论文部分内容阅读
摘 要: 本文对ARP欺骗的原理、中毒现象进行了分析,同时列举了ARP欺骗的主要方式,着重论述了ARP欺骗的防御技术,从而达到全面防御维护局域网络安全的目的。
关键词: ARP欺骗 原理 中毒现象 防御
随着网络技术日新月异的飞速发展,以太网技术由于标准化程度高、应用广泛、带宽提供能力强、扩展性良好、技术成熟,设备性价比高,对IP的良好支持,成为城域网和接入网的发展趋势。但是,以太网技术的开放性和其应用的广泛性,也带来了一些安全上的问题。2007年6月上旬,国家计算机病毒应急处理中心通报一种新型“地址解析协议欺骗”(简称:ARP欺骗)的恶意木马程序正在互联网络中传播。从此,ARP(Address Resolution Protocol)欺骗逐渐在小区网、校园网、企业网及网吧等局域网中蔓延,严重影响了正常网络通讯。因而如何有效防范ARP欺骗,避免受其影响,已成网络安全工作的重中之重。
一、ARP欺骗的原理及中毒现象
1.ARP欺骗的原理
ARP欺骗攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP病毒,则感染该ARP病毒的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
在局域网中,我们的通信一般都是通过ARP协议来完成IP地址到第二层物理地址(即MAC地址)的第二层转换。ARP协议对网络安全具有重要的意义。ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或“中间人”攻击。
ARP病毒是一种木马程序,其本质就是通过伪造IP地址和MAC地址实现欺骗,在网络中产生大量的ARP通信量使网络阻塞,或使信息流向实际并不存在的看似合法的“IP地址和MAC地址”主机,致使真实地接收方收不到信息。
2.中毒现象
局域网出现突然掉线,过一段时间后又会恢复正常的现象;计算机系统也会受到影响,出现IP地址冲突,频繁断网、IE浏览器频繁出错,以及一些系统内常用软件出现故障等现象;严重时会导致整个局域网瘫痪。ARP欺骗病毒只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能引起整个网络瘫痪。该病毒发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。
二、ARP欺骗的主要方式及防御技术
1.ARP欺骗的主要方式
ARP欺骗性攻击常见有以下几种。
(1)“中间人”攻击,即冒充计算机欺骗计算机,达到信息截取或传播恶意程序目的。攻击源会以正常身份伪造虚假的ARP应答,欺骗其它计算机,结果其它计算机发给被冒充计算机的数据全部被攻击源截取。如果冒充计算机启动IP转发功能,将很容易获取发往被冒充计算机的数据而不被发现或传播恶意数据。
正常的传输方式:Host A—正常数据—Host B;“中间人”攻击传输方式:Host A—正常数据—Host C—修改好的数据(带有恶意的)—Host B。
(2)ARP报文泛洪攻击。攻击源伪造出大量的ARP报文(内含MAC和IP地址),对局域网内广播,造成设备的ARP表项溢出,影响正常用户的转发,干扰正常通信。
(3)冒充网关欺骗局域网内计算机。通过建立假网关,让被它欺骗的计算机向假网关发数据,而不能通过正常的路由途径上网。从用户的角度看来,就是上不了网或网络掉线了。
(4)冒充计算机欺骗网关。这个与“中间人”攻击类似,感染ARP病毒的计算机通知网关一系列错误的内网MAC地址,并按照一定的频率不断进行,致使真实的地址信息无法通过更新保存在网关ARP表中,结果网关发给正常计算机的数据被欺骗计算机拦截或发送给并不存在的错误的MAC地址,造成正常计算机无法收到信息。
2.常用ARP欺骗的防御技术
(1)静态绑定。最常用的方法就是将IP和MAC作静态绑定,此方法适用于较小型网络。欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网计算机的欺骗。同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。
首先,在每台计算机上绑定网关IP和MAC。打开命令提示符窗口,输入命令:ARP-d,清除本地ARP缓存表,然后输入命令ARP-s网关IP网关MAC;也可将上述命令做成批处理放在启动项内,省去每次开机都要输入的麻烦。
其次,在交换机或路由器上,为每个网内IP对应的MAC地址进行静态绑定。对于内网IP是自动获取的方式,可以通过DHCP服务器进行设置IP与MAC的对应关系。
(2)安装ARP防护软件和杀毒软件。目前关于ARP类的软防火墙产品比较多,比较常用的有360安全卫士、彩影ARP防火墙、欣向巡路ARP工具和金山ARP防火墙等。常用的杀毒软件也比较多,国内品牌有瑞星、江民、金山毒霸等;国外品牌有卡巴斯基、Macfee等,但就目前使用效果而言,还没一款杀毒软件能真正查杀ARP病毒。
(3)使用具有ARP防护功能的路由设备。对于ARP病毒攻击,我们主要是通过在路由器与PC终端机进行双向绑定IP地址与MAC地址,这样即使出现ARP欺骗攻击,也不会使ARP表混乱,从而达到相应的防御目标。但是在路由器端与计算机端对IP地址与MAC地址的绑定比较复杂,需要查找每台计算机的IP地址与MAC地址,其工作量非常大,操作过程中出也容易出现问题。因而,就有了第3种防御方法,这样不但减小了工作量,而且可以有效地拒绝ARP对网关的欺骗,防止ARP病毒的攻击。
随着计算机技术的发展,ARP欺骗也在不断地发展和变化中,网络的安全需要广大网络用户和管理员共同努力,密切配合,提高警惕性,加强网络安全意识和责任感,从而减少ARP欺骗对网络的影响。
参考文献:
[1]http://www.antivirus-china.org.cn/head/yubao/yubao_227.htm.
[2]华为技术有限公司.ARP专题学习指导.2-7.
[3]王坚,梁海军.ARP欺骗原理及其防范策略的探讨[J].计算机与现代化,2008,(2):100.
[4]LionD8.ARP欺骗的技术原理及应用[J].黑客防线,2003,(11):42-44.
关键词: ARP欺骗 原理 中毒现象 防御
随着网络技术日新月异的飞速发展,以太网技术由于标准化程度高、应用广泛、带宽提供能力强、扩展性良好、技术成熟,设备性价比高,对IP的良好支持,成为城域网和接入网的发展趋势。但是,以太网技术的开放性和其应用的广泛性,也带来了一些安全上的问题。2007年6月上旬,国家计算机病毒应急处理中心通报一种新型“地址解析协议欺骗”(简称:ARP欺骗)的恶意木马程序正在互联网络中传播。从此,ARP(Address Resolution Protocol)欺骗逐渐在小区网、校园网、企业网及网吧等局域网中蔓延,严重影响了正常网络通讯。因而如何有效防范ARP欺骗,避免受其影响,已成网络安全工作的重中之重。
一、ARP欺骗的原理及中毒现象
1.ARP欺骗的原理
ARP欺骗攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP病毒,则感染该ARP病毒的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
在局域网中,我们的通信一般都是通过ARP协议来完成IP地址到第二层物理地址(即MAC地址)的第二层转换。ARP协议对网络安全具有重要的意义。ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或“中间人”攻击。
ARP病毒是一种木马程序,其本质就是通过伪造IP地址和MAC地址实现欺骗,在网络中产生大量的ARP通信量使网络阻塞,或使信息流向实际并不存在的看似合法的“IP地址和MAC地址”主机,致使真实地接收方收不到信息。
2.中毒现象
局域网出现突然掉线,过一段时间后又会恢复正常的现象;计算机系统也会受到影响,出现IP地址冲突,频繁断网、IE浏览器频繁出错,以及一些系统内常用软件出现故障等现象;严重时会导致整个局域网瘫痪。ARP欺骗病毒只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能引起整个网络瘫痪。该病毒发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。
二、ARP欺骗的主要方式及防御技术
1.ARP欺骗的主要方式
ARP欺骗性攻击常见有以下几种。
(1)“中间人”攻击,即冒充计算机欺骗计算机,达到信息截取或传播恶意程序目的。攻击源会以正常身份伪造虚假的ARP应答,欺骗其它计算机,结果其它计算机发给被冒充计算机的数据全部被攻击源截取。如果冒充计算机启动IP转发功能,将很容易获取发往被冒充计算机的数据而不被发现或传播恶意数据。
正常的传输方式:Host A—正常数据—Host B;“中间人”攻击传输方式:Host A—正常数据—Host C—修改好的数据(带有恶意的)—Host B。
(2)ARP报文泛洪攻击。攻击源伪造出大量的ARP报文(内含MAC和IP地址),对局域网内广播,造成设备的ARP表项溢出,影响正常用户的转发,干扰正常通信。
(3)冒充网关欺骗局域网内计算机。通过建立假网关,让被它欺骗的计算机向假网关发数据,而不能通过正常的路由途径上网。从用户的角度看来,就是上不了网或网络掉线了。
(4)冒充计算机欺骗网关。这个与“中间人”攻击类似,感染ARP病毒的计算机通知网关一系列错误的内网MAC地址,并按照一定的频率不断进行,致使真实的地址信息无法通过更新保存在网关ARP表中,结果网关发给正常计算机的数据被欺骗计算机拦截或发送给并不存在的错误的MAC地址,造成正常计算机无法收到信息。
2.常用ARP欺骗的防御技术
(1)静态绑定。最常用的方法就是将IP和MAC作静态绑定,此方法适用于较小型网络。欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网计算机的欺骗。同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。
首先,在每台计算机上绑定网关IP和MAC。打开命令提示符窗口,输入命令:ARP-d,清除本地ARP缓存表,然后输入命令ARP-s网关IP网关MAC;也可将上述命令做成批处理放在启动项内,省去每次开机都要输入的麻烦。
其次,在交换机或路由器上,为每个网内IP对应的MAC地址进行静态绑定。对于内网IP是自动获取的方式,可以通过DHCP服务器进行设置IP与MAC的对应关系。
(2)安装ARP防护软件和杀毒软件。目前关于ARP类的软防火墙产品比较多,比较常用的有360安全卫士、彩影ARP防火墙、欣向巡路ARP工具和金山ARP防火墙等。常用的杀毒软件也比较多,国内品牌有瑞星、江民、金山毒霸等;国外品牌有卡巴斯基、Macfee等,但就目前使用效果而言,还没一款杀毒软件能真正查杀ARP病毒。
(3)使用具有ARP防护功能的路由设备。对于ARP病毒攻击,我们主要是通过在路由器与PC终端机进行双向绑定IP地址与MAC地址,这样即使出现ARP欺骗攻击,也不会使ARP表混乱,从而达到相应的防御目标。但是在路由器端与计算机端对IP地址与MAC地址的绑定比较复杂,需要查找每台计算机的IP地址与MAC地址,其工作量非常大,操作过程中出也容易出现问题。因而,就有了第3种防御方法,这样不但减小了工作量,而且可以有效地拒绝ARP对网关的欺骗,防止ARP病毒的攻击。
随着计算机技术的发展,ARP欺骗也在不断地发展和变化中,网络的安全需要广大网络用户和管理员共同努力,密切配合,提高警惕性,加强网络安全意识和责任感,从而减少ARP欺骗对网络的影响。
参考文献:
[1]http://www.antivirus-china.org.cn/head/yubao/yubao_227.htm.
[2]华为技术有限公司.ARP专题学习指导.2-7.
[3]王坚,梁海军.ARP欺骗原理及其防范策略的探讨[J].计算机与现代化,2008,(2):100.
[4]LionD8.ARP欺骗的技术原理及应用[J].黑客防线,2003,(11):42-44.