- 相關(guān)推薦
ARP欺騙防御技術(shù)的研究
[論文關(guān)鍵詞] ARP欺騙 防御
[論文摘要] 文章對(duì)ARP欺騙的原理、中毒現(xiàn)象進(jìn)行了分析,同時(shí)歸納了ARP欺騙的主要方式,重點(diǎn)論述了ARP欺騙的防御技術(shù),以達(dá)到全面防御維護(hù)局域網(wǎng)絡(luò)安全的目的。
2007年6月初,國(guó)家病毒應(yīng)急處理中心預(yù)報(bào)一種新型“地址解析協(xié)議欺騙”(簡(jiǎn)稱:ARP欺騙)的惡意木馬程序正在互聯(lián)網(wǎng)絡(luò)中。從此,ARP欺騙逐漸在校園網(wǎng)、小區(qū)網(wǎng)、企業(yè)網(wǎng)以及網(wǎng)吧等局域網(wǎng)中蔓延,嚴(yán)重影響了正常網(wǎng)絡(luò)通訊。如何有效防范ARP欺騙,成為普遍關(guān)注的問(wèn)題。
一、ARP欺騙的原理及中毒現(xiàn)象
1.ARP欺騙的原理
ARP病毒是一種木馬程序, 其本質(zhì)就是利用ARP本身的漏洞進(jìn)行欺騙,即通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)欺騙,在網(wǎng)絡(luò)中產(chǎn)生大量的ARP量使網(wǎng)絡(luò)阻塞,或使信息流向本不存在的有正確的“IP地址和MAC地址”虛擬主機(jī),而使個(gè)人主機(jī)無(wú)法收到信息。
典型的ARP欺騙過(guò)程如下:
假設(shè)局域網(wǎng)分別有IP地址為192.168.0.1、192.168.0.2和192.168.0.3的A、B、C三臺(tái)主機(jī),假如A和C之間正在進(jìn)行通訊,此時(shí)B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答,而這個(gè)應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.0.3 (C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB,當(dāng)A接收到B偽造的ARP應(yīng)答,就會(huì)更新本地的ARP緩存,這時(shí)B就偽裝成C了。同時(shí),B同樣向C發(fā)送一個(gè)ARP應(yīng)答,應(yīng)答包中為發(fā)送方IP地址192.168.0.1(A的IP地址),MAC地址BB-BB-BB-BB-BB-BB(A的MAC地址本來(lái)應(yīng)該是AA-AA-AA-AA-AA-AA) ,當(dāng)C收到B偽造的ARP應(yīng)答,也會(huì)更新本地ARP緩存,這時(shí)B 又偽裝成了A。這時(shí)主機(jī)A和C都被主機(jī)B欺騙,A和C之間通訊的數(shù)據(jù)都經(jīng)過(guò)了B,主機(jī)B完全劫持目標(biāo)主機(jī)與其他主機(jī)的會(huì)話。
2.中毒現(xiàn)象
局域網(wǎng)出現(xiàn)突然掉線,過(guò)一段時(shí)間后又會(huì)恢復(fù)正常的現(xiàn)象。同時(shí),網(wǎng)內(nèi)的其他計(jì)算機(jī)系統(tǒng)也會(huì)受到影響,出現(xiàn)IP地址沖突、頻繁斷網(wǎng)、IE瀏覽器頻繁出錯(cuò),以及一些系統(tǒng)內(nèi)常用軟件出現(xiàn)故障等現(xiàn)象。如果局域網(wǎng)中是通過(guò)身份認(rèn)證上網(wǎng)的,會(huì)突然出現(xiàn)可認(rèn)證,但不能上網(wǎng)的現(xiàn)象(無(wú)法ping通網(wǎng)關(guān)),重啟機(jī)器或在MS-DOS窗口下運(yùn)行命令arp -d后,又可恢復(fù)上網(wǎng)。
二、ARP欺騙的主要方式及防御技術(shù)
1.ARP欺騙的主要方式
從影響網(wǎng)絡(luò)連接的方式來(lái)看,ARP欺騙通常分為四種:
(1)冒充網(wǎng)關(guān)欺騙計(jì)算機(jī)。它是通過(guò)建立假網(wǎng)關(guān)(其實(shí)是網(wǎng)內(nèi)一普通的感染ARP病毒的主機(jī)),讓被它欺騙的計(jì)算機(jī)向假網(wǎng)關(guān)發(fā)數(shù)據(jù),而不能通過(guò)網(wǎng)關(guān)正常上網(wǎng)。在用戶的角度看來(lái),就是上不了網(wǎng)了以及網(wǎng)絡(luò)掉線了,這樣會(huì)給用戶造成系統(tǒng)網(wǎng)關(guān)出錯(cuò)的假象。
(2)冒充計(jì)算機(jī)欺騙網(wǎng)關(guān)。感染ARP病毒的計(jì)算機(jī)不斷冒充其它計(jì)算機(jī)通知網(wǎng)關(guān),并按照一定的頻率不斷進(jìn)行,結(jié)果網(wǎng)關(guān)發(fā)給正常計(jì)算機(jī)的數(shù)據(jù)被欺騙計(jì)算機(jī)攔截,造成正常計(jì)算機(jī)無(wú)法收到信息。
(3)冒充計(jì)算機(jī)欺騙計(jì)算機(jī)。攻擊源會(huì)以正常身份偽造虛假的ARP應(yīng)答,欺騙其它計(jì)算機(jī),結(jié)果其它計(jì)算機(jī)發(fā)給被冒充計(jì)算機(jī)的數(shù)據(jù)全部被攻擊源截取。如果冒充計(jì)算機(jī)啟動(dòng)IP Forword(IP轉(zhuǎn)發(fā))功能,很容易獲取發(fā)往配冒充計(jì)算機(jī)的數(shù)據(jù)而不被發(fā)現(xiàn)。
(4)ARP泛洪攻擊:攻擊源偽造大量MAC和IP地址,對(duì)局域網(wǎng)內(nèi)廣播,干擾正常通信。
2.ARP欺騙的防御技術(shù)
(1)設(shè)置靜態(tài)ARP緩存(靜態(tài)綁定)。最常用的方法就是做IP和MAC靜態(tài)綁定,在網(wǎng)內(nèi)把主機(jī)和網(wǎng)關(guān)都做IP和MAC綁定。欺騙是通過(guò)ARP的動(dòng)態(tài)實(shí)時(shí)的規(guī)則欺騙內(nèi)網(wǎng)機(jī)器,所以我們把ARP全部設(shè)置為靜態(tài)可以解決對(duì)內(nèi)網(wǎng)PC的欺騙,同時(shí)在網(wǎng)關(guān)也要進(jìn)行IP和MAC的靜態(tài)綁定,這樣雙向綁定才比較。具體操作分為兩步:
第一步在PC機(jī)上,打開DOS提示符窗口,先輸入:arp -d(清除ARP緩存表) 回車后,然后輸入arp s IP地址MAC地址(IP和MAC為網(wǎng)關(guān)的);也可作批處理文件放在啟動(dòng)項(xiàng)中,內(nèi)容如下:
@echo off
arp -d
arp -s <inet-addr> <eth-addr>
第二步在交換機(jī)或路由器上,對(duì)每個(gè)IP對(duì)應(yīng)得MAC地址進(jìn)行靜態(tài)綁定。
(2)安裝ARP防護(hù)軟件和殺毒軟件。目前關(guān)于ARP類的防護(hù)軟件也比較多了,大家比較常用的主要有360安全衛(wèi)士、欣向ARP工具和Antiarp等。目前常用的殺毒軟件也比較多,諸如卡巴斯基、Macfee、瑞星和趨勢(shì)科技等。安裝了相關(guān)軟件后,PC用戶要經(jīng)常升級(jí)病毒庫(kù)。
(3)DHCP結(jié)合靜態(tài)捆綁。通過(guò)方法①中的IP與MAC的雙向綁定,可以有效防范ARP欺騙,但是由于操作繁瑣,會(huì)大大加重網(wǎng)絡(luò)的負(fù)擔(dān)。另外,遇到那些通過(guò)ARP欺騙非法攻擊的用戶來(lái)說(shuō),他可以事先自己手動(dòng)更改IP地址,這樣檢查起來(lái)就更加復(fù)雜了。通過(guò)在網(wǎng)關(guān)上建立DHCP服務(wù)器,把DHCP的地址池或者將客戶端獲得IP的租約設(shè)置為一個(gè)非常長(zhǎng)的時(shí)間,可以固定主機(jī)MAC與IP的對(duì)應(yīng)關(guān)系,從而保證MAC地址與IP地址的惟一性 ,有效地避免ARP欺騙的發(fā)生。
三、結(jié)束語(yǔ)
ARP欺騙也在不斷的發(fā)展和變化中(如基于ARP欺騙的DDoS攻擊),希望廣大網(wǎng)絡(luò)管理員密切注意它,從而減少ARP欺騙對(duì)我們網(wǎng)絡(luò)的影響。
參考文獻(xiàn):
[1]http://www.antivirus-china.org.cn/head/yubao/yubao_227.htm[EB/OL].國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心
[2]王堅(jiān)梁海軍:ARP欺騙原理及其防范策略的探討[J].計(jì)算機(jī)與現(xiàn)代化,2008(2):100
【ARP欺騙防御技術(shù)的研究】相關(guān)文章:
冬小麥越冬的防御技術(shù)淺析10-02
談冬小麥越冬的防御技術(shù)10-18
ARP病毒的攻擊原理分析10-15
淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)的防御技術(shù)10-23
談?dòng)?jì)算機(jī)網(wǎng)絡(luò)的防御技術(shù)07-21
探析計(jì)算機(jī)網(wǎng)絡(luò)的防御技術(shù)08-28
新時(shí)期信息安全主動(dòng)防御系統(tǒng)研究論文08-30
淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)防御策略求精關(guān)鍵技術(shù)研究論文10-21