地址局域网络环境下ARP欺骗攻击及安全防范策略（计算机网络范文）

封面

《局域网络环境下ARP欺骗攻击及安全防范策略》

Word格式可编辑可修改

精心整理放心阅读欢迎下载

文档信息

局域网络环境下ARP欺骗攻击及安全防范策略

摘要文章介绍了A RP地址解析协议的含义和工作原理分析了A RP协议所存在的安全漏洞给出了网段内和跨网段ARP欺骗的实现过程。最后结合网络管理的实际工作重点介绍了I P地址和MAC地址绑定、交换机端口和MAC地址绑定、 VLAN隔离等技术等几种能够有效防御A RP欺骗攻击的安全防范策略并通过实验验证了该安全策略的有效性。 关健词A RP协议ARP欺骗MAC地址I P地址网络安全1ARP协议简介 ARP(Address Resolution Protocol)即地址解析协议该协议将网络层的IP地址转换为数据链路层地址。 TCP IP协议中规定 IP地址为32位 由网络号和网络内的主机号构成每一台接入局域网或者Internet的主机都要配置一个IP地址。在以太网中源主机和目的主机通信时源主机不仅要知道目的主机的IP地址还要知道目的主机的数据链路层地址 即网卡的MAC地址 同时规定MAC地址为48位。 ARP协议所做的工作就是查询目的主机的I P地址所对应的MAC地址并实现双方通信。 2 ARP协议的工作原理图1网段内ARP工作原理图2夸网段ARP工作原理 源主机在传输数据前首先要对初始数据进行封装在该过程中会把目的主机的I P地址和MAC地址封装进去。在通信的最初阶段我们能够知道目的主机的IP地址而MAC地址却是未知的。这时如果目的主机和源主机在同一个网段内源主机会以第二层广播的方式发送A RP请求报文。 ARP请求报文中含有源主机的I P地址和MAC地址 以及目的主机的I P地址。当该报文通过广播方式到达目的主机时 目的主机会响应该请求并返回ARP响应

报文从而源主机可以获取目的主机的MAC地址 同样目的主机也能够获得源主机的MAC地址。如果目的主机和源主机地址不在同一个网段内源主机发出的IP数据包会送到交换机的默认网关而默认网关的MAC地址同样可以通过A RP协议获取。经过ARP协议解析I P地址之后主机会在缓存中保存IP地址和MAC地址的映射条目此后再进行数据交换时只要从缓存中读取映射条目即可。 ARP协议工作原理详见图1和图2。 3 ARP欺骗攻击的实现过程3. 1 网段内的ARP欺骗攻击A RP欺骗攻击的核心就是向目标主机发送伪造的ARP应答并使目标主机接收应答中伪造的I P与MAC间的映射对并以此更新目标主机缓存。设在同一网段的三台主机分别为  详见表1。表1 同网段主机I P地址和MAC地址对应表用户主机I P地址MAC地址

A10 10 100 100-E0-4C-11-11-11B10 10 100 200-E0-4C-22-22-22C10 10 100 300-E0-4C-33-33-33假设与是信任关系 欲向发送数据包。攻击方通过前期准备可以发现的漏洞使暂时无法工作然后发送包含自己MAC地址的ARP应答给。 由于大多数的操作系统在接收到ARP应答后会及时更新ARP缓存而不考虑是否发出过真实的ARP请求所以接收到应答后就更新它的ARP缓存建立新的I P和MAC地址映射对即的I P地址

10 10 100 2对应了的MAC地址00-E0-4C-33-33-33。这样导致就将发往的数据包发向了但和B却对此全然不知 因此C就实现对A和B的监听。 3.2 跨网段的ARP欺骗攻击 跨网段的A RP欺骗比同一网段的ARP欺骗要复杂得多它需要把ARP欺骗与I CMP重定向攻击结合在一起。假设和在同一网段 在另一网段详见表2。表2跨网段主机I P地址和MAC地址对应表用户主机

IP地址MAC地址A 10 10 100 100-E0-4C-11-11-

11B10 10 100 200-E0-4C-22-22-22C10 10 200 300-E0-4C-33-33-33 首先攻击方修改IP包的生存时间将其延长 以便做充足的广播。然后和上面提到的一样寻找主机的漏洞攻击此漏洞使主机暂时无法工作。此后攻击方发送IP地址为的IP地址10 10 100 2 MAC地址为的MAC地址00-E0-4C-33-33-33的ARP应答给。 接收到应答后更新其ARP缓存。这样在主机上的IP地址就对应的MAC地址。但是 在发数据包给时仍然会在局域网内寻找10 10 100 2的MAC地址不会把包发给路由器这时就需要进行I CMP重定向告诉主机到10 10 100 2的最短路径不是局域网而是路由请主机重定向路由路径把所有到10 10 100 2的包发给路由器。主机在接受到这个合理的I CMP重定向后修改自己的路由路径把对10 10 100 2的数据包都发给路由器。这样攻击方就能得到来自内部网段的数据包。 4 ARP欺骗攻击安全防范策略

4. 1用户端绑定 在用户端计算机上绑定交换机网关的IP和MAC地址。 1首先要求用户获得交换机网关的I P地址和MAC地址用户在DOS提示符下执行arp –a命令具体如下

C:\Documents and Settings\user>arp -aInterface: . 1 --- 0x2Internet Address Physical Address Type .254 00-40-66-77-88-d7 dynamic .254和00-30-6d-bc-9c-d7分别为网关的IP地址和MAC地址 因用户所在的区域、楼体和交换机不同其对应网关的

IP地址和MAC地址也不相同。 2编写一个批处理文件arp.bat实现将交换机网关的MAC地址和网关的I P地址的绑定 内容如下

@echo offarp -darp -s .254 00-40-66-77-88-d7 用户应该按照第一步中查找到的交换机网关的IP地址和MAC地址填入arp –s后面即可 同时需要将这个批处理软件拖到“windows--开始--程序--启动”中 以便用户每次开机后计算机自动加载并执行该批处理文件对用户起到一个很好的保护作用。 4.2网管交换机端绑定 在核心交换机上绑定用户主机的IP地址和网卡的MAC地址 同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式。 1I P和MAC地址的绑定。在核心交换机上将所有局域网络用户的I P地址与其网卡MAC地址一一对应进行全部绑定。这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的I P地址进行流量的盗取。具体实现方法如下以AVAYA三层交换机为例  P580(Conf i gure)#arp . 1 00:E0:4C: 11: 11: 11P580(Confi gure)# arp .2

00:E0:4C:22:22:22P580(Configure)# arp . 3 00:E0:4C:33:33:33

2 MAC地址与交换机端口的绑定。根据局域网络用户所在的区域、楼体和用户房间所对应的交换机端口号将用户计算机网卡的MAC地址和交换机端口绑定。此方案可以防止非法用户随意接入网络端口上网。 网络用户如果擅自改动本机网卡的MAC地址该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现上网 自然也就不会

对局域网造成干扰了。具体操作如下以A VAYA二层边缘交换机为例  coole> (enable) lock port 1/1coole> (enable) add mac

00:E0:4C:11: 11: 11 1Address 00:E0:4C: 11: 11: 11 was added to thesecure list !coole> (enable) lock port 1/2coole> (enable) addmac 00:E0:4C:22:22:22 2Address 00:E0:4C:22:22:22 was added tothe secure list !coole> (enable) lock port 1/3coole> (enable)add mac 00:E0:4C:33:33:33 3Address 00:E0:4C:33:33:33 wasadded to the secure list !coole> (enable) show camVLAN

DestMAC/Route Des Destination Port1 00:E0:4C: 11: 11: 111/11 00:E0:4C:22:22:22 1/21 00:E0:4C:33:33:33

1/34.3采用VLAN技术隔离端口 局域网的网络管理员可根据本单位网络的拓卜结构具体规划出若干个V LA N 当管理员发现有非法用户在恶意利用ARP欺骗攻击网络或因合法用户受病毒A RP病毒感染而影响网络时 网络管理员可利用技术手段首先查找到该用户所在的交换机端口然后将该端口划一个单独的V LAN将该用户与其它用户进行物理隔离 以避免对其它用户的影响。当然也可以利用将交换机端口Disable掉来屏蔽该用户对网络造成影响从而达到安全防范的目的。 5 结束语 网络欺骗攻击作为一种非常专业化的攻击手段给网络安全管理者带来了严峻的考验。 ARP欺骗是一种典型的欺骗攻击类型它利用了ARP协议存在的安全隐患并使用一些专门的攻击工具使得这种攻击变得普及并有较高的成功率。文中通过分析A RP协议的工作原理探讨了ARP协议从I P地址到MAC地址解析过程中的安全性给出了网段内和跨网段ARP欺骗的实现过程提出了几种常规可行的解决方案如在用户计算机上绑定交换机网关的IP地址和MAC

地址、在交换机上绑定用户主机的IP地址和网卡的MAC地址或绑定用户计算机网卡的MAC地址和交换机端口、 VLAN隔离等技术。如果多种方案配合使用就可以最大限度的杜绝A RP欺骗攻击的出现。总之对于A RP欺骗的网络攻击不仅需要用户自身做好防范工作之外更需要网络管理员应该时刻保持高度警惕并不断跟踪防范欺骗类攻击的最新技术做到防范于未然。参考文献 [1]邓清华陈松乔.A RP欺骗攻击及其防范[J] .微机发展 2004 14(8) :126-128.

[2]孟晓明.基于ARP的网络欺骗的检测与防范[J] .信息技术 2005

(5) :41-44. [3]徐功文陈曙时研会.ARP协议攻击原理及其防范措施[J] . 网络与信息安全 2005 (1) :4-6. [4]张海燕.A RP漏洞及其防范技术[J] .网络安全 2005 (4) :40-42. [5]王佳李志蜀.基于ARP协议的攻击原理分析[J] .微电子学与计算机 200421(4) :10-12.

“局域网络环境下ARP欺骗攻击及安全防范策略”文档源于网络本人编辑整理。本着保护作者知识产权的原则仅供学习交流请勿商用。如有侵犯作者权益请作者留言或者发站内信息联系本人我将尽快删除。谢谢您的阅读与下载