论文部分内容阅读
摘 要:近期利用ARP 协议欺骗攻击网络的病毒在校园网中大肆传播,导致网络运行极不稳定甚至造成校园网中部分区域的网络瘫痪,这极大地影响了校园网用户的正常上网。本文首先介绍了ARP攻击原理,然后分析了ARP攻击的实现过程,最后根据我校网络现状提出并实施了一系列的解决方案。
关键词:ARP攻击 校园网 ARP包探测
中图分类号:TP309.5 文献标识码:B 文章编号:1673-8454(2009)03-0054-02
一、引言
我校的校园网由于其终端众多、网络广播域大、安全防护措施缺乏以及用户层次广等特征,导致极易被不法分子利用而造成网络严重的安全威胁和安全隐患。在校园网中,ARP(Address Resolution Protocol,地址解析协议)攻击是目前最为常见的一种攻击手段。因为ARP攻击不同于传统的病毒攻击方式,而是对网络上正常传播的数据包进行截获与病毒挂载,因此它的攻击具有非常大的隐蔽性。当网络遭受ARP欺骗攻击时,系统补丁、端口过滤等网络管理员常用的防护手段将无法起作用。因为ARP攻击利用了ARP协议本身缺陷且可以在数据链接层直接传播,特别是多种手法混用时要快速查出攻击源也非常困难。
二、ARP攻击原理
ARP 的基本功能是通过目标主机的IP 地址,查询其物理MAC 地址,以保证通信的顺利进行。然而局域网中计算机比较多,它们只有通过ARP缓存表来记忆其他终端机的网卡MAC地址。如果你的机子是在局域网中,可以通过arp-a命令来查询本机所记录的ARP缓存表。结果如下所示:
Arp-a
Interface: 192.168.1.122 ---0x10003
Internet Address Physical Address Type
192.168.1.122 00-0c-76-23-79-4d dynamic
192.168.1.1 00-0c-76-22-8a-4d dynamic
192.168.1.126 00-d0-f8-b2-e9-7f dynamic
其中第一列是计算机的IP 地址,第二列是MAC地址,“dynamic”代表动态缓存。如果以计算机A(192. 168. 1. 122)向路由器(192. 168.1. 1)发送请求为例,可以分为如下步骤进行。
(1)当A 向路由器发出请求时,查找自己的ARP 缓存表是否有路由器的IP 地址;
(2)如果找到了路由IP,则可以查找到路由器的MAC 地址,直接把路由器的MAC 地址写入帧里面发送;
(3)如果在ARP 缓存表中没有找到相对应的IP 地址,主机A 就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,向同一网段内的所有主机发出这样的询问:“192. 168. 1. 1 的MAC 地址是什么?”网络上其他主机并不响应ARP询问,只有路由器接收到这个帧时,才向主机A 做出这样的回应:“192. 168. 1. 1 的MAC 地址是00-0c-76-23-79-4d”。这样主机A就可以向目标主机发送数据,同时它还更新了自己的ARP 缓存表。
三、基于ARP 协议的攻击
1.ARP攻击的流程
针对校园网不稳定,成片掉线或者时断时续的现象,我们可以确定问题由ARP攻击造成。以上面的A主机、B主机(IP为192.168.1.126)和路由器为例来分析ARP欺骗的攻击过程。
假设主机B上存在ARP地址欺骗类病毒,那么主机B就会时刻运行ARP欺骗程序来发送ARP欺骗数据包。当主机A需要上网时,它需要查找所在局域网中的路由器,如果主机A的ARP缓存表中不存在路由器的MAC地址,它就在局域网中向各主机发送广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这时主机B向A发送了一个自己伪造的ARP应答,例如,“我的IP是192. 168. 1. 1,MAC地址是:00-d0-f8-b2-e9-7f”。当A接受到B 伪造的ARP 应答,便更新本地的ARP缓存表,于是A只有路由器的地址,但却没有路由器的正确MAC地址。A向外网发送的所有信息都被B截获,造成不能上网。具体的实现流程如图1所示。
2.ARP攻击的方式
ARP的攻击方式非常多,如:用ARP攻击Windows系统,利用IP冲突攻破用户的屏幕保护甚至可以造成用户死机;用ARP攻击交换机或者路由器,给交换机不断发送大量假MAC地址的数据包,引起数据包丢失,最终导致交换机系统的崩溃,使用户无法上网;用ARP攻击使ARP包在发送过程中进行病毒挂载,使所有Web服务器网关内的主机访问该网站而造成中毒。
四、ARP攻击防御策略
从ARP攻击原理可以得出:防范ARP欺骗攻击最大的困难在于其攻击不是针对服务器或交换机系统本身,而且攻击源可以在网段内任何一个地方隐藏。所以有时候即使我们发现了攻击的存在也无法迅速定位攻击源。因此,我们提出ARP攻击防范策略需要从三方面同时入手:加强计算机系统的安全、MAC-ARP对应表管理、网络非法ARP包探测。
1.加强计算机系统的安全
目前很多用户都因为系统存在安全漏洞,而受到ARP攻击,所以要避免遭受ARP的攻击,我们就必须先保证自己计算机系统的安全性。具体方法如下:
(1)给系统安装补丁程序,杜绝所有的后门;
(2)系统管理员需要设置足够复杂的强密码;
(3)经常更新杀毒软件的病毒库,且安装网络防火墙;
(4)关闭不必要的网页,减少病毒攻击的机率。
2.MAC-ARP对应表管理
MAC-ARP对应表的管理,我们可以采用ARP杀毒软件和病毒防火墙产品或者采用IP地址与MAC地址绑定来实现。IP地址与MAC地址的绑定在我们学校的新网络中没有应用,所以我们必须更多地考虑采用ARP杀毒软件。ARP防火墙的功能主要体现在:可以拦截ARP攻击、拦截IP冲突、拒绝服务攻击、监测ARP缓存、ARP病毒专杀和ARP缓存保护等。所以,采用ARP杀毒软件和病毒防火墙产品可以有效地维护MAC-ARP对应表的关系。
3.ARP攻击探测器
ARP攻击探测器目前在市场上还没有成熟的产品,很多大型网站都是通过自己编程来实现。其原理是:在其上存放一张局域网ARP表,记录有权威的ARP信息,嗅探器通过IDS原理在路由器镜像口侦听局域网内ARP广播包内容,如果网络内广播包与ARP表不一致,或者ARP广播帧超过合理数量的阀值,则探测器分析后会匹配到ARP欺骗特征并马上报警进行相应的策略联动。
五、总结
通过对ARP攻击的分析,我校采取了一系列解决方案,使校园网ARP病毒攻击得到较好的解决,保证了校园内正常的计算机办公与教学。
参考文献:
[1]谢希仁.计算机网络(第四版) [M].大连:大连理工大学出版社,2004.
[2]付欢,穆瑞辉. 校园网ARP 欺骗攻击及其解决方法[J].新乡教育学院学报,第21卷第2 期.
[3]刘涛,陈宝国.ARP漏洞分析及防范[J].实践与经验,2008(6).
[4]徐非.ARP协议的网络安全性研究[J].上海电力学院学报,第24卷第2期.
[5]金涛.公众网络环境中的ARP欺骗攻击与防范方法[D].上海交通大学硕士学位论文,2007.8.
关键词:ARP攻击 校园网 ARP包探测
中图分类号:TP309.5 文献标识码:B 文章编号:1673-8454(2009)03-0054-02
一、引言
我校的校园网由于其终端众多、网络广播域大、安全防护措施缺乏以及用户层次广等特征,导致极易被不法分子利用而造成网络严重的安全威胁和安全隐患。在校园网中,ARP(Address Resolution Protocol,地址解析协议)攻击是目前最为常见的一种攻击手段。因为ARP攻击不同于传统的病毒攻击方式,而是对网络上正常传播的数据包进行截获与病毒挂载,因此它的攻击具有非常大的隐蔽性。当网络遭受ARP欺骗攻击时,系统补丁、端口过滤等网络管理员常用的防护手段将无法起作用。因为ARP攻击利用了ARP协议本身缺陷且可以在数据链接层直接传播,特别是多种手法混用时要快速查出攻击源也非常困难。
二、ARP攻击原理
ARP 的基本功能是通过目标主机的IP 地址,查询其物理MAC 地址,以保证通信的顺利进行。然而局域网中计算机比较多,它们只有通过ARP缓存表来记忆其他终端机的网卡MAC地址。如果你的机子是在局域网中,可以通过arp-a命令来查询本机所记录的ARP缓存表。结果如下所示:
Arp-a
Interface: 192.168.1.122 ---0x10003
Internet Address Physical Address Type
192.168.1.122 00-0c-76-23-79-4d dynamic
192.168.1.1 00-0c-76-22-8a-4d dynamic
192.168.1.126 00-d0-f8-b2-e9-7f dynamic
其中第一列是计算机的IP 地址,第二列是MAC地址,“dynamic”代表动态缓存。如果以计算机A(192. 168. 1. 122)向路由器(192. 168.1. 1)发送请求为例,可以分为如下步骤进行。
(1)当A 向路由器发出请求时,查找自己的ARP 缓存表是否有路由器的IP 地址;
(2)如果找到了路由IP,则可以查找到路由器的MAC 地址,直接把路由器的MAC 地址写入帧里面发送;
(3)如果在ARP 缓存表中没有找到相对应的IP 地址,主机A 就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,向同一网段内的所有主机发出这样的询问:“192. 168. 1. 1 的MAC 地址是什么?”网络上其他主机并不响应ARP询问,只有路由器接收到这个帧时,才向主机A 做出这样的回应:“192. 168. 1. 1 的MAC 地址是00-0c-76-23-79-4d”。这样主机A就可以向目标主机发送数据,同时它还更新了自己的ARP 缓存表。
三、基于ARP 协议的攻击
1.ARP攻击的流程
针对校园网不稳定,成片掉线或者时断时续的现象,我们可以确定问题由ARP攻击造成。以上面的A主机、B主机(IP为192.168.1.126)和路由器为例来分析ARP欺骗的攻击过程。
假设主机B上存在ARP地址欺骗类病毒,那么主机B就会时刻运行ARP欺骗程序来发送ARP欺骗数据包。当主机A需要上网时,它需要查找所在局域网中的路由器,如果主机A的ARP缓存表中不存在路由器的MAC地址,它就在局域网中向各主机发送广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这时主机B向A发送了一个自己伪造的ARP应答,例如,“我的IP是192. 168. 1. 1,MAC地址是:00-d0-f8-b2-e9-7f”。当A接受到B 伪造的ARP 应答,便更新本地的ARP缓存表,于是A只有路由器的地址,但却没有路由器的正确MAC地址。A向外网发送的所有信息都被B截获,造成不能上网。具体的实现流程如图1所示。
2.ARP攻击的方式
ARP的攻击方式非常多,如:用ARP攻击Windows系统,利用IP冲突攻破用户的屏幕保护甚至可以造成用户死机;用ARP攻击交换机或者路由器,给交换机不断发送大量假MAC地址的数据包,引起数据包丢失,最终导致交换机系统的崩溃,使用户无法上网;用ARP攻击使ARP包在发送过程中进行病毒挂载,使所有Web服务器网关内的主机访问该网站而造成中毒。
四、ARP攻击防御策略
从ARP攻击原理可以得出:防范ARP欺骗攻击最大的困难在于其攻击不是针对服务器或交换机系统本身,而且攻击源可以在网段内任何一个地方隐藏。所以有时候即使我们发现了攻击的存在也无法迅速定位攻击源。因此,我们提出ARP攻击防范策略需要从三方面同时入手:加强计算机系统的安全、MAC-ARP对应表管理、网络非法ARP包探测。
1.加强计算机系统的安全
目前很多用户都因为系统存在安全漏洞,而受到ARP攻击,所以要避免遭受ARP的攻击,我们就必须先保证自己计算机系统的安全性。具体方法如下:
(1)给系统安装补丁程序,杜绝所有的后门;
(2)系统管理员需要设置足够复杂的强密码;
(3)经常更新杀毒软件的病毒库,且安装网络防火墙;
(4)关闭不必要的网页,减少病毒攻击的机率。
2.MAC-ARP对应表管理
MAC-ARP对应表的管理,我们可以采用ARP杀毒软件和病毒防火墙产品或者采用IP地址与MAC地址绑定来实现。IP地址与MAC地址的绑定在我们学校的新网络中没有应用,所以我们必须更多地考虑采用ARP杀毒软件。ARP防火墙的功能主要体现在:可以拦截ARP攻击、拦截IP冲突、拒绝服务攻击、监测ARP缓存、ARP病毒专杀和ARP缓存保护等。所以,采用ARP杀毒软件和病毒防火墙产品可以有效地维护MAC-ARP对应表的关系。
3.ARP攻击探测器
ARP攻击探测器目前在市场上还没有成熟的产品,很多大型网站都是通过自己编程来实现。其原理是:在其上存放一张局域网ARP表,记录有权威的ARP信息,嗅探器通过IDS原理在路由器镜像口侦听局域网内ARP广播包内容,如果网络内广播包与ARP表不一致,或者ARP广播帧超过合理数量的阀值,则探测器分析后会匹配到ARP欺骗特征并马上报警进行相应的策略联动。
五、总结
通过对ARP攻击的分析,我校采取了一系列解决方案,使校园网ARP病毒攻击得到较好的解决,保证了校园内正常的计算机办公与教学。
参考文献:
[1]谢希仁.计算机网络(第四版) [M].大连:大连理工大学出版社,2004.
[2]付欢,穆瑞辉. 校园网ARP 欺骗攻击及其解决方法[J].新乡教育学院学报,第21卷第2 期.
[3]刘涛,陈宝国.ARP漏洞分析及防范[J].实践与经验,2008(6).
[4]徐非.ARP协议的网络安全性研究[J].上海电力学院学报,第24卷第2期.
[5]金涛.公众网络环境中的ARP欺骗攻击与防范方法[D].上海交通大学硕士学位论文,2007.8.