论文部分内容阅读
[摘要] 文章对ARP欺骗的原理、中毒现象进行了分析,同时归纳了ARP欺骗的主要方式,重点论述了ARP欺骗的防御技术,以达到全面防御维护局域网络安全的目的。
[关键词] ARP欺骗 防御
2007年6月初,国家计算机病毒应急处理中心预报一种新型“地址解析协议欺骗”(简称:ARP欺骗)的恶意木马程序正在互联网络中传播。从此,ARP欺骗逐渐在校园网、小区网、企业网以及网吧等局域网中蔓延,严重影响了正常网络通讯。如何有效防范ARP欺骗,成为普遍关注的问题。
一、ARP欺骗的原理及中毒现象
1.ARP欺骗的原理
ARP病毒是一种木马程序, 其本质就是利用ARP本身的漏洞进行欺骗,即通过伪造IP地址和MAC地址实现欺骗,在网络中产生大量的ARP通信量使网络阻塞,或使信息流向本不存在的有正确的“IP地址和MAC地址”虚拟主机,而使个人主机无法收到信息。
典型的ARP欺骗过程如下:
假设局域网分别有IP地址为192.168.0.1、192.168.0.2和192.168.0.3的A、B、C三台主机,假如A和C之间正在进行通讯,此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.0.3 (C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB,当A接收到B伪造的ARP应答,就会更新本地的ARP缓存,这时B就伪装成C了。同时,B同样向C发送一个ARP应答,应答包中为发送方IP地址192.168.0.1(A的IP地址),MAC地址BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA) ,当C收到B伪造的ARP应答,也会更新本地ARP缓存,这时B 又伪装成了A。这时主机A和C都被主机B欺骗,A和C之间通讯的数据都经过了B,主机B完全劫持目标主机与其他主机的会话。
2.中毒现象
局域网出现突然掉线,过一段时间后又会恢复正常的现象。同时,网内的其他计算机系统也会受到影响,出现IP地址冲突、频繁断网、IE浏览器频繁出错,以及一些系统内常用软件出现故障等现象。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。
二、ARP欺骗的主要方式及防御技术
1.ARP欺骗的主要方式
从影响网络连接的方式来看,ARP欺骗通常分为四种:
(1)冒充网关欺骗计算机。它是通过建立假网关(其实是网内一普通的感染ARP病毒的主机),让被它欺骗的计算机向假网关发数据,而不能通过网关正常上网。在用户的角度看来,就是上不了网了以及网络掉线了,这样会给用户造成系统网关出错的假象。
(2)冒充计算机欺骗网关。感染ARP病毒的计算机不断冒充其它计算机通知网关,并按照一定的频率不断进行,结果网关发给正常计算机的数据被欺骗计算机拦截,造成正常计算机无法收到信息。
(3)冒充计算机欺骗计算机。攻击源会以正常身份伪造虚假的ARP应答,欺骗其它计算机,结果其它计算机发给被冒充计算机的数据全部被攻击源截取。如果冒充计算机启动IP Forword(IP转发)功能,很容易获取发往配冒充计算机的数据而不被发现。
(4)ARP泛洪攻击:攻击源伪造大量MAC和IP地址,对局域网内广播,干扰正常通信。
2.ARP欺骗的防御技术
(1)设置静态ARP缓存(静态绑定)。最常用的方法就是做IP和MAC静态绑定,在网内把主机和网关都做IP和MAC绑定。欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。具体操作分为两步:
第一步在PC机上,打开DOS提示符窗口,先输入:arp -d(清除ARP缓存表) 回车后,然后输入arp s IP地址MAC地址(IP和MAC为网关的);也可作批处理文件放在启动项中,内容如下:
@echo off
arp -d
arp -s <inet-addr> <eth-addr>
第二步在交换机或路由器上,对每个IP对应得MAC地址进行静态绑定。
(2)安装ARP防护软件和杀毒软件。目前关于ARP类的防护软件也比较多了,大家比较常用的主要有360安全卫士、欣向ARP工具和Antiarp等。目前常用的杀毒软件也比较多,诸如卡巴斯基、Macfee、瑞星和趋势科技等。安装了相关软件后,PC用户要经常升级病毒库。
(3)DHCP结合静态捆绑。通过方法①中的IP与MAC的双向绑定,可以有效防范ARP欺骗,但是由于操作繁琐,会大大加重网络管理的负担。另外,遇到那些通过ARP欺骗非法攻击的用户来说,他可以事先自己手动更改IP地址,这样检查起来就更加复杂了。通过在网关上建立DHCP服务器,把DHCP的地址池或者将客户端获得IP的租约设置为一个非常长的时间,可以固定主机MAC与IP的对应关系,从而保证MAC地址与IP地址的惟一性 ,有效地避免ARP欺骗的发生。
三、结束语
ARP欺骗也在不断的发展和变化中(如基于ARP欺骗的DDoS攻击),希望广大网络管理员密切注意它,从而减少ARP欺骗对我们网络的影响。
参考文献:
[1]http://www.antivirus-china.org.cn/head/yubao/yubao_227.htm[EB/OL].国家计算机病毒应急处理中心
[2]王坚梁海军:ARP欺骗原理及其防范策略的探讨[J].计算机与现代化,2008(2):100
[关键词] ARP欺骗 防御
2007年6月初,国家计算机病毒应急处理中心预报一种新型“地址解析协议欺骗”(简称:ARP欺骗)的恶意木马程序正在互联网络中传播。从此,ARP欺骗逐渐在校园网、小区网、企业网以及网吧等局域网中蔓延,严重影响了正常网络通讯。如何有效防范ARP欺骗,成为普遍关注的问题。
一、ARP欺骗的原理及中毒现象
1.ARP欺骗的原理
ARP病毒是一种木马程序, 其本质就是利用ARP本身的漏洞进行欺骗,即通过伪造IP地址和MAC地址实现欺骗,在网络中产生大量的ARP通信量使网络阻塞,或使信息流向本不存在的有正确的“IP地址和MAC地址”虚拟主机,而使个人主机无法收到信息。
典型的ARP欺骗过程如下:
假设局域网分别有IP地址为192.168.0.1、192.168.0.2和192.168.0.3的A、B、C三台主机,假如A和C之间正在进行通讯,此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.0.3 (C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB,当A接收到B伪造的ARP应答,就会更新本地的ARP缓存,这时B就伪装成C了。同时,B同样向C发送一个ARP应答,应答包中为发送方IP地址192.168.0.1(A的IP地址),MAC地址BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA) ,当C收到B伪造的ARP应答,也会更新本地ARP缓存,这时B 又伪装成了A。这时主机A和C都被主机B欺骗,A和C之间通讯的数据都经过了B,主机B完全劫持目标主机与其他主机的会话。
2.中毒现象
局域网出现突然掉线,过一段时间后又会恢复正常的现象。同时,网内的其他计算机系统也会受到影响,出现IP地址冲突、频繁断网、IE浏览器频繁出错,以及一些系统内常用软件出现故障等现象。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。
二、ARP欺骗的主要方式及防御技术
1.ARP欺骗的主要方式
从影响网络连接的方式来看,ARP欺骗通常分为四种:
(1)冒充网关欺骗计算机。它是通过建立假网关(其实是网内一普通的感染ARP病毒的主机),让被它欺骗的计算机向假网关发数据,而不能通过网关正常上网。在用户的角度看来,就是上不了网了以及网络掉线了,这样会给用户造成系统网关出错的假象。
(2)冒充计算机欺骗网关。感染ARP病毒的计算机不断冒充其它计算机通知网关,并按照一定的频率不断进行,结果网关发给正常计算机的数据被欺骗计算机拦截,造成正常计算机无法收到信息。
(3)冒充计算机欺骗计算机。攻击源会以正常身份伪造虚假的ARP应答,欺骗其它计算机,结果其它计算机发给被冒充计算机的数据全部被攻击源截取。如果冒充计算机启动IP Forword(IP转发)功能,很容易获取发往配冒充计算机的数据而不被发现。
(4)ARP泛洪攻击:攻击源伪造大量MAC和IP地址,对局域网内广播,干扰正常通信。
2.ARP欺骗的防御技术
(1)设置静态ARP缓存(静态绑定)。最常用的方法就是做IP和MAC静态绑定,在网内把主机和网关都做IP和MAC绑定。欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。具体操作分为两步:
第一步在PC机上,打开DOS提示符窗口,先输入:arp -d(清除ARP缓存表) 回车后,然后输入arp s IP地址MAC地址(IP和MAC为网关的);也可作批处理文件放在启动项中,内容如下:
@echo off
arp -d
arp -s <inet-addr> <eth-addr>
第二步在交换机或路由器上,对每个IP对应得MAC地址进行静态绑定。
(2)安装ARP防护软件和杀毒软件。目前关于ARP类的防护软件也比较多了,大家比较常用的主要有360安全卫士、欣向ARP工具和Antiarp等。目前常用的杀毒软件也比较多,诸如卡巴斯基、Macfee、瑞星和趋势科技等。安装了相关软件后,PC用户要经常升级病毒库。
(3)DHCP结合静态捆绑。通过方法①中的IP与MAC的双向绑定,可以有效防范ARP欺骗,但是由于操作繁琐,会大大加重网络管理的负担。另外,遇到那些通过ARP欺骗非法攻击的用户来说,他可以事先自己手动更改IP地址,这样检查起来就更加复杂了。通过在网关上建立DHCP服务器,把DHCP的地址池或者将客户端获得IP的租约设置为一个非常长的时间,可以固定主机MAC与IP的对应关系,从而保证MAC地址与IP地址的惟一性 ,有效地避免ARP欺骗的发生。
三、结束语
ARP欺骗也在不断的发展和变化中(如基于ARP欺骗的DDoS攻击),希望广大网络管理员密切注意它,从而减少ARP欺骗对我们网络的影响。
参考文献:
[1]http://www.antivirus-china.org.cn/head/yubao/yubao_227.htm[EB/OL].国家计算机病毒应急处理中心
[2]王坚梁海军:ARP欺骗原理及其防范策略的探讨[J].计算机与现代化,2008(2):100