ARP欺骗技术的研究与实践Word文档格式.docx
- 文档编号:16207775
- 上传时间:2022-11-21
- 格式:DOCX
- 页数:30
- 大小:369.68KB
ARP欺骗技术的研究与实践Word文档格式.docx
《ARP欺骗技术的研究与实践Word文档格式.docx》由会员分享,可在线阅读,更多相关《ARP欺骗技术的研究与实践Word文档格式.docx(30页珍藏版)》请在冰豆网上搜索。
锐捷GSN;
IEEE802.1x;
邻居发现协议
目录
1引言1
1.1课题研究的背景和意义1
1.2论文的主要内容和章节安排1
2ARP欺骗技术3
2.1ARP协议概述3
2.1.1ARP协议的定义3
2.1.2ARP协议的工作原理3
2.2ARP欺骗4
2.2.1何为ARP欺骗4
2.2.2ARP欺骗攻击的危害5
2.2.3ARP欺骗产生的根源5
2.3ARP欺骗的主要攻击方式6
2.3.1攻击主机冒充网关欺骗正常主机6
2.3.2攻击主机冒充正常主机欺骗网关6
2.3.3基于ARP的“中间人”攻击7
2.3.4Flooding攻击8
2.3.5ARP网页劫持攻击8
2.4简单模拟ARP欺骗9
2.4.1采用软件模拟ARP欺骗9
2.4.2采用编程模拟ARP欺骗11
3ARP欺骗的防御技术11
3.1ARP欺骗的检测11
3.1.1手动检测11
3.1.2自动检测12
3.2ARP欺骗攻击的防御13
3.2.1手动防御13
3.2.2自动防御14
……17
4校园网ARP欺骗的立体防御方案18
4.1基于802.1x协议的认证防御18
4.1.1IEEE802.1x认证系统18
4.1.2基于802.1x认证的ARP防御技术20
4.2锐捷GSN解决方案原理20
4.2.1用户身份合法性验证21
4.2.2确保真实ARP信息来源21
4.2.3中立的第三方ARP授信体系21
4.2.4建立可信任ARP机制21
4.2.5在网关设备上增加可信ARP表项22
4.3GSN防御体系的组成23
4.3.1SMP23
4.3.2Gateway23
4.3.3NAS24
4.3.4SU24
4.4GSN+ARP-Check的整体防御24
5IPv6的邻居发现协议25
5.1邻居发现协议的定义25
5.2邻居发现协议的安全缺陷分析26
5.3邻居发现协议的攻击方式26
5.4邻居发现协议和ARP协议的比较27
5.4.1发送机制27
5.4.2所处层次27
5.4.3可达性检测维护27
5.4.4HopLimit字段27
6结论28
参考文献29
1引言
本章阐析开展本课题研究的背景和意义,扼要说明课题研究的主要内容和章节安排。
1.1课题研究的背景和意义
信息化进程的深入和互联网的迅速发展,为人们的工作、学习、生活带来了巨大变化。
网络的迅速发展,在给人类生活带来方便的同时,也对网络安全提出了更高要求。
网络协议安全是网络安全的重要环节,因此对网络协议的分析和利用越来越受到普遍关注。
互联网的发展很大程度上归功于TCP/IP协议运行的高效性和开放性,然而TCP/IP协议在实现过程中忽略了对网络安全方面的考虑,致使其存在着较多安全隐患,其中ARP协议的安全漏洞引发的欺骗攻击较之其他协议最为典型。
校园网是CERNET/Internet的基本组成单位,是为学校师生员工的教学、科研、管理、服务、文化娱乐等提供服务的信息支撑平台,是学校必不可少的基础设施。
校园网有用户数量大、用户类型复杂、管理策略复杂、流量大、网络安全威胁性大等特点。
如果网络安全问题不能够有效的解决,势必将影响校园网的教学科研服务作用的发挥。
要保证整个网络的安全性,必须从多个层次和多个方面考虑网络的安全性,采取相应的防护措施,减少网络遭受攻击的可能性,达到保证网络安全的目的。
近两年,ARP欺骗攻击在局域网中频繁出现,特别是一些木马或病毒程序容易利用ARP欺骗原理来对网络用户进行攻击,感染了这类木马或病毒的计算机会自动发送ARP欺骗数据包来扰乱局域网中各主机的ARP地址列表,致使同一网段上的大多用户频繁断网,导致整个局域网无法正常运行,严重时可导致网络大面积瘫痪,给网络管理者增添了巨大的压力。
而且受到ARP欺骗攻击的用户还很容易被窃取私密信息。
同时,ARP欺骗作为传播网页木马病毒的传播手段,当一台主机感染带有这种ARP欺骗功能的病毒后,会在局域网内发动ARP欺骗,它会监听局域网内所有主机的数据包,一旦发现其它主机有访问WEB网页的行为后,就会通过修改相应的数据封包在你访问的网页代码里加入包含有木马程序的网页链接。
从而导致局域网内其它主机不管访问什么网站都会被导引到含有木马病毒的网站上去。
基于这些情况,深入了解ARP协议的原理,剖析ARP欺骗产生的根源,研究分析ARP欺骗的方式,探讨ARP欺骗的检测、防御技术,并给出一种ARP欺骗整体防御的解决思路,制定出有效的防御措施,对网络安全运行有着极其重要的意义。
1.2论文的主要内容和章节安排
论文在深入分析ARP协议原理的基础上,探讨了几种常见的ARP欺骗攻击方式,一些较为有效的ARP欺骗检测和防御手段,并结合参与学院校园网络安全整体防御体系项目的实施和管理,融合锐捷GSN、IEEE802.1x、ARP-Check技术,给出一种立体防御ARP欺骗的解决方案。
第1章阐析开展课题研究的背景和意义,扼要说明课题研究的主要内容和章节安排。
第2章详细分析了ARP协议的定义、工作原理、产生的危害和欺骗产生的根源,探讨了五种主要的ARP欺骗攻击方式,并给出基于虚拟化技术的两种模拟ARP欺骗的实验方法。
第3章在实践的基础上,总结了一些较为有效的ARP欺骗检测和防御手段,并分析它们优劣特点和适用的环境,扬长避短、相互结合,以期达到更好的防御效果。
第4章结合参与学院校园网络的实践,着重探究校园网ARP欺骗的立体防御方案体系,多角度、多元素协同防御,实现对网络病毒和攻击等安全事件自动发现、自动处理、自动通知、自动解除的全局安全联动。
主要包括基于802.1x协议的认证防御、锐捷GSN方案的原理、GSN防御体系的构成和GSN+ARP-Check体系几个部分。
第5章扼要介绍IPV6邻居发现协议的定义、存在的一些安全缺陷及其与IPV4ARP协议的比较,旨在后续课题的研究。
2ARP欺骗技术
本章详细分析了ARP协议的定义、工作原理、产生的危害和欺骗产生的根源,探讨了五种主要的ARP欺骗攻击方式,并给出基于虚拟化技术的两种模拟ARP欺骗的实验方法。
2.1ARP协议概述
2.1.1ARP协议的定义
ARP(AddressResolutionProtocol),即地址解析协议,是TCP/IP协议簇中重要的基础协议之一。
它工作于OSI/RM七层模型中的第二层数据链路层(DataLinkLayer),在本层与下层物理层之间通过硬件接口进行联系,同时也为上层网络层提供服务。
当局域网中的网络节点进行通信时,就需要由ARP协议通过目标设备的IP地址,查询目标设备的MAC地址,以保证网络节点间通信的正常进行。
换言之,ARP协议的主要功能就是负责把目标设备网络层的IP地址转变成其数据链路层的MAC地址,建立IP地址和MAC地址之间的一一映射关系,使网络节点间通信的数据帧能够在链路中正确传输。
2.1.2ARP协议的工作原理
数据链路如以太网或令牌环网都有自己的寻址机制。
在局域网中实际传输的是数据帧,真正用来寻址的是MAC地址,而IP数据包是通过网络层传输的。
因为二层的以太网设备并不识别32位的IP地址,设备驱动程序从不检查IP数据包中的目的IP地址,它们是以48位物理地址(MAC地址)传输以太网帧的。
所以,当网络中一台主机要和另一台主机进行直接通信时,必须知道目标主机的MAC地址,即利用ARP地址解析协议把目标IP地址解析为目标MAC地址,建立IP-MAC对应关系以保证通信的顺利进行。
在此,我们可以举例说明ARP协议工作的具体过程。
局域网中的主机A要向主机B发送数据,建立通讯时,主机A会首先检查自己的ARP缓存表中是否存在目的主机B的IP-MAC地址对应关系表项。
如果存在,TCP/IP协议栈会直接将主机B的MAC地址写入数据帧中发送。
如果不存在,则主机A会向网内所有主机广播一个ARPRequest报文,其中目的IP地址为主机B的IP,目的MAC地址为“FF.FF.FF.FF.FF.FF”,以此来询问主机B的IP对应的MAC地址是什么。
一般情况下,网络上的其它主机并不响应该ARPRequest报文,而只有当主机B收到该报文时才会创建一个ARPReply报文,并发回给主机A。
该ARPReply报文中包含了主机B的IP和MAC地址。
主机A接收到回复后会将主机B的IP-MAC地址对应关系保存在自己的ARP缓存表中,若下次再请求与同一IP地址的主机通信时,就从缓存表中直接获取目的主机的MAC地址即可,而无需再发送ARPRequest广播报文询问。
ARP协议的工作原理如图2-1所示。
图2-1ARP协议的工作原理
在上段ARP工作过程中提到的ARP缓存表,是在每一台安装有TCP/IP协议的主机里都维护的一张IP-MAC地址一一对应的关系表。
它采用了老化机制(Windows系统中的老化时间默认为2分钟,Cisco路由器默认为5分钟),在一段时间内,如果缓存表中的某一行数据没有使用,该行数据就会被自动删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
ARP缓存表结构如图2-2所示。
图2-2ARP缓存表结构
2.2ARP欺骗
2.2.1何为ARP欺骗
笼统地讲,ARP欺骗是一种使计算机网络无法正常运行的攻击手段,即利用ARP协议的漏洞,通过向目标主机发送虚假ARP报文,来实现监听或截获目标主机通信数据。
一些木马或病毒程序通过利用ARP欺骗,对网络用户及网络运行环境产生影响甚至是破坏。
为了较好地了解ARP欺骗,我们可以简单举例说明。
ARP协议并不只是在发送了ARP请求才接收ARP应答。
当计算机接收到ARP应答数据包的时候,只要应答包中的IP地址正确,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。
假设局域网中的主机A和C通信,当主机A广播了一个ARPRequest报文后,本该由主机C进行回复,此时却是主机B更早地将自己伪造的ARPReply报文发送给主机A,从而冒充C与A进行通信。
伪造的Reply报文中包含了主机C的IP地址和主机B的MAC地址。
这样,在主机A收到回复后便会将这条错误的IP-MAC地址对应关系更新到自己的ARP缓存表里。
由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。
所以会导致主机A不能Ping通主机C,造成网络不通。
这就是一个简单的ARP欺骗。
2.2.2ARP欺骗攻击的危害
一般情况下,网络中的攻击者会制造出一些木马或病毒之类的利用ARP欺骗攻击手段的程序来威胁网络安全。
所以,如果受到此类ARP欺骗程序的攻击,其中毒现象表现为:
使用局域网时,用户会突然掉线、频繁断网,IE浏览器频繁出错,之后过一段时间又会恢复正常。
若局域网中用户是通过客户端身份认证上网的,会出现客户端状态频繁掉线,或者可以认证但却Ping不通网关、不能上网,然后重启交换机或路由器、或者在MS-DOS命令窗口中运行arp–d之后,用户又可恢复上网。
攻击者可以利用此类木马或病毒程序来截获用户数据,如盗取QQ账号密码、盗取各种网络游戏密码和账号、盗窃网上银行账号去进行非法交易活动等,给普通用户造成了巨大的不便甚至是经济损失。
而且ARP欺骗木马或病毒只需成功感染一台计算机,就可能影响整个局域网运行,严重的时候可能带来网络的瘫痪。
再者,攻击者也可能基于ARP协议的工作特性,不断向对方计算机发送带有诈欺性质的ARP数据包,其中包含与当前设备重复的MAC地址,使对方在回应ARP报文时,由于简单的地址重复错误导致不能进行正常的网络通信。
2.2.3ARP欺骗产生的根源
ARP协议作为一个局域网协议,其设计初衷是为了方便数据的高效传输,设计前提也是在网络绝对安全的情况下。
换言之,ARP协议是建立在局域网内各主机相互信任的基础之上,它本身不作任何安全检测,并没有一套安全机制来确保信息的真实性、完整性、可用性。
因此,ARP协议所具有的广播性、无状态性、无认证性、无关性和动态性等一系列安全缺陷,为ARP欺骗的产生提供了有利条件。
ARPRequest报文以广播形式发送
由于局域网内的计算机不知道通信对方的MAC地址,所以需要广播ARPRequest报文。
这样,攻击者就可以伪装ARPReply报文,与广播者真正想要通信的主机竞争。
同时,攻击者也可以不间断地在网内广播ARPRequest,造成网络的缓慢甚至阻塞。
ARP协议是无状态的
局域网内任何主机即使在没有接收到ARPRequest的情况下也可以随意发送ARPReply报文。
而且只要应答包的内容格式等是有效的,接收到应答包的主机都会无条件地根据其内容更新本机的ARP缓存表,而不论主机是否曾发出过请求。
ARP应答无需认证
因为ARP协议设计时出于传输效率上的考虑,默认情况下是信任网内的所有节点的,于是在数据链路层没有对接收到的ARPReply报文进行安全验证。
只要是存在于ARP缓存表里的IP/MAC映射以及接收到的ARPReply中的IP/MAC映射关系,ARP协议都认为是可信任的,没有对它们的真实性和有效性进行检验,也没有维护其一致性。
ARP缓存表基于高速缓存和动态更新
当主机收到ARP相应数据包后,即使是伪造的,也会查找自己的缓冲区,并进行相应的更新.正常的计算机的MAC地址更新都有一定的时间间隔.因此,攻击者如果在下次更新之前成功地修改了被攻击机器上的地址缓存,它就可以假冒或者拒绝服务攻击。
2.3ARP欺骗的主要攻击方式
2.3.1攻击主机冒充网关欺骗正常主机
仿冒网关攻击是指攻击主机通过伪造并在局域网内发送源IP地址为网关IP地址、源MAC地址为伪造的MAC地址的ARPReply报文给被攻击的主机,使得这些主机在自己的ARP缓存表上更新网关IP-MAC地址的对应关系。
仿冒网关的攻击通常表现为:
在同一局域网中,有一部分主机无法上网,重启这些主机后又恢复正常,但是过一段时间后网络再次中断。
于是在命令行窗口中键入arp–a,查看这些无法上网的主机的ARP表,发现网关的MAC地址是错误的。
也就是说,主机访问网关的流量被重定向到一个错误的MAC地址,导致用户无法正常访问外网。
2.3.2攻击主机冒充正常主机欺骗网关
攻击主机冒充正常主机欺骗网关,是指攻击者通过伪造并发送源IP地址为同网段内某台合法用户的IP地址,源MAC地址为伪造的MAC地址的ARPReply报文给网关,使得网关更新自身ARP缓存表中原合法用户的IP-MAC地址对应关系。
这种欺骗网关的攻击一般表现为:
网络中部分主机掉线,甚至全网内主机都无法上网。
查看路由器的ARP表项,发现很多错误地址,所有被攻击者的IP地址对应的MAC地址都为攻击者的MAC地址。
然后重启路由器后能短暂恢复正常,但是过一段时间之后主机又开始掉线。
而这些现象的发生都是因为网关发送给该用户的所有数据全部定向到一个错误的MAC地址,导致该用户无法正常访问外网。
2.3.3基于ARP的“中间人”攻击
“中间人”攻击(Man-In-The-Middle,MITM),是一种利用一定手段在两台或多台主机之间人为地加入一台透明主机,“间接”的入侵攻击方式。
这种攻击对其他用户是透明的,因此这台主机就称为“中间人”。
“中间人”能够与原始主机建立连接、截获并篡改它们的通信数据。
由于“中间人”对于原通信双方是透明的,使得“中间人”很难被发现,也就使得这种攻击更加具有隐蔽性。
“中间人”攻击常用的一种手段就是通过ARP欺骗的方式来实现的。
基于ARP的“中间人”攻击又称为ARP双向欺骗,这种说法是相对于攻击主机冒充网关或主机的单向ARP欺骗而言的。
假设有主机C想窃取主机A和主机B之间的通信,那么它就可以分别伪造ARPReply报文发送给A、B这两台主机,使他们无验证地更新自身ARP缓存表中的相应的IP-MAC对应关系表项。
于是,主机A和B之间看似直接的通信,实际上都是通过主机C进行的,即主机C担任了“中间人”的角色在传递信息,同时也可以对信息进行窃取和篡改,如图2-3所示。
这种攻击方式也是较早时候电脑黑客窃取数据的常用手段之一。
受到“中间人”攻击的主要表现有:
局域网中某台主机上网突然掉线,但是过一会儿又恢复了,只是上网变得很慢。
此时我们若使用命令查看该主机上的ARP表项,就会发现通信对方的MAC地址被修改,他们的通信流量都先被重定向到另外一台主机上,再转至对方主机。
图2-3“中间人”攻击过程
2.3.4Flooding攻击
Flooding是一种快速散布网络连接设备(如交换机)更新信息到整个大型网络打每一个节点的一种方法。
涉及ARP欺骗的Flooding攻击主要有两种:
ARP报文Flooding和交换机上的MACFlooding。
ARP报文Flooding
攻击者利用工具构造大量ARP报文,发往交换机、路由器或某台普通主机,导致设备的CPU忙于处理ARP协议,负担过重,造成设备没有多余资源区转发正常的数据流量甚至瘫痪。
遭受这种攻击的现象主要表现为:
网络经常中断或网速很慢,查看ARP表项没有发现错误,只有通过抓包分析是发现有大量的ARPReply报文。
MACFlooding
交换机中也存放着一个类似ARP的缓存表,称为CAM。
同主机中的ARP缓存表相同,它也起到记录网络设备MAC地址与IP地址的对应关系的功能。
但是交换机中的ARP缓存表的大小是固定的,这就导致了ARP欺骗的另一种隐患:
由于交换机可以主动学习客户端的MAC地址,并建立和维护这个CAM缓存表,当某人利用欺骗攻击连续大量的制造欺骗MAC地址,CAM表就会被迅速填满,同时更新信息以洪泛方式发送到所有的接口,也就代表Trunking(所谓Trunking是用来在不同的交换机之间进行连接,以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯。
)的流量也会发给所有的接口和邻近的交换机,会导致其他交换机的CAM表溢出,造成交换机负载过大,网络缓慢和丢包甚至瘫痪。
所以说MACFlooding是一种比较危险的攻击,严重会使整个网络不能正常通信。
这种基于ARP欺骗的Flooding攻击,也可以称作“拒绝服务式攻击(D.O.S)”。
而如果攻击者先对目标主机进行D.O.S攻击,使其不能对外部作出任何反应之后,再将自身主机的IP地址和MAC地址分别改为目标主机的IP地址和MAC地址,代替它接收一切数据包,从而进一步实施各种非法操作。
那么这样一种攻击方式,我们也可以称作“克隆攻击”。
2.3.5ARP网页劫持攻击
ARP网页劫持攻击其实也可以说是利用了“中间人”攻击的原理。
局域网内用户访问网页时,网页源代码的头部被插入代码“<
iframe81"
13=’包含病毒或者木马程序的网页地址’>
<
/iframe>
或者“<
script>
可以使浏览器自动下载病毒或者木马程序的脚本内容<
/script>
”,访问网页不顺畅,提示脚本错误,同时杀毒软件的网页监控提示网页存在病毒。
但是当检查服务器上网页的原始代码时却发现没有任何异常。
这种情况很可能就是ARP网页劫持攻击引起的。
根据网页内容传输过程中,ARP网页劫持发生的区段位置不同,我们可以把ARP网页劫持攻击分成两种情况:
发生在客户端所在局域网内的ARP网页劫持攻击和发生在服务器所在局域网内的ARP网页劫持攻击。
客户端ARP网页劫持
如果客户端所在的网络中存在进行ARP攻击的主机,ARP攻击主机通过ARP欺骗篡改网关的ARP缓存表,在网关与网页客户端主机之间建立单向代理。
服务器返回到客户端浏览器的信息是按照“网页服务器—>
外部网络—>
客户端所在网络网关—>
ARP攻击主机—>
客户端主机”的路径进行发送的。
ARP攻击主机并不修改HTTP请求信息,但是它修改网页服务器的返回信息,在其中加入木马或病毒链接。
这样一来,客户端所在网络中的多数主机访问任何WEB页面时,反病毒软件的网页监控均提示发现病毒。
服务器端ARP网页劫持
如果WEB服务器所在的网络存在ARP攻击主机,那么ARP攻击主机通过ARP欺骗污染WEB服务器的ARP缓存表,在WEB服务器和网关之间建立单向代理。
从WEB服务器返回网页访问客户端的信息是按照“WEB服务器一>
ARP攻击主机一服务器所在网络网关一>
外部网络一>
网页客户端”的路径进行发送的。
ARP攻击主机监听WEB服务器80端口的HTTP应答包,并进行篡改,加入木马或病毒链接,然后通过网关发送给客户端。
这时,用户访问此WEB服务器所在网段的所有服务器,均出现网页源代码顶部被加入恶意代码链接的情况。
2.4简单模拟ARP欺骗
因为在局域网实际应用中遭受ARP欺骗攻击的情况是比较普遍的,所以如何在实验环境下模拟ARP欺骗攻击就显得很重要。
由于客观条件限制,在模拟攻击实验中我不进行小型组网,而是将实验环境设置为在我的NotebookPC上安装VMWarevirtualmachine,操作系统为WindowsXPOS,虚拟机分别编号A、B、C。
在综合各个相对零散的小实验后,我总结了两个比较典型的ARP欺骗攻击实验:
利用“网络执法官”软件和编写小程序来模拟。
2.4.1采用软件模拟ARP欺骗
首先在VMWare中使用host-only模式,在启动操作系统后,VMWare会为A、B、C的虚拟网卡分配不通的MAC地址,我们可以人为配置IP地址,其IP-MAC地址对应表如图2-4所示,子网掩码为255.255.255.0。
然后在虚机C上安装“网络执法官”软件,破坏虚机A、B之间的正常通信。
图2-4攻击前虚机的IP-MAC对应关系
这里对“网络执法官”软件做一个简要介绍。
它是一款局域网管理辅助软件,采用网络底层协议,能穿透各种客户端防火墙,对网络中的每一台主机进行监控,采用MAC识别用户,可靠性高。
本软件的主要功能是依据管理员为各主机限定的权限,实时监控整个局域网,并自动将非法用户与网络中某些主机或整个网络隔离,而且无论局域网中的主机运行何种防火墙,都不能逃避监控,也不会引发防火墙警告,提高了网络安全性。
管理员可以实现如禁止某些主机在指定的时段访问外网或彻底禁止某些主机访问外网;
保护网络中关键主机,只允许指定
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ARP 欺骗 技术 研究 实践