ARP欺騙攻擊技術(shù)及其防范方法_第1頁
ARP欺騙攻擊技術(shù)及其防范方法_第2頁
ARP欺騙攻擊技術(shù)及其防范方法_第3頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、ARP欺騙攻擊技術(shù)及其防范方法 什么是ARP協(xié)議 要想了解ARP欺騙攻擊的原理,首先就要了解什么是ARP協(xié)議。ARP是地址轉(zhuǎn)換協(xié)議的英文縮寫,它是一個鏈路層協(xié)議,工作在OSI模型的第二層,在本層和硬件接口間進(jìn)行聯(lián)系,同時為上層(網(wǎng)絡(luò)層)提供服務(wù)。 我們知道,二層的以太網(wǎng)交換設(shè)備并不能識別32位的IP地址,它們是以48位以太網(wǎng)地址(就是我們常說的MAC地址)傳輸以太網(wǎng)數(shù)據(jù)包的。因此IP地址與MAC地址之間就必須存在一種對應(yīng)關(guān)系,而ARP協(xié)議就是用來確定這種對應(yīng)關(guān)系的協(xié)議。 ARP工作時,首先請求主機(jī)發(fā)送出一個含有所希望到達(dá)的IP地址的以太網(wǎng)廣播數(shù)據(jù)包,然后目標(biāo)IP的所有者會以一個含有IP和MAC

2、地址對的數(shù)據(jù)包應(yīng)答請求主機(jī)。這樣請求主機(jī)就能獲得要到達(dá)的IP地址對應(yīng)的MAC地址,同時請求主機(jī)會將這個地址對放入自己的ARP表緩存起來,以節(jié)約不必要的ARP通信。ARP緩存表采用了老化機(jī)制,在一段時間內(nèi)如果表中的某一行沒有使用(Windows系統(tǒng)這個時間為2分鐘,而Cisco路由器的這個時間為5分鐘),就會被刪除。通過下面的例子我們可以很清楚地看出ARP的工作機(jī)制。 假定有如下五個IP地址的主機(jī)或者網(wǎng)絡(luò)設(shè)備,它們分別是: 通過上面的例子我們知道,在以太局域網(wǎng)內(nèi)數(shù)據(jù)包傳輸依靠的是MAC地址,IP地址與MAC對應(yīng)的關(guān)系依靠ARP表,每臺主機(jī)(包括網(wǎng)關(guān))都有一個ARP緩存表。在正常情況下這個緩存表能

3、夠有效保證數(shù)據(jù)傳輸?shù)囊粚σ恍?,像主機(jī)B之類的是無法截獲A與D之間的通信信息的。 但是主機(jī)在實(shí)現(xiàn)ARP緩存表的機(jī)制中存在一個不完善的地方,當(dāng)主機(jī)收到一個ARP的應(yīng)答包后,它并不會去驗證自己是否發(fā)送過這個ARP請求,而是直接將應(yīng)答包里的MAC地址與IP對應(yīng)的關(guān)系替換掉原有的ARP緩存表里的相應(yīng)信息。這就導(dǎo)致主機(jī)B截取主機(jī)A與主機(jī)D之間的數(shù)據(jù)通信成為可能。 因此簡單點(diǎn)說,ARP欺騙的目的就是為了實(shí)現(xiàn)全交換環(huán)境下的數(shù)據(jù)監(jiān)聽。大部分的木馬或病毒使用ARP欺騙攻擊也是為了達(dá)到這個目的。如何發(fā)現(xiàn)及清除 局域網(wǎng)內(nèi)一旦有ARP的攻擊存在,會欺騙局域網(wǎng)內(nèi)所有主機(jī)和網(wǎng)關(guān),讓所有上網(wǎng)的流量必須經(jīng)過ARP攻擊者控制的主

4、機(jī)。其他用戶原來直接通過網(wǎng)關(guān)上網(wǎng),現(xiàn)在卻轉(zhuǎn)由通過被控主機(jī)轉(zhuǎn)發(fā)上網(wǎng)。由于被控主機(jī)性能和程序性能的影響,這種轉(zhuǎn)發(fā)并不會非常流暢,因此就會導(dǎo)致用戶上網(wǎng)的速度變慢甚至頻繁斷線。另外ARP欺騙需要不停地發(fā)送ARP應(yīng)答包,會造成網(wǎng)絡(luò)擁塞。 一旦懷疑有ARP攻擊我們就可以使用抓包工具來抓包,如果發(fā)現(xiàn)網(wǎng)內(nèi)存在大量ARP應(yīng)答包,并且將所有的IP地址都指向同一個MAC地址,那么就說明存在ARP欺騙攻擊,并且這個MAC地址就是用來進(jìn)行ARP欺騙攻擊的主機(jī)MAC地址,我們可以查出它對應(yīng)的真實(shí)IP地址,從而采取相應(yīng)的控制措施。另外,我們也可以到路由器或者網(wǎng)關(guān)交換機(jī)上查看IP地址與MAC地址的對應(yīng)表,如果發(fā)現(xiàn)某一個MAC對應(yīng)了大量的IP地址,那么也說明存在ARP欺騙攻擊,同時通過這個MAC地址查出用來ARP欺騙攻擊的主機(jī)在交換機(jī)上所對應(yīng)的物理端口,從而進(jìn)行控制。如何防范? 我們可以采取以下措施防范ARP欺騙。 (1)在客戶端使用arp命令綁定網(wǎng)關(guān)的真實(shí)MAC地址命令如下: arp (先清除錯誤的ARP表) (2)在交換機(jī)上做端口與MAC地址的靜態(tài)綁定。 (3)在路由器上做IP地址與MAC地址的靜態(tài)綁定。 (4)使用“ARP SERVER”按一定的時間間隔廣播網(wǎng)段內(nèi)所有主機(jī)的正確IP-MAC映射表。 (5)最主要是要提高用戶的安全意識,養(yǎng)成良好的

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論