论文部分内容阅读
随着信息技术的发展,特别是现代高速网络技术的快速推进,各大高校对互联网的应用更加广泛。很多新的应用技术也在不断地开发并投入应用之中。但是科技从来都是“矛盾”并行的,新技术可以让我们感受到科技带来的便利,同时也会给我们“附送”新的烦恼。在我们越来越依赖互联网的时候,网络攻击的问题也更加突出。对于校园网来说,ARP攻击就是一个挥之不去的梦魇。
ARP攻击又称为“ARP欺骗”,这种攻击往往被加载到木马和病毒程序上,在校园网内快速扩散,严重干扰了校园网正常运行。ARP攻击的具体表现为:在使用校园网时经常突然掉线,过一会儿网络又可能恢复,这种现象频繁出现。如果重新启动计算机或者在命令提示符下键入“arp-d”,暂时又可以恢复网络的使用,如此周而复始。ARP攻击一般较为顽固,在一个网络中只要一台电脑有ARP病毒程序,就会导致整个网络出现间歇性中断,甚至整个网络瘫痪,危害特别大,前一段时间,各大校园网都受到不同程序的攻击。ARP攻击由于附着于木马之上,经常还兼有盗取用户QQ密码、游戏账号,以及网上银行账号等行为,给用户带来了不便甚至造成了经济损失。
鉴于ARP攻击的危害极大,对于ARP攻击的防范在校园网的应用中就为一种常规任务了。我院在遭受ARP攻击后,采用相关技术积极应对,大大减少了ARP攻击的成功率,确保了学院校园网的正常运行。下面我就我院出现的ARP攻击现象简单分析ARP攻击的过程和相应的对策。
1.ARP协议及ARP攻击原理及攻击方式
1.1ARP协议简介
ARP协议是Address Resolution Protocol地址解析协议的缩写。是一种将IP地址转化成物理地址,即MAC地址的协议,在TCP/IP局域网中以帧的方式传输数据。并且根据帧中目标主机的MAC地址来进行寻址。在TCP/IP网络中,一台主机与另一台主机进行直接通信,就必须要知道目的主机的MAC地址。这个目的MAC地址就是通过ARP协议获取的。地址解析就是主机在发送帧前将目的主机的IP地址转换成目的主机MAC地址的过程。这样即可实现各主机间的通信。
1.2ARP协议的工作方式
ARP在同网段和不同网段的工作方式略有不同。
在同网段内:源主机若要向目的主机发送信息,首先会查看本机的缓存表,确定其中是否包含有目的主机对应的ARP表。如果有目的主机对应的MAC地址,则直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给目的主机。如果在本机中没有找到目的主机对应的MAC地址,则将缓存该数据报文。然后以广播方式发送一个ARP请求报文。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求。但只有被请求的目的主机会对该请求进行处理,其他主机会自动丢弃这个请求报文。而目的主机会比较自己的IP地址和ARP请求报文中的目标IP地址。如果相同则将ARP请求报文中的源主机的IP地址和MAC地址存入自己的ARP表中,之后以单播方式发送ARP响应报文给源主机。源主机在收到ARP响应报文后会将目的主机的MAC地址加入到自己的ARP缓存表中,用于后续报文的转发。同时将IP数据包进行封装后发送出去。
在不同网段中:源主机在确认与目的主机不在同一个网段时,就会先向网关发出ARP请求报文,从收到的响应报文中获得网关的MAC地址后,将报文封装并发给网关。如果网关已经有目的主机的ARP表项,网关直接把报文发给目的主机;如果网关没有目的主机的ARP表项,网关会广播ARP请求。目标IP地址为目的主机的IP地址。当网关从收到的响应报文中获得目的主机的MAC地址后,就可以将报文发给目的主机,同时将目的主机的IP地址和MAC地址存入ARP缓存表中,以后再进行数据交换时,只需直接从缓存表中读取映射条目就可以了。
1.3ARP攻击的工作方式
从ARP协议的工作方式可以看出,由于网络中各主机是建立在互相信任的基础之上,协议本身考虑更多的是稳定性和高效性,所以ARP协议是一个高效的数据链路层协议。但是也存在如下的缺陷:ARP高速缓存根据所接收到的ARP协议包随时进行动态更新;ARP没有连接的概念,任意主机即使在没有ARP的时候也可以做出应答;ARP协议没有认证机制,只要接收到的协议包是有效的,主机就无条件地根据协议包的内容刷新本机ARP缓存,并不检查该协议包的合法性。因此攻击者可以随时发送虚假的ARP包更新被攻击主机上的ARP缓存,进行地址欺骗或拒绝服务攻击。
ARP的攻击主要分为两种形式:一种是截获网关数据,这种方法是攻击者通知网关一系列错误的内网MAC地址,并按照一定的频率不断进行改善,使真实的地址信息无法通过更新保存到网关的路由中,结果造成网关的所有数据只能发送给错误的MAC地址,造成正常的主机无法收到信息,或者信息被监听或转发。另一种是伪造网关,这种方法建立虚假的网关,让被欺骗的主机向它发送数据,而不是通过正常的网关途径上网,造成被攻击主机无法上网。
2.ARP攻击的解决思路和防御策略
2.1ARP攻击的检测
如果怀疑网络中的主机受到了ARP攻击,可以采用如下几种方法进行检测。
2.1.1进入命令提示符界面,键入“arp-a”命令,查看本机ARP的缓存。正常情况下,除网关外不会有其他记录,需要注意的是网关的MAC地址是否和正常的时候一样。在没有更换网关的网卡的情况下,如果出现不同、没有记录或者记录过多,都有可能是受到了ARP攻击。键入“arp-d”命令,查看网络是否可以恢复。如果情况有所缓解,说明已经恢复了默认的arp缓存表。
2.1.2Ping网关,看看是否出现丢包的现象,如果有丢包现象,但是又有时能够连通,则有可能受到了攻击。
2.1.3使用tracert命令跟踪网络连接。直接使用tracert连接最近的路由,检查是不是原来设定的路由,如果或者通过很多路由,就可能受到了攻击,而且通过的路径都有可能是攻击路由。
2.2ARP攻击的解决思路
2.2.1应该把网络安全信任关系建立在IP和MAC基础之上,不能仅仅建立在IP或MAC基础上(因为RARP同样可以攻击)。
2.2.2设定好静态的IP-MAC对应表,不让主机去更新绑定的ARP缓存表,从而制止ARP攻击。
2.2.3管理员定期轮询,检查主机上的ARP缓存表。
2.2.4使用ARP防火墙监视网络,发现ARP攻击及时阻断攻击源并立即追踪。
2.3ARP攻击的总体防御对策
我根据上面提到的思路,再结合我院软硬件条件,制定了一套切实可行的防御策略并着手实施。
2.3.1对整个网络进行一次全面而彻底的杀毒,而且为了避免以后再次受到ARP攻击,要求本网络内的所有计算机都安装上正版杀毒软件,并且保持随时更新。
2.3.2针对性地安装ARP防火墙,控制ARP攻击在本网内的传播和发作。
2.3.3绑定本网络中所有机器的IP-MAC地址,将本网中所有的IP地址、MAC地址及对应的使用人登记备案,以便在发生ARP攻击时快速定位攻击源。
3.总结
由于TCP/IP最初设计的应用环境是美国国防系统的内部网络,这个网络环境是互相信任的。因此,TCP/IP协议只是为了解决计算机的互联互通的问题。而当其推广到全社会的应用环境后,安全问题就发生了,其中IPv4中的ARP协议簇的安全缺陷就是来源于协议自身设计思想上的时间局限性。我对ARP协议的工作原理和安全缺陷进行了简单分析,同时根据我院受到的ARP攻击情况分析了基于ARP协议安全缺陷的攻击,并提出了针对ARP攻击的检测和防御策略。这些防御策略能有效地抵御ARP攻击,但是校园网的管理者日常管理维护的工作量相当大,网络问题也并不仅仅是ARP攻击。如果要彻底解决网络中的ARP攻击,目前最根本有效的措施就是在校园网中使用IPv6协议。因为IPv6协议簇定义了邻机发现协议(NDP),把ARP纳入NDP并运行于Internet控制报文协议(ICMP)上,使ARP更具有一般性,包括更多的内容,适用于各种链路层协议,而不用为每种链路层协议定义ARP。另外,NDP中还定义了可达性检测过程,可达性检测的目的是确认相应IP地址代表的主机或路由器是否还能收发报文,对此,IPv4还没有统一的解决方法。
本文为院级科研基金项目。
ARP攻击又称为“ARP欺骗”,这种攻击往往被加载到木马和病毒程序上,在校园网内快速扩散,严重干扰了校园网正常运行。ARP攻击的具体表现为:在使用校园网时经常突然掉线,过一会儿网络又可能恢复,这种现象频繁出现。如果重新启动计算机或者在命令提示符下键入“arp-d”,暂时又可以恢复网络的使用,如此周而复始。ARP攻击一般较为顽固,在一个网络中只要一台电脑有ARP病毒程序,就会导致整个网络出现间歇性中断,甚至整个网络瘫痪,危害特别大,前一段时间,各大校园网都受到不同程序的攻击。ARP攻击由于附着于木马之上,经常还兼有盗取用户QQ密码、游戏账号,以及网上银行账号等行为,给用户带来了不便甚至造成了经济损失。
鉴于ARP攻击的危害极大,对于ARP攻击的防范在校园网的应用中就为一种常规任务了。我院在遭受ARP攻击后,采用相关技术积极应对,大大减少了ARP攻击的成功率,确保了学院校园网的正常运行。下面我就我院出现的ARP攻击现象简单分析ARP攻击的过程和相应的对策。
1.ARP协议及ARP攻击原理及攻击方式
1.1ARP协议简介
ARP协议是Address Resolution Protocol地址解析协议的缩写。是一种将IP地址转化成物理地址,即MAC地址的协议,在TCP/IP局域网中以帧的方式传输数据。并且根据帧中目标主机的MAC地址来进行寻址。在TCP/IP网络中,一台主机与另一台主机进行直接通信,就必须要知道目的主机的MAC地址。这个目的MAC地址就是通过ARP协议获取的。地址解析就是主机在发送帧前将目的主机的IP地址转换成目的主机MAC地址的过程。这样即可实现各主机间的通信。
1.2ARP协议的工作方式
ARP在同网段和不同网段的工作方式略有不同。
在同网段内:源主机若要向目的主机发送信息,首先会查看本机的缓存表,确定其中是否包含有目的主机对应的ARP表。如果有目的主机对应的MAC地址,则直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给目的主机。如果在本机中没有找到目的主机对应的MAC地址,则将缓存该数据报文。然后以广播方式发送一个ARP请求报文。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求。但只有被请求的目的主机会对该请求进行处理,其他主机会自动丢弃这个请求报文。而目的主机会比较自己的IP地址和ARP请求报文中的目标IP地址。如果相同则将ARP请求报文中的源主机的IP地址和MAC地址存入自己的ARP表中,之后以单播方式发送ARP响应报文给源主机。源主机在收到ARP响应报文后会将目的主机的MAC地址加入到自己的ARP缓存表中,用于后续报文的转发。同时将IP数据包进行封装后发送出去。
在不同网段中:源主机在确认与目的主机不在同一个网段时,就会先向网关发出ARP请求报文,从收到的响应报文中获得网关的MAC地址后,将报文封装并发给网关。如果网关已经有目的主机的ARP表项,网关直接把报文发给目的主机;如果网关没有目的主机的ARP表项,网关会广播ARP请求。目标IP地址为目的主机的IP地址。当网关从收到的响应报文中获得目的主机的MAC地址后,就可以将报文发给目的主机,同时将目的主机的IP地址和MAC地址存入ARP缓存表中,以后再进行数据交换时,只需直接从缓存表中读取映射条目就可以了。
1.3ARP攻击的工作方式
从ARP协议的工作方式可以看出,由于网络中各主机是建立在互相信任的基础之上,协议本身考虑更多的是稳定性和高效性,所以ARP协议是一个高效的数据链路层协议。但是也存在如下的缺陷:ARP高速缓存根据所接收到的ARP协议包随时进行动态更新;ARP没有连接的概念,任意主机即使在没有ARP的时候也可以做出应答;ARP协议没有认证机制,只要接收到的协议包是有效的,主机就无条件地根据协议包的内容刷新本机ARP缓存,并不检查该协议包的合法性。因此攻击者可以随时发送虚假的ARP包更新被攻击主机上的ARP缓存,进行地址欺骗或拒绝服务攻击。
ARP的攻击主要分为两种形式:一种是截获网关数据,这种方法是攻击者通知网关一系列错误的内网MAC地址,并按照一定的频率不断进行改善,使真实的地址信息无法通过更新保存到网关的路由中,结果造成网关的所有数据只能发送给错误的MAC地址,造成正常的主机无法收到信息,或者信息被监听或转发。另一种是伪造网关,这种方法建立虚假的网关,让被欺骗的主机向它发送数据,而不是通过正常的网关途径上网,造成被攻击主机无法上网。
2.ARP攻击的解决思路和防御策略
2.1ARP攻击的检测
如果怀疑网络中的主机受到了ARP攻击,可以采用如下几种方法进行检测。
2.1.1进入命令提示符界面,键入“arp-a”命令,查看本机ARP的缓存。正常情况下,除网关外不会有其他记录,需要注意的是网关的MAC地址是否和正常的时候一样。在没有更换网关的网卡的情况下,如果出现不同、没有记录或者记录过多,都有可能是受到了ARP攻击。键入“arp-d”命令,查看网络是否可以恢复。如果情况有所缓解,说明已经恢复了默认的arp缓存表。
2.1.2Ping网关,看看是否出现丢包的现象,如果有丢包现象,但是又有时能够连通,则有可能受到了攻击。
2.1.3使用tracert命令跟踪网络连接。直接使用tracert连接最近的路由,检查是不是原来设定的路由,如果或者通过很多路由,就可能受到了攻击,而且通过的路径都有可能是攻击路由。
2.2ARP攻击的解决思路
2.2.1应该把网络安全信任关系建立在IP和MAC基础之上,不能仅仅建立在IP或MAC基础上(因为RARP同样可以攻击)。
2.2.2设定好静态的IP-MAC对应表,不让主机去更新绑定的ARP缓存表,从而制止ARP攻击。
2.2.3管理员定期轮询,检查主机上的ARP缓存表。
2.2.4使用ARP防火墙监视网络,发现ARP攻击及时阻断攻击源并立即追踪。
2.3ARP攻击的总体防御对策
我根据上面提到的思路,再结合我院软硬件条件,制定了一套切实可行的防御策略并着手实施。
2.3.1对整个网络进行一次全面而彻底的杀毒,而且为了避免以后再次受到ARP攻击,要求本网络内的所有计算机都安装上正版杀毒软件,并且保持随时更新。
2.3.2针对性地安装ARP防火墙,控制ARP攻击在本网内的传播和发作。
2.3.3绑定本网络中所有机器的IP-MAC地址,将本网中所有的IP地址、MAC地址及对应的使用人登记备案,以便在发生ARP攻击时快速定位攻击源。
3.总结
由于TCP/IP最初设计的应用环境是美国国防系统的内部网络,这个网络环境是互相信任的。因此,TCP/IP协议只是为了解决计算机的互联互通的问题。而当其推广到全社会的应用环境后,安全问题就发生了,其中IPv4中的ARP协议簇的安全缺陷就是来源于协议自身设计思想上的时间局限性。我对ARP协议的工作原理和安全缺陷进行了简单分析,同时根据我院受到的ARP攻击情况分析了基于ARP协议安全缺陷的攻击,并提出了针对ARP攻击的检测和防御策略。这些防御策略能有效地抵御ARP攻击,但是校园网的管理者日常管理维护的工作量相当大,网络问题也并不仅仅是ARP攻击。如果要彻底解决网络中的ARP攻击,目前最根本有效的措施就是在校园网中使用IPv6协议。因为IPv6协议簇定义了邻机发现协议(NDP),把ARP纳入NDP并运行于Internet控制报文协议(ICMP)上,使ARP更具有一般性,包括更多的内容,适用于各种链路层协议,而不用为每种链路层协议定义ARP。另外,NDP中还定义了可达性检测过程,可达性检测的目的是确认相应IP地址代表的主机或路由器是否还能收发报文,对此,IPv4还没有统一的解决方法。
本文为院级科研基金项目。