內(nèi)網(wǎng)ARP攻擊的危害及防范方法
導(dǎo)語:本文介紹了ARP攻擊的原理以及由此引發(fā)的網(wǎng)絡(luò)安全問題,并且結(jié)合實(shí)際情況,提出在校園網(wǎng)中實(shí)施多層次的防范方法,以解決因ARP攻擊而引發(fā)的網(wǎng)絡(luò)安全問題。以下是小編整理的有關(guān)電腦安全知識(shí),希望對(duì)您有所幫助。
您是否遇到局域網(wǎng)內(nèi)頻繁性區(qū)域或整體掉線,重啟計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備后恢復(fù)正常?您的網(wǎng)速是否時(shí)快時(shí)慢,極其不穩(wěn)定,但單機(jī)進(jìn)行光纖數(shù)據(jù)測(cè)試時(shí)一切正常?您是否時(shí)常聽到教職工的網(wǎng)上銀行、游戲及QQ賬號(hào)頻繁丟失的消息?
這些問題的出現(xiàn)有很大一部分要?dú)w功于ARP攻擊,我校局域網(wǎng)自去年5月份開始ARP攻擊頻頻出現(xiàn),目前校園網(wǎng)內(nèi)已發(fā)現(xiàn)的“ARP攻擊”系列病毒已經(jīng)有了幾十個(gè)變種。據(jù)檢測(cè)數(shù)據(jù)顯示,APR攻擊從未停止過,為此有效的防范ARP形式的網(wǎng)絡(luò)攻擊已成為確保網(wǎng)絡(luò)暢通必要條件。
一、ARP的基本知識(shí)
1、什么是ARP?
ARP協(xié)議是“Address Resolution Protocol”(地址解析協(xié)議)的縮寫。在局域網(wǎng)中,網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖?ldquo;幀”,幀里面是有目標(biāo)主機(jī)的MAC地址的。在以太網(wǎng)中,一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信,必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得的呢?它就是通過地址解析協(xié)議獲得的。
所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址,查詢目標(biāo)設(shè)備的MAC地址,以保證通信的順利進(jìn)行。
在局域網(wǎng)中,通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址(即MAC地址)的,ARP協(xié)議對(duì)網(wǎng)絡(luò)安全具有重要的意義。
2、ARP協(xié)議的工作原理
正常情況下,每臺(tái)主機(jī)都會(huì)在自己的ARP緩沖區(qū)中建立一個(gè) ARP列表,以表示IP地址和MAC地址的對(duì)應(yīng)關(guān)系。當(dāng)源主機(jī)需要將一個(gè)數(shù)據(jù)包要發(fā)送到目的主機(jī)時(shí),會(huì)首先檢查自己 ARP列表中是否存在該 IP地址對(duì)應(yīng)的MAC地址,如果有﹐就直接將數(shù)據(jù)包發(fā)送到這個(gè)MAC地址;
如果沒有,就向本地網(wǎng)段發(fā)起一個(gè)ARP請(qǐng)求的廣播包,查詢此目的主機(jī)對(duì)應(yīng)的MAC地址。此ARP請(qǐng)求數(shù)據(jù)包里包括源主機(jī)的IP地址、硬件地址、以及目的主機(jī)的IP地址。網(wǎng)絡(luò)中所有的主機(jī)收到這個(gè)ARP請(qǐng)求后,會(huì)檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。
如果不相同就忽略此數(shù)據(jù)包;如果相同,該主機(jī)首先將發(fā)送端的'MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已經(jīng)存在該IP的信息,則將其覆蓋,然后給源主機(jī)發(fā)送一個(gè) ARP響應(yīng)數(shù)據(jù)包,告訴對(duì)方自己是它需要查找的MAC地址;源主機(jī)收到這個(gè)ARP響應(yīng)數(shù)據(jù)包后,將得到的目的主機(jī)的IP地址和MAC地址添加到自己的 ARP列表中,并利用此信息開始數(shù)據(jù)的傳輸。
1. 要發(fā)送網(wǎng)絡(luò)包給192.168.1.1,但不知MAC地址?
2. 在局域網(wǎng)發(fā)出廣播包“192.168.1.1的MAC地址是什么?”
3. 其他機(jī)器不回應(yīng),只有192.168.1.1回應(yīng)“192.168.1.1的MAC地址是00-aa-00-62-c6-09”
從上面可以看出,ARP協(xié)議的基礎(chǔ)就是信任局域網(wǎng)內(nèi)所有的人,那么就很容易實(shí)現(xiàn)在以太網(wǎng)上的ARP欺騙。更何況ARP協(xié)議是工作在更低于IP協(xié)議的協(xié)議層,因此它的危害就更加隱蔽。
二、ARP欺騙的原理
ARP類型的攻擊最早用于盜取密碼之用,網(wǎng)內(nèi)中毒電腦可以偽裝成路由器,盜取用戶的密碼, 后來發(fā)展成內(nèi)藏于軟件,擾亂其他局域網(wǎng)用戶正常的網(wǎng)絡(luò)通信,下面我們簡要闡述ARP欺騙的原理:假設(shè)這樣一個(gè)網(wǎng)絡(luò),一個(gè)交換機(jī)連接了3臺(tái)機(jī)器,依次是計(jì)算機(jī)A,B,C
A的地址為:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AA
B的地址為:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB
C的地址為:IP:192.168.1.3 MAC: CC-CC-CC-CC-CC-CC
第二步:正常情況下在A計(jì)算機(jī)上運(yùn)行ARP -A查詢ARP緩存表應(yīng)該出現(xiàn)如下信息。
Interface: 192.168.1.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.3 CC-CC-CC-CC-CC-CC dynamic
第三步:在計(jì)算機(jī)B上運(yùn)行ARP欺騙程序,來發(fā)送ARP欺騙包。
B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答,而這個(gè)應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD- DD-DD-DD-DD-DD(C的MAC地址本來應(yīng)該是CC-CC-CC-CC-CC-CC,這里被偽造了)。當(dāng)A接收到B偽造的ARP應(yīng)答,就會(huì)更新本地的ARP緩存(A可不知道被偽造了)。而且A不知道其實(shí)是從B發(fā)送過來的,A這里只有192.168.10.3(C的IP地址)和無效的DD-DD- DD-DD-DD-DD MAC地址。
第四步:欺騙完畢我們?cè)贏計(jì)算機(jī)上運(yùn)行ARP -A來查詢ARP緩存信息。你會(huì)發(fā)現(xiàn)原來正確的信息現(xiàn)在已經(jīng)出現(xiàn)了錯(cuò)誤。
Interface: 192.168.1.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.3 DD-DD-DD-DD-DD-DD dynamic
上面例子中在計(jì)算機(jī)A上的關(guān)于計(jì)算機(jī)C的MAC地址已經(jīng)錯(cuò)誤了,所以即使以后從A計(jì)算機(jī)訪問C計(jì)算機(jī)這個(gè)192.168.1.3這個(gè)地址也會(huì)被 ARP協(xié)議錯(cuò)誤的解析成MAC地址為DD-DD-DD-DD-DD-DD的。
當(dāng)局域網(wǎng)中一臺(tái)機(jī)器,反復(fù)向其他機(jī)器,特別是向網(wǎng)關(guān),發(fā)送這樣無效假冒的ARP應(yīng)答信息包時(shí),嚴(yán)重的網(wǎng)絡(luò)堵塞就會(huì)開始。由于網(wǎng)關(guān)MAC地址錯(cuò)誤,所以從網(wǎng)絡(luò)中計(jì)算機(jī)發(fā)來的數(shù)據(jù)無法正常發(fā)到網(wǎng)關(guān),自然無法正常上網(wǎng)。
【內(nèi)網(wǎng)ARP攻擊的危害及防范方法】相關(guān)文章:
如何防止arp的攻擊09-08
如何防止arp攻擊電腦11-23
常見的幾種web攻擊的防范辦法08-21
Linux防范病毒的方法09-05
防范電腦病毒的方法08-10
計(jì)算機(jī)病毒的防范方法11-25
方言作文的危害及矯正策略散文04-10
對(duì)付DDoS攻擊的三大絕招11-09