ARP欺騙攻擊技術(shù)及其防范方法_第1頁(yè)
ARP欺騙攻擊技術(shù)及其防范方法_第2頁(yè)
ARP欺騙攻擊技術(shù)及其防范方法_第3頁(yè)
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、ARP欺騙攻擊技術(shù)及其防范方法 什么是ARP協(xié)議 要想了解ARP欺騙攻擊的原理,首先就要了解什么是ARP協(xié)議。ARP是地址轉(zhuǎn)換協(xié)議的英文縮寫(xiě),它是一個(gè)鏈路層協(xié)議,工作在OSI模型的第二層,在本層和硬件接口間進(jìn)行聯(lián)系,同時(shí)為上層(網(wǎng)絡(luò)層)提供服務(wù)。 我們知道,二層的以太網(wǎng)交換設(shè)備并不能識(shí)別32位的IP地址,它們是以48位以太網(wǎng)地址(就是我們常說(shuō)的MAC地址)傳輸以太網(wǎng)數(shù)據(jù)包的。因此IP地址與MAC地址之間就必須存在一種對(duì)應(yīng)關(guān)系,而ARP協(xié)議就是用來(lái)確定這種對(duì)應(yīng)關(guān)系的協(xié)議。 ARP工作時(shí),首先請(qǐng)求主機(jī)發(fā)送出一個(gè)含有所希望到達(dá)的IP地址的以太網(wǎng)廣播數(shù)據(jù)包,然后目標(biāo)IP的所有者會(huì)以一個(gè)含有IP和MAC

2、地址對(duì)的數(shù)據(jù)包應(yīng)答請(qǐng)求主機(jī)。這樣請(qǐng)求主機(jī)就能獲得要到達(dá)的IP地址對(duì)應(yīng)的MAC地址,同時(shí)請(qǐng)求主機(jī)會(huì)將這個(gè)地址對(duì)放入自己的ARP表緩存起來(lái),以節(jié)約不必要的ARP通信。ARP緩存表采用了老化機(jī)制,在一段時(shí)間內(nèi)如果表中的某一行沒(méi)有使用(Windows系統(tǒng)這個(gè)時(shí)間為2分鐘,而Cisco路由器的這個(gè)時(shí)間為5分鐘),就會(huì)被刪除。通過(guò)下面的例子我們可以很清楚地看出ARP的工作機(jī)制。 假定有如下五個(gè)IP地址的主機(jī)或者網(wǎng)絡(luò)設(shè)備,它們分別是: 通過(guò)上面的例子我們知道,在以太局域網(wǎng)內(nèi)數(shù)據(jù)包傳輸依靠的是MAC地址,IP地址與MAC對(duì)應(yīng)的關(guān)系依靠ARP表,每臺(tái)主機(jī)(包括網(wǎng)關(guān))都有一個(gè)ARP緩存表。在正常情況下這個(gè)緩存表能

3、夠有效保證數(shù)據(jù)傳輸?shù)囊粚?duì)一性,像主機(jī)B之類(lèi)的是無(wú)法截獲A與D之間的通信信息的。 但是主機(jī)在實(shí)現(xiàn)ARP緩存表的機(jī)制中存在一個(gè)不完善的地方,當(dāng)主機(jī)收到一個(gè)ARP的應(yīng)答包后,它并不會(huì)去驗(yàn)證自己是否發(fā)送過(guò)這個(gè)ARP請(qǐng)求,而是直接將應(yīng)答包里的MAC地址與IP對(duì)應(yīng)的關(guān)系替換掉原有的ARP緩存表里的相應(yīng)信息。這就導(dǎo)致主機(jī)B截取主機(jī)A與主機(jī)D之間的數(shù)據(jù)通信成為可能。 因此簡(jiǎn)單點(diǎn)說(shuō),ARP欺騙的目的就是為了實(shí)現(xiàn)全交換環(huán)境下的數(shù)據(jù)監(jiān)聽(tīng)。大部分的木馬或病毒使用ARP欺騙攻擊也是為了達(dá)到這個(gè)目的。如何發(fā)現(xiàn)及清除 局域網(wǎng)內(nèi)一旦有ARP的攻擊存在,會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和網(wǎng)關(guān),讓所有上網(wǎng)的流量必須經(jīng)過(guò)ARP攻擊者控制的主

4、機(jī)。其他用戶原來(lái)直接通過(guò)網(wǎng)關(guān)上網(wǎng),現(xiàn)在卻轉(zhuǎn)由通過(guò)被控主機(jī)轉(zhuǎn)發(fā)上網(wǎng)。由于被控主機(jī)性能和程序性能的影響,這種轉(zhuǎn)發(fā)并不會(huì)非常流暢,因此就會(huì)導(dǎo)致用戶上網(wǎng)的速度變慢甚至頻繁斷線。另外ARP欺騙需要不停地發(fā)送ARP應(yīng)答包,會(huì)造成網(wǎng)絡(luò)擁塞。 一旦懷疑有ARP攻擊我們就可以使用抓包工具來(lái)抓包,如果發(fā)現(xiàn)網(wǎng)內(nèi)存在大量ARP應(yīng)答包,并且將所有的IP地址都指向同一個(gè)MAC地址,那么就說(shuō)明存在ARP欺騙攻擊,并且這個(gè)MAC地址就是用來(lái)進(jìn)行ARP欺騙攻擊的主機(jī)MAC地址,我們可以查出它對(duì)應(yīng)的真實(shí)IP地址,從而采取相應(yīng)的控制措施。另外,我們也可以到路由器或者網(wǎng)關(guān)交換機(jī)上查看IP地址與MAC地址的對(duì)應(yīng)表,如果發(fā)現(xiàn)某一個(gè)MAC對(duì)應(yīng)了大量的IP地址,那么也說(shuō)明存在ARP欺騙攻擊,同時(shí)通過(guò)這個(gè)MAC地址查出用來(lái)ARP欺騙攻擊的主機(jī)在交換機(jī)上所對(duì)應(yīng)的物理端口,從而進(jìn)行控制。如何防范? 我們可以采取以下措施防范ARP欺騙。 (1)在客戶端使用arp命令綁定網(wǎng)關(guān)的真實(shí)MAC地址命令如下: arp (先清除錯(cuò)誤的ARP表) (2)在交換機(jī)上做端口與MAC地址的靜態(tài)綁定。 (3)在路由器上做IP地址與MAC地址的靜態(tài)綁定。 (4)使用“ARP SERVER”按一定的時(shí)間間隔廣播網(wǎng)段內(nèi)所有主機(jī)的正確IP-MAC映射表。 (5)最主要是要提高用戶的安全意識(shí),養(yǎng)成良好的

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論