论文部分内容阅读
摘要:ARP欺骗攻击是近来网络行业普遍的现象,文章通过分析ARP协议,给出了ARP攻击防范的几种方法。
关键词:ARP协议;ARP病毒原理;防御手段;
中图分类号:TP309.5 文献标识码:A文章编号:1007-9599 (2010) 04-0000-02
The Killer Lead to Network Slow
——ARP Virus
Chen Zhiyuan
(Qinghai Normal University,National Teachers College,Hainan813000,China)
Abstract:ARP spoofing attack is a common phenomenon in recent networking industry,the article by analyzing the ARP protocol is given several ways to prevent ARP attack.
Keywords:ARP protocol;ARP deception theory;Defense methods
ARP欺骗攻击,是近年来网络行业普遍的现象,随着ARP攻击的不断升级,不同的解决方案有很多,对ARP病毒的防制也总结了不少的经验,也不断更新防制方法。但是新的ARP病毒的变种更加猖獗,更加充斥我们网络的不同角落,给计算机的管理带来不少问题,同时也影响到网络的正常运行,所以对ARP病毒的防护仍然是一个热点问题。但有一些方案,如:使用NBTSCAN等监控软件在路由器做MAC绑定等方法。经过实际深入研究后此方法短期看来似乎有效,但在长期效果都不是很理想,对真正的ARP病毒起不了防范作用,也降低局域网工作效率。
对于ARP病毒防范,下面通过具体的ARP协议及攻击的原理,来探讨较为合理的防御方案。
一、ARP协议
ARP协议全称是(Address Resolution Protocol)是用来把一个已知的IP地址解析成MAC地址。TCP/IP网络中的两台主机要进行通信一定要知道对方的IP地址和MAC地址,为了确定目标MAC地址,源主机首先会查找自己本身的ARP缓存表。如果在ARP缓存表中查不到对方的MAC地址,源主机就会发送一个ARP广播请求,同一个网络中的所有设备收到ARP请求后就会交给网络层处理,网络层会根据目标IP与自己的IP相比较。如果相同,则目标设备会缓存源设备的IP地址和MAC地址的对应关系到自己的ARP表中,同时发送一个ARP应答,来告诉源主机它的MAC地址,源主机在接收到这个回应的数据包后,在自己的ARP表中添加目标主机的IP地址和MAC地址的对应关系,这样两台主机就可以通信了。
二、ARP病毒的攻击特点
(一)ARP病毒
ARP病毒并不是某一种病毒的名称,而是对利用ARP协议的漏洞进行传播的一类病毒的总称。
(二)ARP攻击的原理
一般计算机在网络中按原始ARP协议运作,会附在局域网接收的广播包,无条件覆盖本机缓存中的ARP/MAC对照表。而这个对照表很像一个思想不坚定,容易被其它人影响的人,ARP欺骗攻击就是利用这个特性,误导计算机发生错误。ARP攻击的原理:是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC,使其找不到网关真正的MAC地址,从而出现断网现象。
(三)ARP的攻击方式
ARP攻击方式有常见的两种方式,一是路由器ARP表的欺骗攻击,二是对内网PC的网关欺骗攻击。攻击路由器ARP表就是给客户机一个错误的网关地址使网络中的客户机无法正常使用网络(好比发送错误的地址信息给邮递员,让邮递员整个工作大乱,所有信件无法正常投递甚至投错);而攻击一般计算机就是直接给客户机发送错误信息使客户机误认为是网关,从而出现断网状态(如直接和谎称自己就是快递员的人,让用户把需要传送信息传送给虚假的快递员)。
三、ARP病毒防御的方法及存在的问题
由于路由器及一般的计算机的ARP协议的不坚定,因此只要有恶意计算机在局域网持续发出错误的地址信息,就会让计算机及路由器信以为真,作出错误的传送数据包。一般的ARP病毒就是以这样的方式,造成网络不正常,达到盗取用户密码或破坏网络运行的目的。针对ARP攻击,最好的方法是先踏踏实实把基本防制工作做好,常见的防御有以下四种作法:(1)采用ARP echo传送正确的ARP对照表方法,达到防御目的。(2)利用静态双向绑定,生成固定的ARP对照表,保证映射关系的正确。(3)利用工具软件分析ARP冲突数据包,查出病毒机。(4)采用其他协议(如:PPPoE)传送地址信息。
以上四种方法中,第二、三种方法最为方便和有效。而在局域网中,想要实施第四种方法,其工作量也是相当庞大的。下面针对前三种方法加以说明。
(一)“ARP echo”
ARP echo是最早解决ARP攻击的方案,随着ARP病毒的变异,也渐渐失去此方案的作用。目前,这个做法面对变异ARP攻击时,还会降低局域网运作的效能,断网仍然会出现。其主要原因如下:使用ARP echo方式,需要配置一台负责发送ARP echo广播的设备,当ARP攻击非常频繁时,该设备的负担将很大,因此ARP echo将无法达到理想的效果,但是很多用户仍然以这个方法来进行防制。
ARP echo处理手法最基本的有两种,一种是由路由器持续发送,另一种是在服务器安装本身就是ARP攻击软件来发送(如:网络执法官)。路由器持续发送有一些缺点是路由器本省的工作就很忙,因此无法发送高频率的数据包,因此面对ARP病毒变异的攻击防制效果不大好。鉴于此,就是用第二种ARP ECHO处理手法来持续发出正确的网关、对照表,这样把ARP攻击软件安装在服务器做法是由于服务器运算能力较强,可以同一时间内发出更多广播数据包,效果较好,但是这种做法一会大幅影响局域网工作效率,因为整个局域网都被广播包占据,二攻击软件通常会设定更高频率的广播包,误导局域网计算机,效果仍然不大理想。
存在的问题:(1)在ARP ECHO的解决方法提出后,ARP攻击出现了新的攻击方式,使用更高频率的ARP ECHO,压过服务器和客户机的ARP ECHO广播。由于发出广播包的数量之多,因此会使路由器的运算能力降低以致整个局域网变慢或上网掉包的现象。如果严重时,会导致全网掉线的情况。(2)ARP echo一般是发送网关对照信息,对于防止局域网计算机被攻欺骗有效果,但对于路由器没有效果,仍需作静态绑定的才可。
(二)“ARP静态绑定”
ARP echo的做法是不断发送网关对照信息,而ARP绑定则是针对ARP协议“思想不坚定“的基本问题来加以解决。而ARP欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险若使用ARP静态绑定方法。第一步就需要查找出局域网中发送虚假ARP信息或中了ARP病毒的主机,可以用arp-a或是ARP防火墙软件来查找。第二步对每台主机进行IP和MAC地址静态绑定。方法如下:
通过命令,arp-s可以实现“arp-s IP MAC地址”。
例如:“arp-s192.168.10.1 AA-AA-AA-AA-AA-AA”。
如果设置成功会在PC上面通过执行arp-a可以看到相关的提示:Internet Address Physical Address Type
192.168.10.1AA-AA-AA-AA-AA-AA static(静态)
一般不绑定,在动态的情况下:
Internet AddressPhysical AddressType
192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(动态)
ARP绑定的做法,无论如何都可以防止因受到攻击而掉线的情况发生。但是ARP绑定还需要作的好才有较理想的效果。只有双向绑定才能有效果地解决ARP攻击的问题,而不会发生防制效果不佳、局域网效率受影响、影响路由器效能或影响服务器效能的缺点。如果只做路由器端绑定效果是有限,局域网中的计算机仍会被欺骗,而发生掉包或掉线的情况
因此可以看出,只有路由器和计算机双向静态绑定的才是解决ARP的稍有效的解决方法,但最为网络管理员最不喜欢的就是必须一台一台加以绑定,增加工作量。所以说双向绑定是个硬工夫,可以较全面性地解决现在及未来ARP攻击的问题。
四、总结
随着计算机技术的飞速发展和网络的普及,计算机病毒种类越来越多,本文研究的ARP病毒的攻击方式及防御措施为进一步研究计算机病毒的防范奠定基础。
参考文献:
[1]张宏科,张思东,苏伟.路由器原理与技术[M].国防工业出版社.2003
[2]刘晓辉.网管从业宝典交换机路由器防火墙[M].重庆大学出版社.2008
[3]李桂玲.计算机网络安全知识问答[M].中国电力出版社.2008
[4]董民,周卫东,沈庆国.路由器原理、操作及应用[M].国防工业出版社.2006
作者简介:陈智渊(1981- ),男,青海乐都人,青海师范大学民族师范学院,本科,助教,青海师范大学物理系在职研究生,研究方向语音图像处理
关键词:ARP协议;ARP病毒原理;防御手段;
中图分类号:TP309.5 文献标识码:A文章编号:1007-9599 (2010) 04-0000-02
The Killer Lead to Network Slow
——ARP Virus
Chen Zhiyuan
(Qinghai Normal University,National Teachers College,Hainan813000,China)
Abstract:ARP spoofing attack is a common phenomenon in recent networking industry,the article by analyzing the ARP protocol is given several ways to prevent ARP attack.
Keywords:ARP protocol;ARP deception theory;Defense methods
ARP欺骗攻击,是近年来网络行业普遍的现象,随着ARP攻击的不断升级,不同的解决方案有很多,对ARP病毒的防制也总结了不少的经验,也不断更新防制方法。但是新的ARP病毒的变种更加猖獗,更加充斥我们网络的不同角落,给计算机的管理带来不少问题,同时也影响到网络的正常运行,所以对ARP病毒的防护仍然是一个热点问题。但有一些方案,如:使用NBTSCAN等监控软件在路由器做MAC绑定等方法。经过实际深入研究后此方法短期看来似乎有效,但在长期效果都不是很理想,对真正的ARP病毒起不了防范作用,也降低局域网工作效率。
对于ARP病毒防范,下面通过具体的ARP协议及攻击的原理,来探讨较为合理的防御方案。
一、ARP协议
ARP协议全称是(Address Resolution Protocol)是用来把一个已知的IP地址解析成MAC地址。TCP/IP网络中的两台主机要进行通信一定要知道对方的IP地址和MAC地址,为了确定目标MAC地址,源主机首先会查找自己本身的ARP缓存表。如果在ARP缓存表中查不到对方的MAC地址,源主机就会发送一个ARP广播请求,同一个网络中的所有设备收到ARP请求后就会交给网络层处理,网络层会根据目标IP与自己的IP相比较。如果相同,则目标设备会缓存源设备的IP地址和MAC地址的对应关系到自己的ARP表中,同时发送一个ARP应答,来告诉源主机它的MAC地址,源主机在接收到这个回应的数据包后,在自己的ARP表中添加目标主机的IP地址和MAC地址的对应关系,这样两台主机就可以通信了。
二、ARP病毒的攻击特点
(一)ARP病毒
ARP病毒并不是某一种病毒的名称,而是对利用ARP协议的漏洞进行传播的一类病毒的总称。
(二)ARP攻击的原理
一般计算机在网络中按原始ARP协议运作,会附在局域网接收的广播包,无条件覆盖本机缓存中的ARP/MAC对照表。而这个对照表很像一个思想不坚定,容易被其它人影响的人,ARP欺骗攻击就是利用这个特性,误导计算机发生错误。ARP攻击的原理:是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC,使其找不到网关真正的MAC地址,从而出现断网现象。
(三)ARP的攻击方式
ARP攻击方式有常见的两种方式,一是路由器ARP表的欺骗攻击,二是对内网PC的网关欺骗攻击。攻击路由器ARP表就是给客户机一个错误的网关地址使网络中的客户机无法正常使用网络(好比发送错误的地址信息给邮递员,让邮递员整个工作大乱,所有信件无法正常投递甚至投错);而攻击一般计算机就是直接给客户机发送错误信息使客户机误认为是网关,从而出现断网状态(如直接和谎称自己就是快递员的人,让用户把需要传送信息传送给虚假的快递员)。
三、ARP病毒防御的方法及存在的问题
由于路由器及一般的计算机的ARP协议的不坚定,因此只要有恶意计算机在局域网持续发出错误的地址信息,就会让计算机及路由器信以为真,作出错误的传送数据包。一般的ARP病毒就是以这样的方式,造成网络不正常,达到盗取用户密码或破坏网络运行的目的。针对ARP攻击,最好的方法是先踏踏实实把基本防制工作做好,常见的防御有以下四种作法:(1)采用ARP echo传送正确的ARP对照表方法,达到防御目的。(2)利用静态双向绑定,生成固定的ARP对照表,保证映射关系的正确。(3)利用工具软件分析ARP冲突数据包,查出病毒机。(4)采用其他协议(如:PPPoE)传送地址信息。
以上四种方法中,第二、三种方法最为方便和有效。而在局域网中,想要实施第四种方法,其工作量也是相当庞大的。下面针对前三种方法加以说明。
(一)“ARP echo”
ARP echo是最早解决ARP攻击的方案,随着ARP病毒的变异,也渐渐失去此方案的作用。目前,这个做法面对变异ARP攻击时,还会降低局域网运作的效能,断网仍然会出现。其主要原因如下:使用ARP echo方式,需要配置一台负责发送ARP echo广播的设备,当ARP攻击非常频繁时,该设备的负担将很大,因此ARP echo将无法达到理想的效果,但是很多用户仍然以这个方法来进行防制。
ARP echo处理手法最基本的有两种,一种是由路由器持续发送,另一种是在服务器安装本身就是ARP攻击软件来发送(如:网络执法官)。路由器持续发送有一些缺点是路由器本省的工作就很忙,因此无法发送高频率的数据包,因此面对ARP病毒变异的攻击防制效果不大好。鉴于此,就是用第二种ARP ECHO处理手法来持续发出正确的网关、对照表,这样把ARP攻击软件安装在服务器做法是由于服务器运算能力较强,可以同一时间内发出更多广播数据包,效果较好,但是这种做法一会大幅影响局域网工作效率,因为整个局域网都被广播包占据,二攻击软件通常会设定更高频率的广播包,误导局域网计算机,效果仍然不大理想。
存在的问题:(1)在ARP ECHO的解决方法提出后,ARP攻击出现了新的攻击方式,使用更高频率的ARP ECHO,压过服务器和客户机的ARP ECHO广播。由于发出广播包的数量之多,因此会使路由器的运算能力降低以致整个局域网变慢或上网掉包的现象。如果严重时,会导致全网掉线的情况。(2)ARP echo一般是发送网关对照信息,对于防止局域网计算机被攻欺骗有效果,但对于路由器没有效果,仍需作静态绑定的才可。
(二)“ARP静态绑定”
ARP echo的做法是不断发送网关对照信息,而ARP绑定则是针对ARP协议“思想不坚定“的基本问题来加以解决。而ARP欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险若使用ARP静态绑定方法。第一步就需要查找出局域网中发送虚假ARP信息或中了ARP病毒的主机,可以用arp-a或是ARP防火墙软件来查找。第二步对每台主机进行IP和MAC地址静态绑定。方法如下:
通过命令,arp-s可以实现“arp-s IP MAC地址”。
例如:“arp-s192.168.10.1 AA-AA-AA-AA-AA-AA”。
如果设置成功会在PC上面通过执行arp-a可以看到相关的提示:Internet Address Physical Address Type
192.168.10.1AA-AA-AA-AA-AA-AA static(静态)
一般不绑定,在动态的情况下:
Internet AddressPhysical AddressType
192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(动态)
ARP绑定的做法,无论如何都可以防止因受到攻击而掉线的情况发生。但是ARP绑定还需要作的好才有较理想的效果。只有双向绑定才能有效果地解决ARP攻击的问题,而不会发生防制效果不佳、局域网效率受影响、影响路由器效能或影响服务器效能的缺点。如果只做路由器端绑定效果是有限,局域网中的计算机仍会被欺骗,而发生掉包或掉线的情况
因此可以看出,只有路由器和计算机双向静态绑定的才是解决ARP的稍有效的解决方法,但最为网络管理员最不喜欢的就是必须一台一台加以绑定,增加工作量。所以说双向绑定是个硬工夫,可以较全面性地解决现在及未来ARP攻击的问题。
四、总结
随着计算机技术的飞速发展和网络的普及,计算机病毒种类越来越多,本文研究的ARP病毒的攻击方式及防御措施为进一步研究计算机病毒的防范奠定基础。
参考文献:
[1]张宏科,张思东,苏伟.路由器原理与技术[M].国防工业出版社.2003
[2]刘晓辉.网管从业宝典交换机路由器防火墙[M].重庆大学出版社.2008
[3]李桂玲.计算机网络安全知识问答[M].中国电力出版社.2008
[4]董民,周卫东,沈庆国.路由器原理、操作及应用[M].国防工业出版社.2006
作者简介:陈智渊(1981- ),男,青海乐都人,青海师范大学民族师范学院,本科,助教,青海师范大学物理系在职研究生,研究方向语音图像处理