.1.2 TCP/IP 参考模型TCP/IP(Transfer Control/Internet Protocol )传输控制协议 /网际协议是能够在网络中提供可靠的数据传输和无连接数据报服务的一组不同的协议组合在一起构成的协议族。TCP/IP 起源于 20 世纪60 年代美国政府资助的一个分组交换网络研究项目ARPANET ,90 年代已发展成为计
25、算机之间最常用的组网形式。它没有OSI 七层体系结构的明确分层,但却比OSI 的协议运行效率高,且借助商业驱动力迅速占领市场。为了便于研究TCP/IP 协议,一般将它分为四个层次,由高至低分为应用层 ( ApplicationLayer ) , 运输层(Transport Layer ) ,网络层( Network Layer )和链路层( Link Layer ) 。TCP/IP 参考模型对应于OSI 参考模型如图 2 所示:TCP/IP 各层的主要功能:链路层: 链路层处于TCP/IP 参考模型的最底层,也称为数据链路层或网络接口层,通常包括操作系统的驱动程序和计算机中对应的网络接口卡。它
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022年ARP欺骗攻击及防 2022 ARP 欺骗 攻击
限制150内