[ARP欺骗及防范研究] 防范dns欺骗攻击软件
时间:2020-03-11 07:31:34 来源:雅意学习网 本文已影响 人 
摘要:ARP协议能够对解决IP与物理地址的解析问题,然后ARP本身存在一定的缺陷,导致了其很容易被恶意使用者利用,使得主机受到ARP欺骗。本文通过对ARP欺骗的原理进行分析,提出相应的解决方案
关键词:ARP协议;欺骗;防范
中图分类号:TP309 文献标识码:A 文章编号:1007-9599 (2011) 23-0000-01
ARP Spoofing and Prevention Research
Liu Dongxu
(Suihua University,Suihua 152061,China)
Abstract:ARP protocol to resolve IP and physical address of the analytical problem,and ARP itself,there are some flaws,resulting in the malicious user can easily be used,making the host by ARP spoofing.Based on the analysis of the principle of ARP spoofing,the corresponding solution
Keywords:ARP protocol;Deception;Prevention
一、ARP协议简述
(一)ARP协议概念
所谓ARP协议就是地址解析协议,该协议将某个IP地址向物理地址转化。地址解析协议从本质上说就是将网络层地址转化为数据链路层的物理地址。
帧是局域网中主要传输单位,它包含了目标地址的物理地址。只有知道目标主机的物理地址才能确保主机与主机之间通信。地址解析就是将在帧的发送前将IP地址转化成物理地址。
(二)ARP协议工作原理
为了表示IP地址与物理地址之间的关系,每个主机都会在ARP缓冲区中存有一个ARP列表,如表1所示。
表1 ARP缓存表实例
主机 IP地址 物理地址
ZJ1 192.168.1.5 AA-AA-AA-AA-AA-AA
ZJ2 192.168.1.7 BB-BB-BB-BB-BB-BB
ZJ3 192.168.1.10 CC-CC-CC-CC-CC-CC
如果源主机要将某个数据发送到目标主机的时候,源主机会检查缓存表IP地址是否存在相应的物理地址,如果有对应的,则直接发送对应的物理地址。
假如没有对应的,那么就在本网段发出一个广播包以查询对应物理地址。这时广播包包含了源主机和目标主机的IP地址、以及源主机的物理地址。在本网段的主机收到此广播包,会依据包中信息检查是否存在符合本机的IP地址。如果没有相关对应的,则主机自动忽略广播包,如果有相同的,则将相关IP地址和物理地址添加到自己的ARP缓存表中。然后此主机向源主机发送一个响应数据包,以通知源主机所需要的物理地址;当源主机收到此响应数据包后,将相关IP地址和物理地址添加到源主机的缓存表,并以此来通信。如果在一定时间内没有收到响应数据包,那么表明查询失败。
二、ARP欺骗原理和方式
ARP协议本身存在一定的缺陷:将ARP协议设计为一个无状态可信任协议。这是因为ARP设计的人员本身的假设前提就是局域网是可信的,同时这也是保证了ARP传输的高效。
(一)ARP欺骗原理
ARP欺骗的本质就是利用了ARP协议的应答漏洞,在接受到请求或没有收到请求时,向目标主机传递一个伪造的源主机IP-物理地址映射解答。过程为如图1所示:
图1 ARP欺骗过程
1.在正常情况下,主机A向主机C发送数据包,但主机B一直在对A欺骗回答,主机B一直提供自己的IP和物理地址。
2.由于A一直接收到的是B得回答,这样A就更新自己的缓存表中的映射。
3.而缓存表更新后,把原本发给C的信息发给B了。
上述的欺骗过程,会造成网络堵塞、数据泄露或篡改等问题。一般而言,对于收到ARP攻击的会表现出网络的不稳定;上网速度较慢;大面积网络停掉后,只有对路由重新启动后才能继续上网。
(二)ARP欺骗类型
ARP欺骗主要有对路由器ARP表、网关欺骗和双向欺骗等三种类型。
1.路由器ARP表的欺骗。攻击者把虚假的ARP报文发送给路由器,使路由器一直接收到一系列错误的物理地址。由于内网主机如果在缓存表中没有相应的IP和物理地址,则会进行相应的更新。所以攻击者通过在一定的频率上不断的发送的报文给被攻击者,这样其导致不能保存新的地址。非局域网的数据无法发送到正确的物理地址,导致目标用户不能接受到所需信息。
2.网关欺骗。网关欺骗就是通过假网关的建立,让被他欺骗的计算机发送数据给假网关,这样就造成了上网不通过正常的路由器,导致计算机网络掉线,无法上网。
3.中间人攻击。所谓中间人攻击就是攻击者向被攻击发送虚假的ARP数据包,如果欺骗成功以后,攻击者就成为了通信的中间人,这种欺骗方式能够保持网络继续通畅,但中间者成为了通信的窃听者。
一般而言,ARP欺骗的后果相当严重,不仅会造成网络的掉线,故障和原因也不好被查找。在出现ARP欺骗攻击后,如果网络管理员重启下路由器,那么网络将会恢复正常,这样造成了很多人把问题归结于路由器的原因,导致无法查到ARP欺骗攻击。
三、ARP欺骗的防范
为了尽量减少ARP欺骗的攻击,必须采取相应的防欺骗措施。目前可以采用三种防护措施,下面将对其进行简单介绍:
(一)静态绑定
所谓静态绑定就是将网关和局域网中所有的物理地址与IP地址进行静态绑定。根据之前的论述,ARP欺骗是利用动态实时的规则漏洞,如果通过IP与物理地址的静态绑定即可解决这个欺骗的问题。这里静态绑定对计算机进行IP和物理地址进行绑定,而企业也要对网关进行IP和物理地址进行绑定,通过双向绑定来保证避免受到欺骗。
但是,对于局域网内的计算机数量果冻,如果对每个计算机都进行绑定,那个工作量之大无法想象。而且,在静态绑定之后,如果机子重启,那么需要进行再次绑定,即时有批处理文件,但是还是相对麻烦。
(二)使用具有ARP防护的路由器
通过使用具有ARP防护的路由器也是一种防ARP欺骗方式。带有防ARP防护的路由器是由于它可以定期发送自己正确的ARP信息平。然而,这种路由器并不能从实质上解决ARP欺骗这个问题。
ARP欺骗实施后,会出现网络掉线等现象,一般情况下,如果没有对网络掉线问题进行及时处理,网络在一段时间后也会恢复,这个主要由于ARP欺骗本身就会随着时间的推移而变弱,这样在一定时间后就会恢复。现有的具备防ARP欺骗的路由器通过发送正确的信息来促使主机恢复。但是,假如ARP欺骗在短时间内持续发送欺骗数据包,这样路由器就起不到恢复的作用。
但是实际情况下,如果局域网的设备和主机都去处理这些信息,网络资源被占用,降低了通信效率。所以在实际上,这种速度比拼很难去实施。
(三)ARP防护软件的使用
ARP防护软件较多,如欣向ARP工具、AntiARP等软件,这种软件不仅对ARP攻击进行检测,而且可以定时向网络发送正确信息。
四、结论
ARP攻击一般会与病毒和木马相结合使用,这就加深了ARP攻击的后果严重程度。一旦被攻击成功,后果带来的危险非常大。由于ARP协议本身存在的漏洞,使得防范ARP攻击变的十分困难,除了对ARP欺骗攻击采取防护措施外,还需要加强对网络流量的监控。
参考文献:
[1]李建萍,陆建德.交换网ARP安全防御系统的分析与设计[J].微计算机信息,2010,26(24):50-52
[2]金星.基于ARP的网络攻击与防御[J].计算机安全,2010,9:60-61
[3]乐德广,郭东辉,吴伯僖.PPPoE技术及其在宽带接入系统中的应用[J].计算机应用研究,2003,20(3):130-132
[4]马莉莉,罗继东.一种PPPoE环境搭建方法[J].微计算机信息,2010,26(21):184-185
[5]李兢,许勇.ARP协议的安全漏洞及抵御分析[J].计算机系统应用,2010,19(3):221-225
[6]秦丰林,段海新,郭汝廷.ARP欺骗的监测与防范技术综述[J].计算机应用研究,2009,26(1):30-33
推荐访问:欺骗 防范 研究 ARP欺骗及防范研究 如何防范arp欺骗攻击 如何有效防范arp欺骗
