ARP攻防技术白皮书
ARP防攻击技术白皮书
目录
目录 (3)
1技术概述 (5)
1.1ARP工作机制 (5)
1.2ARP攻击原理 (5)
1.2.1ARP攻击类型 (5)
1.2.2ARP欺骗 - 仿冒用户主机 (6)
1.2.3ARP欺骗 - 仿冒网关攻击 (7)
1.2.4ARP泛洪攻击 - 拒绝服务攻击 (8)
1.2.5ARP泛洪攻击 - 缓存溢出攻击 (9)
1.2.6ARP泛洪攻击 - 扫描攻击 (10)
1.3ARP攻击防范技术介绍 (11)
1.3.1防ARP地址欺骗 (11)
1.3.2防ARP网关冲突 (12)
1.3.3ARP严格学习 (12)
1.3.4动态ARP检测(DAI) (13)
1.3.5ARP报文速率限制 (14)
2ARP防攻击解决方案 (14)
2.1二层交换机防攻击方案 (14)
2.2三层网关防攻击方案 (15)
ARP防攻击技术白皮书
关键词:ARP,ARP欺骗,泛洪攻击
摘要:本文针对目前常见的ARP攻击,介绍了华为网络设备所能提供的防范ARP攻击的方法以及典型组网应用。
缩略语:
1技术概述
1.1ARP工作机制
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的底层协议,对应于数据链路层,基本功能就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址,以保证通信的进行。
工作过程如下:
(1) 当网络节点需要解析一个IP 地址对应的MAC 地址时,会广播发送ARP 请求报文。
(2) 其他网络节点接收到ARP请求后,会进行ARP应答。同时,根据请求发送者的IP地址和 MAC地址的对应关系建立 ARP表项,以便后续查ARP表进行报文转发。
(3) 发起请求的网络节点接收到ARP应答后,同样会将ARP应答报文中发送者的IP 地址和MAC 地址的映射关系记录下来,生成ARP表项,以便后续查ARP表进行报文转发。
1.2ARP攻击原理
ARP工作机制可以看出,ARP协议简单易用,没有任何安全机制,攻击者可以发送伪造ARP 报文对网络进行攻击。
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP表中的条目,造成网络中断或中间人攻击。同时,能够通过在网络中产生大量的ARP通信量,使网络阻塞。
1.2.1ARP攻击类型
常见的ARP攻击包括ARP欺骗、洪泛攻击。
ARP欺骗指攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他主机的ARP表项,造成用户或网络的报文转发异常。
ARP洪泛攻击也叫拒绝服务攻击,攻击者向设备发送大量虚假的ARP请求报文或免费ARP报文,造成设备上的ARP表项超过规格,表项溢出,无法缓存正常用户的ARP表项,或者ARP处理协议通道阻塞等,从而阻碍正常的报文转发。
综上所述,ARP攻击方式有如下 2大类 5小类:
?ARP欺骗
根据仿冒的网络节点的不同,又可以细分为
●仿冒用户主机
●仿冒网关
?ARP泛洪攻击
根据攻击目标的不同,又可以细分为
●拒绝服务攻击
●缓存溢出攻击
●扫描攻击
1.2.2ARP欺骗 - 仿冒用户主机
原理
一个典型的用户主机仿冒流程如下:
1.信息节点比如网关广播ARP请求,询问用户A的地址
2.用户A回应自己的地址
3.建立合法用户A的ARP表项
4.用户B发出仿冒的ARP回应,可以是自己的MAC地址,也可以是网络中其他用户地址甚至是不存在的地址
5. 合法的ARP表项被修改为仿冒的ARP表项
6. 给用户A的流量被转发到用户B,如果仿冒的是其他用户的地址,则流量被转发到其他用户,如果仿冒的是不存在的地址,则流量在网络中被阻断
危害
如果用户B仿冒时用的是自己的地址,当流量返回时,就可以从流量中获取信息,从而形成中间人攻击
如果用户B仿冒时用的是其他用户地址,当流量返回时,就可以对其他用户进行流量攻击如果用户B仿冒是用的是网络中不存在的地址,则流量被阻断
用户A的流量转发异常,要么被窃听而泄密,要么被阻断而业务中断。
1.2.3ARP欺骗 - 仿冒网关攻击
原理
一个典型的网关仿冒流程如下:
1.用户A广播ARP请求,询问网关的MAC地址
2.网关回应自己的MAC地址
3.用户A主机建立合法网关的ARP表项
4.用户B发出仿冒的网关ARP表项,可以是自己的MAC地址,也可以是网络中其他用户地址甚至是不存在的地址
5. 用户A主机合法网关的ARP表项被修改为仿冒的ARP表项
6. 用户A的流量转发到用户B,如果仿冒的是其他用户的地址,则流量被转发到其他用户,如果仿冒的是不存在的地址,则流量在网络中被阻断
危害
如果用户B仿冒时用的是自己的地址,则用户A所有信息都会转发给用户B,从而形成中间人攻击
如果用户B仿冒时用的是其他用户地址,就可以对其他用户进行流量攻击
如果用户B仿冒是用的是网络中不存在的地址,则流量被阻断
用户A的流量转发异常,要么被窃听而泄密,要么被阻断而业务中断。
1.2.4ARP泛洪攻击 - 拒绝服务攻击
原理
一个典型的拒绝服务流程如下:
1.用户B主动(黑客)或被动(中病毒、木马、恶意软件等)发送大量伪造的ARP 请求、应答报文或其他能够触发网络设备ARP 处理的报文,造成网络设备的计算资源长期忙于ARP 处理,影响其他业务的处理,从而阻碍正常的报文转发。
2.正常用户请求ARP或者其他业务报文被阻塞,从而导致业务中断
危害
网络设备业务处理能力下降甚至拒绝服务,导致网络中流量中断
1.2.5ARP泛洪攻击 - 缓存溢出攻击
原理
一个典型的缓存溢出流程如下:
1.用户B主动(黑客)或被动(中病毒、木马、恶意软件等)发送向网络设备发送大量虚假的ARP 请求报文和免费ARP报文,超出网络设备ARP表项存储规格,造成网络设备上ARP缓存表溢出,无法缓存正常的ARP 表项,从而阻碍正常的报文转发。
2.正常用户ARP表项被伪造ARP表项覆盖,从而导致业务流量中断
危害
网络设备业务处理能力下降甚至拒绝服务,导致网络中流量中断
1.2.6ARP泛洪攻击 - 扫描攻击
原理
一个典型的扫描攻击流程如下:
1.用户B主动(黑客)或被动(中病毒、木马、恶意软件等)扫描本网段或者跨网段主机时,网络设备在发送回应报文前,会查找ARP表项,如果目的IP 地址的MAC 地址不存在,那么必然会导致网络设备向上层软件发送消息,要求上层软件发送ARP 请求报文到其他网段以获得目的端的MAC 地址。大量的扫描报文会导致大量的消息,导致网络设备的资源浪费,影响对其他业务的处理,从而阻碍正常的报文转发。
2.正常用户请求ARP或者其他业务报文被阻塞,从而导致业务中断
危害
网络设备业务处理能力下降甚至拒绝服务,导致网络中流量中断
1.3ARP攻击防范技术介绍
1.3.1防ARP地址欺骗
特性简介
设备作为三层使用时,当用户发送ARP报文修改设备的ARP表项时,防地址欺骗可以通过
ARP报文和ARP表中的相关表项对比,对ARP表项的某些字段不允许修改的方式防止ARP欺骗。
实现方式
防地址欺骗有两种方式:1)主动确认方式进行ARP学习;2)锁定方式防表项更新,在第一次学习到ARP表后不允许再更新表项。
主动确认方式进行ARP学习
在第一次学习ARP时,当收到用户的更新ARP请求,暂时不更新本地的ARP表,先向用户发送一个ARP请求,如果用户回应该请求,则学习此用户的ARP,否则不学习该用户的ARP。
注:主动确认方式的ARP学习目前有一个缺陷,参见主动确认方式的ARP学习缺陷。
锁定方式防止ARP更新
当用户第一次学习到ARP后,锁定ARP表项的某些字段或全部字段,不允许更新ARP表项。包括两种锁定方式:1)fixed-mac方式,不允许更新MAC和IP,可以更新端口、VLAN等其他信息;2)fixed-all方式,全部不允许更新,包括ARP的老化时间都不允许更新。
1.3.2防ARP网关冲突
特性简介
当设备作为网关时,ARP网关冲突检查可以防止用户仿冒网关的IP,非法修改网关和网络内其他用户的ARP表项。
实现方式
当交换机使能防ARP网关冲突时,下发一条ACL规则将ARP报文全部上送,通过软件转发。
当CPU收到ARP报文时,比较此ARP报文的源IP是否和其所在的VLANIF的某个IP地址相同,如果相同,则为用户仿冒网关IP,丢弃此ARP报文,记录日志并发送告警。同时下发一个ACL,丢弃该用户的ARP报文,此ACL的有效时间为3分钟,3分钟后删除此ACL规则。
1.3.3ARP严格学习
特性简介
ARP表项严格学习用来防止恶意更改ARP表项。使能ARP严格学习功能后,使交换机只学习自己发送的ARP请求报文的应答报文。
实现方式
ARP严格学习是在设备发送ARP请求时,记录下当前发送的请求表项,称之为发送列表,当收到ARP回应报文时,比较此报文的源地址是否在发送列表中,如果在发送列表中,则更新ARP表项,否则不更新ARP表。另外,收到的ARP请求也免费ARP报文都不更新ARP表项。
注:该特性为VRP平台实现。
1.3.4动态ARP检测(DAI)
特性简介
Dynamic ARP Inspection(DAI)是通过DHCP SNOOPING表项,检查收到的ARP报文的合法性,如果ARP报文和DHCP SNOOPING绑定表的内容一致,则允许此用户的ARP报文通过,否则丢弃该ARP报文。
防止ARP中间人攻击,可以配置ARP报文检查功能,对接口或VLAN下收到的ARP报文和绑定表进行匹配检查,当报文的检查项和绑定表中的特征项一致时,转发该报文,否则丢弃报文。
同时可以配置告警功能,当丢弃的报文数超过限制的阈值时,发出告警信息。
实现方式
DAI是通过DHCP SNOOPING检查ARP报文的合法性,目前有两种实现方式:1)通过软件实现,框式交换机采取这种方式;2)通过芯片实现,盒式交换机采用这种方式。下面分别描述两种实现方式。
?软件方式DAI
软件方式DAI是将ARP报文通过软件转发,在转发过程中判断报文的合法性。
当VLAN使能DAI时,下发规则将该VLAN下的所有ARP报文上送到软件层面。在软件层,查找DHCP SNOOPING绑定表来检查ARP报文是否和绑定表匹配,主要检查ARP报文的源MAC、源IP、报文入端口、VLAN(可以包括内层VLAN和外层VLAN)是否和DHCP SNOOPING绑定表匹配,如果完全匹配,允许报文转发,否则丢弃该报文。匹配的选项可以配置。
?硬件方式DAI
硬件方式是通过芯片的ACL规则检查用户ARP报文的合法性,检查的内容和通过软件检查一致,也可配置。
当DHCP SNOOPING用户上线后,通知DAI模块。DAI模块将用户表项中的源MAC、源IP、VLAN 信息,加上匹配ARP协议,组装成一条ACL规则,下发到芯片中。
当ARP报文从某个端口进入芯片时,通过下发的ACL规则去匹配,如果匹配到,说明发送这个ARP报文的用户是合法的,允许该ARP报文转发,当下发的用户ARP ACL不能匹配时,该用户是非法的,通过匹配该端口下的默认ACL规则丢弃报文(该规则在端口使能DAI时下发,如果是基于VLAN的DAI,则在VLAN使能DAI是下发到VLAN上)。
1.3.5ARP报文速率限制
在城域以太网中,存在着很多针对ARP 表项的攻击,因此需要在网络的接入层或者汇聚层配置防止对ARP 表项的攻击,以保护网络的安全性。
?为防止大量的ARP 报文增加CPU 的负荷,以及占用大量的ARP 表项,可以配置ARP 报文速率抑制,将上送主控板处理的ARP 报文速率限制在一个合理的范围内。
?为防止主机发送大量目标IP 地址不能解析的IP 报文来攻击设备,可以配置ARPMiss 源抑制功能,对攻击者的报文进行丢弃处理。
?接口下使能ARP 报文检查功能后,经过接口的ARP 报文上送安全模块进行检查,为防止大量ARP 报文对安全模块的冲击,可以配置ARP 报文速率抑制,对超过速率限
制的报文做丢弃处理。
2ARP防攻击解决方案
2.1二层交换机防攻击方案
如上图所示,在二层交换机上,部署DAI,以保证整个网络的ARP安全,部署ARP限速,以保证设备自身的安全。
2.2三层网关防攻击方案
如上图所示,在三层交换机上,部署防ARP地址欺骗、放ARP网关冲突和ARP严格学习,保证网络中的ARP安全,部署ARP报文限速,保证设备本身的安全。
实验二 ARP欺骗实验
实验二ARP欺骗实验 【实验目的】 加深对ARP高速缓存的理解 了解ARP欺骗在网络攻击中的应用 【实验原理】 ARP欺骗是黑客常用的攻击手段之一,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通过发送ARP应答包通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,―网络掉线了‖。 ARP表是IP地址和MAC地址的映射关系表,任何实现了IP协议栈的设备,一般情况下都通过该表维护IP地址和MAC地址的对应关系,这是为了避免ARP 解析而造成的广播数据报文对网络造成冲击。 【实验环境】 需要使用协议编辑软件进行数据包编辑并发送;IP地址分配参考如下表所示。 设备IP地址Mac地址后缀 HostA 10.28.23.112 44-37-e6-10-77-81 HostB 10.28.23.168 28-92-4a-56-15-c2 设备连接即两台个人电脑。
【实验内容】 搭建网络实现ARP地址欺骗过程 防范ARP地址欺骗 【实验步骤】 一、设定环境(在实验中应根据具体实验环境进行实验) (1)根据环境拓扑图设定网络环境,并测试连通性。 (2)需要使用协议编辑软件进行数据包编辑并发送。 二、主机欺骗 (1)获得设定网络中各主机的IP地址和MAC地址,Ping网关。如图2-1、图 2-2 图2-1 图2-2
arp欺骗原理及处理办法
故障原因 主要原因是在局域网中有人使用了ARP欺骗的木马程序,比如一些盗号的软件。 传奇外挂携带的ARP木马攻击,当局域网内使用外挂时,外挂携带的病毒会将该机器的MAC 地址映射到网关的IP地址上,向局域网内大量发送ARP包,致同一网段地址内的其它机器误将其作为网关,掉线时内网是互通的,计算机却不能上网。方法是在能上网时,进入MS-DOS窗口,输入命令:arp –a查看网关IP对应的正确MAC地址,将其记录,如果已不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网,一旦能上网就立即将网络断掉,禁用网卡或拔掉网线,再运行arp –a。 如已有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。可在MS-DOS窗口下运行以下命令:arp –s 网关IP 网关MAC。如被攻击,用该命令查看,会发现该MAC已经被替换成攻击机器的MAC,将该MAC记录,以备查找。找出病毒计算机:如果已有病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址。 故障现象 当局域网内有某台电脑运行了此类ARP欺骗的木马的时候,其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。 切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。 由于ARP欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞,用户会感觉上网速度越来越慢。当木马程序停止运行时,用户会恢复从路由器上网,切换中用户会再断一次线。 该机一开机上网就不断发Arp欺骗报文,即以假冒的网卡物理地址向同一子网的其它机器发送Arp报文,甚至假冒该子网网关物理地址蒙骗其它机器,使网内其它机器改经该病毒主机上网,这个由真网关向假网关切换的过程中其它机器会断一次网。倘若该病毒机器突然关机或离线,则其它机器又要重新搜索真网关,于是又会断一次网。所以会造成某一子网只要有一台或一台以上这样的病毒机器,就会使其他人上网断断续续,严重时将使整个网络瘫痪。这种病毒(木马)除了影响他人上网外,也以窃取病毒机器和同一子网内其它机器上的用户帐号和密码(如QQ和网络游戏等的帐号和密码)为目的,而且它发的是Arp报文,具有一定的隐秘性,如果占系统资源不是很大,又无防病毒软件监控,一般用户不易察觉。这种病毒开学初主要发生在学生宿舍,据最近调查,现在已经在向办公区域和教工住宅区域蔓延,而且呈越演越烈之势。 经抽样测试,学校提供的赛门铁克防病毒软件企业版10.0能有效查杀已知的Arp欺骗病毒(木马)病毒。恶意软件由于国际上未有明确界定,目前暂无一款防病毒软件能提供100%杜绝其发作的解决方案,需要借助某些辅助工具进行清理。 解决思路 不要把你的网络安全信任关系建立在IP基础上或MAC基础上。 设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。
实验三:ARP欺骗工具及原理分析
实验三:ARP欺骗工具及原理分析 一、实验目的 1.熟悉ARP欺骗攻击工具的使用 2.熟悉ARP欺骗防范工具的使用 3.熟悉ARP欺骗攻击的原理 二、实验准备 1.要求实验室内网络是连通的,组内每台计算机均可以访问另外一台计算机。 2.下载相关工具和软件包(ARP攻击检测工具,局域网终结者,网络执法官,ARPsniffer 嗅探工具)。 三、实验说明 本实验所介绍的工具软件使用起来都比较方便,操作起来也不是很难,但是功能或指令却不止一种,所以实验中只介绍其中的某一种用法。其他的则可"触类旁通"。 四、实验涉及到的相关软件下载: ARP攻击检测工具 局域网终结者 网络执法官 ARPsniffer嗅探工具 五、实验原理 1、ARP及ARP欺骗原理: ARP(Address Resolution Protocol)即地址解析协议,是一种将IP地址转化成物理地址的协议。不管网络层使用什么协议,在网络链路上传送数据帧时,最终还是必须使用硬件地址的。而每台机器的MAC地址都是不一样的,具有全球唯一性,因此可以作为一台主机或网络设备的标识。目标主机的MAC地址就是通过ARP协议获得的。 ARP欺骗原理则是通过发送欺骗性的ARP数据包致使接收者收到数据包后更新其ARP 缓存表,从而建立错误的IP与MAC对应关系,源主机发送数据时数据便不能被正确地址接收。 2、ARPsniffer使用原理: 在使用该工具时,它会将网络接口设置为混杂模式,该模式下工具可以监听到网络中传输的所有数据帧,而不管数据帧的目的地是自己还是其他网络接口的地址。嗅探器会对探测到的每一个数据帧产生硬件数据中断,交由操作系统处理,这样就实现了数据截获。 3、局域网终结者使用原理: 一个主机接收到与自已相同IP发出的ARP请求就会弹出一个IP冲突框来。利用局域网终结者可以伪造任一台主机的IP向局域网不停地发送ARP请求,同时自已的MAC也是伪造的,那么被伪造IP的主机便会不停地收到IP冲突提示,致使该主机无法上网。这便构成了局域网终结者的攻击原理。 4、网络执法官使用原理: 网络执法官原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地
网络安全实验2 ARP欺骗实验
实验1 ARP地址欺骗 声明:本实验教程仅限于实验室教学和实验用,不能用于其他非法用途,否则后果自负。 1、实验目的 1、掌握常见ARP欺骗类型和手段 2、掌握ARP协议工作原理和格式 3、掌握防范ARP地址欺骗的方法和措施 4、掌握Sniffer Pro软件的使用 2、实验环境 硬件:交换机1台、路由器1台、计算机数台 软件:Sinfffer pro
Heinaen和Govindan RFC1735 对上进行了进一步的讨论 W.Richard Stenvens TCP/IP协议详解卷1:协议 [日]村上公保TCP/IP网络实验程序篇科学出版社 4、实验原理 数据封装过程 1)、ARP协议简介 ARP(Address Resolve Protocol)地址请求解析协议,用于寻找和IP地址相对应的MAC 地址。在RFC 826中定义了ARP协议的数据格式和类型。ARP协议属于在网络层的下部,可看作为网络层和数据链路层的接口,主要用于IPv4以太网。 ARP消息类型有2种: ARP request :ARP 请求 ARP response :ARP应答 ARP协议格式
ARP报文格式 以太网帧的格式:
ü源MAC地址:发送方的MAC地址 ü源IP地址:发送方的IP地址 ü目的MAC地址:ARP请求中该字段没有意义;ARP响应中为接收方的MAC地址 ü目的IP地址:ARP请求中为请求解析的IP地址;ARP响应中为接收方的IP地址 ARP协议的改进 高速缓存技术 高速缓冲区中ARP表项新鲜性的保持:计时器 目的主机接收到ARP请求后将源主机的IP地址与物理地址映射关 系存入自己的高速缓冲区 主机启动时主动广播自己的IP地址与物理地址的映射关系 5、实验步骤 1)掌握常用的ARP常用命令 ARP命令: 功能:用于查看、添加和删除高速缓存区中的ARP表项 高速缓冲区中的ARP表项 表项添加后两分钟内没有被再次使用:删除 表项被再次使用:增加2分钟的生命周期
最全的ARP欺骗攻击原理深入分析
1、ARP协议概述 IP数据包常通过以太网发送。以太网设备并不识别32位IP地址:它们是以48位以太网地址传输以太网数据包的。因此,IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射,常常需要查看一张表。地址解析协议(Address Resolution Protocol,ARP)就是用来确定这些映象的协议。 ARP工作时,送出一个含有所希望的IP地址的以太网广播数据包。目的地主机,或另一个代表该主机的系统,以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来,以节约不必要的ARP通信。 如果有一个不被信任的节点对本地网络具有写访问许可权,那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己,然后它就可以扮演某些机器,或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上,ARP映射可以用固件,并且具有自动抑制协议达到防止干扰的目的。 图1是一个用作IP到以太网地址转换的ARP报文的例子。在图中每一行为32位,也就是4个八位组表示,在以后的图中,我们也将遵循这一方式。 硬件类型字段指明了发送方想知道的硬件接口类型,以太网的值为1。协议类型字段指明了发送方提供的高层协议类型,IP为0806(16进制)。硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度,这样ARP报文就可以在任意硬件和任意协议的网络中使用。操作字段用来表示这个报文的目的,ARP请求为1,ARP响应为2,RARP请求为3,RARP响应为4。 当发出ARP请求时,发送方填好发送方首部和发送方IP地址,还要填写目标IP地址。当目标机器收到这个ARP广播包时,就会在响应报文中填上自己的48位主机地址。
解决ARP欺骗和攻击的方法
什么是网络瓶颈?如何克服网络瓶颈对网络整体性能的影响? 网络瓶颈指的是影响网络传输性能及稳定性的一些相关因素,如网络拓扑结构,网线,网卡,服务器配置,网络连接设备等,下面我们逐一加以简单分析: 1.组网前选择适当的网络拓扑结构是网络性能的重要保障,这里有两个原则应该把握:一是应把性能较高的设备放在数据交换的最高层,即交换机与集线器组成的网络,应把交换机放在第一层并连接服务器,二是尽可能减少网络的级数,如四个交换机级联不要分为四级,应把一个交换机做一级,另三个同时级联在第一级做为第二级; 2.网线的做法及质量也是影响网络性能的重要因素,对于100M设备(包括交换机,集线器和网卡),要充分发挥设备的性能,应保证网线支持100M,具体是网线应是五类以上线且质量有保障,并严格按照100M网线标准(即568B和568A)做线; 3.网卡质量不过关或芯片老化也容易引起网络传输性能下降或工作不稳定,选择知名品牌可有很好的保障; 4.对某些如无盘网络,游戏网络等对服务器的数据交换频繁且大量的网络环境,服务器的硬件配置(主要是CPU处理速度,内存,硬盘,网卡)往往成为影响网络性能的最大瓶颈,提升网络性能须从此入手; 5.选择适当的网络连接设备(交换机和集线器)同样也是网络性能的重要保障,除选择知名品牌外,网络扩充导致性能下降时应考虑设备升级的必要性。 解决ARP欺骗和攻击的方法 在局域网中,通信前必须通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,对网络的正常传输和安全都是一个很严峻的考验。 “又掉线了!!!”每当听到客户的抱怨声一片响起,网管员就坐立不安。其实,此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大患。
ARP欺骗原理与解决办法
ARP欺骗原理与解决办法 2009-03-26 18:18 【故障原理】 要了解故障原理,我们先来了解一下ARP协议。 在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP 协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。 ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。 每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下所示。 主机IP地址MAC地址 A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd 我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B 发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。 从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD 这个地址上。如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A 发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么,
计算机网络安全实验arp欺骗
《计算机网络安全》实验报告实验名称: arp欺骗 提交报告时间:年月日
一、实验目的 程序实现ARP欺骗,对ARP欺骗进行进一步的认识并提出防范措施。 二、系统环境 主机1 windows系统 主机2 windows系统
主机3 linux操作系统 三、网络环境 同一网段下的网络 四、实验步骤与实验结果 将主机A、C、E为一组,B、D、F为一组。实验角色说明如下: 实验主机实验角色 主机A、B 目标主机一/Windows 主机C、D 黑客主机/Linux 主机E、F 目标主机二/Windows 首先使用“快照X”恢复Windows/Linux系统环境。 一.ARP欺骗攻击 实验需求: (1)本实验使用交换网络结构(参见附录B),组一、二和三间通过交换模块连接(主机A、C、E通过交换模块连接,主机B、D、F也通过交换模块连接)。因此,正常情况下,主机C无法以嗅探方式监听到主机A与主机E间通信数据,同样主机D也无法监听到主机B与主机F 间的通信数据。 (2)主机C要监听主机A和主机E间的通信数据;主机D要监听主机B与主机F间的通信数据。 分析:
黑客主机通过对目标主机进行ARP欺骗攻击,获取目标主机间的通信数据。 1.正常通信 图6-1-1 目标主机正常通信示意图 (1)目标主机二单击工具栏“UDP工具”按钮,启动UDP连接工具,创建2513/udp服务端。 主机1发送数据 (2)目标主机一启动UDP连接工具,将“目标机器”IP地址指定为目标主机二的地址,目标端口与服务器一致。在“数据”文本框中输入任意内容,单击“发送”按钮,向服务端发数据。服务端确定接收到数据。
ARP地址欺骗实验报告
计算机科学与技术系 实验报告 专业名称网络工程 课程名称 TCP/IP协议 项目名称 ARP地址欺骗 班级 13网络工程2班 学号 1304032025 姓名王梦梦(E) 同组人员张奔、肖治才、张嫚嫚、杨中成、杨维维 实验日期 2015/12.7
一、实验目的与要求: (简述本次实验要求达到的目的,涉及到的相关知识点,实验的具体要求及实验环境,实验环境中标明源主机、目的主机的IP地址及MAC地址) 1、实验目的 理解ARP协议的原理,掌握ARP地址欺骗的方法。 2、实验环境(标明拓扑结构、源主机、目的主机的IP地址及MAC地址) 发给A的包:数据链路层:源主机MAC:D 目的主机MAC:A ARP报头格式:源主机IP:C 目的主机IP:A 源主机MAC:D 目的主机MAC:000000-000000 发给C的包:数据链路层:源主机MAC:D 目的主机MAC:C ARP报头格式:源主机IP:A 目的主机IP:C 源主机MAC:D 目的主机MAC:000000-000000 二、实验内容 (根据本次实验项目的具体任务和要求,完成相关内容,可包括:实验原理、实验流程概述、实验具体步骤、关键技术分析、实验过程。) 1、实验原理 ARP协议是用来已知IP地址求MAC地址。在每台主机中都有一张ARP地址缓存表,当有ARP请求时,它不但会应答,还会将请求报文中ARP层的源IP和源MAC与本地缓存进行对比,若不一致,则更新。 2、实验流程概述 1)编辑ARP报文中的相关字段值 2)持续发送报文 3)各主机检查本地地ARP地址缓存表,观察D发包前后ARP缓存表的变化。 3、实验具体步骤 各主机打开工具区的“拓扑验证工具”,选择相应的网络结构,配置网卡后,进行拓扑验证,如果通过拓扑验证,关闭工具继续进行实验,如果没有通过,请检查网络连接。 本练习将主机A、C和D作为一组,主机B、E和F作为一组。现仅以主机A、C、D所在组为例,其它组的操作参考主机A、C、D所在组的操作。 1. 主机A和主机C使用“arp -a”命令察看并记录ARP高速缓存。 2. 主机A、C启动协议分析器开始捕获数据并设置过滤条件(提取ARP协议和ICMP协议)。 3. 主机A ping 主机C。观察主机A、C上是捕获到的ICMP报文,记录MAC 地址。 4. 主机D启动协议编辑器向主机A编辑ARP请求报文(暂时不发送)。其中: MAC层:
arp欺骗超详细过程
(一)ARP工作原理、ARP攻击分析叙述: 随着网络设备在接入市场的应用也越来越多;同时遇到的问题也越来越多样,其中最让人头疼的就是ARP 的问题。 众所周知,ARP的基本功能就是在以太网环境中,通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。但由于ARP的广播、动态学习等特性注定了它不是一种安全的协议,所以在实际应用中,会由于各种各样的原因使ARP学习失败,从而影响网络的互通性,并进而影响用户的业务稳定运行。由于ARP处于数据链路层,处于整个OSI开放式七层模型的倒数第二层,所以除了HUB等极少数的、几乎所有跟以太网接口有关的设备,都涉及到ARP处理的问题。如果ARP问题处理不好,带来的影响也是非常巨大的。 在整个internet网络体系中,网络设备主要分为两类:一类就是安装有各种操作系统平台的PC、服务器等host;而另外一类就是负责网络互联的路由器、交换机、防火墙等数据通讯设备。这些设备由于自身所处的网络位置的不同、安全稳定程度的不同、服务的不同,在ARP机制的处理上也不尽相同,当然本文不是要全面阐述ARP的原理和实现,只是希望能够说明并解决或规避在我们的应用环境中出现的问题――我们考虑的范围是Win2K/XP主机和路由器、交换机。 1 ARP基础知识 一般的,正常的ARP过程只需ARP Request和ARP Response两个过程,简单的说就是一问一答,如下: 这记录了局域网内一台IP为192.168.19.180的PC与网关设备(IP为192.168.1.6)之间的ARP交互,该PC发送请求之后,在0.000434秒之后,网关设备做出了回应,此时路由器就学习到了对方的ARP信息:如下: 我们关注的是ARP的过程,而不是结果;来看一下ARP Request: 从[Ethernet Header]可以看出,ARP请求的目标地址是全F,也就是广播地址;因为在请求之前,本PC 不知道对方的MAC地址,为了确保ARP Request能够让对方收到,以广播形式方式是很自然的选择。在[ARP]
实验11arp欺骗
欺骗攻击 欺骗攻击是一种比较特殊的攻击方式,它不以获取目标主机的权限为目的,而往往是希望能够假扮目标主机的角色,从而可以窃取其他客户端发送给目标主机的信息。欺骗攻击的方式有很多种,包括社交工程、IP欺骗、DNS欺骗、电子邮件欺骗、WEB欺骗以及最流行的ARP欺骗等等。这些方式的不同,相应的攻击所应用的技术及采用的策略也都不尽相同,但我们要认识到它的本质并没有不同,攻击的最终目的就是伪造和欺骗。本章以ARP欺骗为例来阐述它的工作原理及具体应用。 ARP欺骗 11.1.1 背景描述 ARP欺骗是一类地址欺骗类病毒,属于木马病毒,自身不具备主动传播的特性,不会自我复制。但是由于其发作的时候会不断向全网发送伪造的ARP数据包,导致网络无法正常运行,严重的甚至可能带来整个网络的瘫痪。此外,此外黑客还会通过这种攻击手段窃取用户密码,如盗取QQ密码、盗取各种网络游戏密码和账号、盗窃网上银行账号,给用户造成了很大的不便和巨大的经济损失。因此,它的危害比一些蠕虫病毒来要厉害。 电脑感染ARP病毒后的表现为:网速时快时慢,极其不稳定,局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常;网上银行、游戏及QQ账号的频繁丢失。随着加密技术的不断提高,ARP病毒在盗取用户帐号、密码时遇到了很大的难度。于时又出现了一类新的ARP病毒,该类ARP病毒保留了ARP病毒的基本功能,即向全网发送伪造的ARP 欺骗广播,将自身伪装成网关。在此基础上,对用户发出的HTTP请求访问进行修改,在其中插入恶意网址链接,用户在不知情的情况下点击这些链接时,木马病毒就会利用系统漏洞种植到用户电脑中,从而使用户电脑感染病毒。
arp欺骗的原理详细讲解.
arp欺骗的原理详细讲解(整理修改自网络)2010-04-20 16:55arp欺骗的原理其实就是使电脑无法找到网关的MAC地址。首先我们要了解什么是ARP,ARP (Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。 ARP 具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据链路层(MAC层,也就是相当于OSI的第二层)的MAC地址。 ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP 地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A 接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。 ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP 应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。 p2p终结者就是一个使用arp欺骗来达到控制网络的目的。防范arp欺骗的方法: 1. 使用VLAN 只要你的PC和P2P终结者软件不在同一个VLAN里, 他就拿你没办法. 2. 使用双向IP/MAC绑定在PC上绑定你的出口路由器的MAC地址, P2P终结者软件不能对你进行ARP欺骗, 自然也没法管你, 不过只是PC绑路由的MAC 还不安全, 因为P2P终结者软件可以欺骗路由, 所以最好的解决办法是使用PC, 路由上双向IP/MAC绑定, 就是说, 在PC 上绑定出路路由的
ARP欺骗与防御手段
ARP欺骗与防御手段神州数码网络公司
目录 1. ARP欺骗 (3) 1.1. ARP协议工作原理 (3) 1.2. ARP协议的缺陷 (3) 1.3. ARP协议报文格式 (4) 1.4. ARP攻击的种类 (5) 1.4.1. ARP网关欺骗 (5) 1.4.2. ARP主机欺骗 (6) 1.4.3. 网段扫描 (8)
1.ARP欺骗 在与用户的沟通过程中,感觉到用户的网络管理人员最头痛也是频繁出现的问题就是ARP的病毒攻击问题。在一个没有防御的网络当中暴发的ARP病毒带来的影响是非常严重的,会造成网络丢包、不能访问网关、IP地址冲突等等。多台设备短时间内发送大量ARP 报文还会引起设备的CPU利用率上升,严重时可能会引起核心设备的宕机。 如何解决ARP攻击的问题呢?首先要从ARP攻击的原理开始分析。 1.1. ARP协议工作原理 在TCP/IP协议中,每一个网络结点是用IP地址标识的,IP地址是一个逻辑地址。而在以太网中数据包是靠48位MAC地址(物理地址)寻址的。因此,必须建立IP地址与MAC 地址之间的对应(映射)关系,ARP协议就是为完成这个工作而设计的。 TCP/IP协议栈维护着一个ARP cache表,在构造网络数据包时,首先从ARP表中找目标IP对应的MAC地址,如果找不到,就发一个ARP request广播包,请求具有该IP地址的主机报告它的MAC地址,当收到目标IP所有者的ARP reply后,更新ARP cache。ARP cache有老化机制。 1.2. ARP协议的缺陷 ARP协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。它是无状态的协议,不会检查自己是否发过请求包,也不管(其实也不知道)是否是合法的应答,只要收到目标MAC是自己的ARP reply包或arp广播包(包括ARP request和ARP reply),都会接受并缓存。这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至可以做“中间人”。
zxARPs局域网ARP欺骗挂马方式详细讲解(图文)
zxARPs局域网ARP欺骗挂马方式详细讲解(图文) 一种新的挂马方式开始流行——局域网ARP欺骗挂马,只要局域网内一台机子中招了,它就可以在内网传播含有木马的网页,捕获的肉鸡就会成几何增长。 局域网ARP欺骗挂马的好处如下:无需入侵网站,只要你的主机处于局域网中即可,这是它最大的优点;收获的肉鸡多多,短时间内可以收获数十台甚至上百台肉鸡,类似网吧这样由上百台电脑组成的局域网是最好的挂马场所;局域网内的用户访问任何网站都会中我们的木马。看了上面的介绍,各位是不是已经蠢蠢欲动了? 第一步:配置木马服务端第七城市 我们以“黑洞”木马为例。运行“黑洞”木马的Client.exe文件,进入Client.exe的主界面后,点击“文件→创建DLL插入版本服务端程序”。 进入服务端程序的创建界面后,首先勾选“Win NT/2000/XP/2003下隐藏服务端文件、注册表、进程和服务”,然后切换到“连接选项”标签,在“主机”一栏中填入本机的公网IP地址,端口可以保持默认的“2007”。最后在“连接密码”处填入用来连接对方的密码,例如123456(图1)。设置完成后点击“生成”按钮,将木马服务端保存为muma.exe。 填写密码第七城市 第二步:生成网页木马
既然是挂马,那当然缺不了网页木马了。这里我们用“MS07-33网马生成器”为例。运行“MS07-33网马生成器”,在“网马地址”文本框中输入木马所在路径,我们以国内著名的双人小游戏网站(https://www.360docs.net/doc/323517751.html,为例),所以这里应该填入“https://www.360docs.net/doc/323517751.html,/muma.exe“,其中192.168.0.2是本机在局域网中的IP地址。点击“生成网马”按钮即可生成网马hackll.htm(图2)。 点击“生成网马” 第三步:局域网挂马 最后该请我们的主角出场了,就是上文中提到的小工具,这个工具叫zxARPs,是一个通过ARP欺骗实现局域网挂马的工具。在使用zxARPs前我们要安装WinPcap,它是网络底层驱动包,没有它zxARPs就运行不了。第七城市 安装好后将zxARPs放到任意目录,然后运行“命令提示符”,进入zxARPs所在的目录,然后输入命令:zxARPs.exe -idx 0 -ip 192.168.0.1-192.168.0.255 -port 80 -insert " 从现在开始,局域网中的用户无论访问什么网站,都会运行我们的网页木马,因为zxARPs 在用户打开网页的同时已经将挂马代码插入到正常网页中了。 ARP挂马防范技巧 从上文可见zxARPs的功能真的十分强大,但它毕竟是基于ARP欺骗原理的,只要局域网内的主机能够抵御ARP欺骗攻击,就可以完全无视zxARPs的挂马方法。 网管将局域网内所有的主机的IP地址和MAC地址进行绑定即可搞定。我们也可以下载“360ARP防火墙”来抵御ARP欺骗攻击,安装完成后点击界面上的“开启”按钮就可以让它保
Arp欺骗报告
网络安全课程设计 ——ARP病毒的分析与防御 班级:网络081班 学号:0807100334 姓名:王毅 指导老师:葛志辉 完成时间:2011.10.15
目录 1.实验要求--------------------------------------------------------3 2.实验原理--------------------------------------------------------3 3.实验步骤--------------------------------------------------------5 4.构造ARP数据包-----------------------------------------------9 5.实验结果与分析----------------------------------------------12 6.防范措施-------------------------------------------------------14 7.实验总结-------------------------------------------------------17
一、实验要求 能够深入分析ARP病毒的原理,能够利用winpcap、libnet构造网络数据包,实现ARP病毒,并结合抓包工具设计ARP病毒的防范方案。 二、实验原理 1、A RP工作原理 每台主机都会根据以往在网络中与其他节点的通信,在自己的ARP缓存区(ARP Cache)中建立一个ARP列表,以表示网络中节点IP地址和MAC地址的对应关系。当源节点需要将一个数据包发送到目标节点时,会首先检查自己ARP列表中是否存在该包中所包含的目标节点IP地址对应的MAC地址。如果有,则直接将数据包发送到这个MAC地址节点上;如果没有,就向本地网段发起一个ARP请求的广播包,查询此IP地址目标节点对应的MAC地址。此ARP请求数据包里包括源节点的IP地址、硬件地址,以及目标节点的IP地址。网络中所有的节点在收到这个ARP请求后,会检查数据包中的目标IP地址是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该节点首先将源端的MAC地址和IP地址的对应表项添加到自己的ARP列表中。如果发现ARP表中已经存在该IP地址所对应的MAC地址表项信息,则将其覆盖,然后给源节点发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址节点。源节点在收到这个ARP响应数据包后,将得到的目标节点的IP地址和MAC地址对应表项添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源节点一直没有收到ARP响应数据包,则表示ARP查询失败。 ARP攻击原理: ARP攻击就是通过伪造IP地址和MAC地址的映射实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。 2 、ARP欺骗的方式 (1)中间人攻击 这种攻击是网络监听的一种方式。攻击者进入两台通信的计算机之间,通过某种手段窃取一台机器给另一台机器发送的数据包,然后将数包修改再转发给另一台机器,攻击者对这两台计算机来说是透明的。具体过程如下。 假设三台计算机A、B、C。机器C修改A的ARP缓存表,将表中B的IP地址对应
论述ARP欺骗产生的原因
目录 摘要 (2) 论述ARP欺骗产生的原因 (2) 一、ARP的工作机制 (2) 二、ARP的协议格式 (3) 三、ARP欺骗产生的原因 (5) 四、防范ARP欺骗的技术 (6) 总结 (7) 参考文献 (7)
摘要 网络的迅速发展,在给人类生活带来方便的同时,也对网络安全提出了更高的要求。网络协议安全是网络安全的重要环节,因此对网络协议的分析和利用越来越受到特别关注。互联网的发展很大程度上归功于TCP/IP协议运行的高效性和开放性,然而TCP/IP协议在实现过程中忽略了对网络安全方面的考虑,致使其存在着较多的安全隐患。ARP协议是TCP/IP协议中重要的一员,其功能主要是为局域网内网络设备提供IP地址向硬件地址的转化,其设计建立在局域网内网络设备之间相互信任的基础上,由此产生了许多ARP欺骗攻击方法。许多木马和病毒利用ARP协议这一设计上的漏洞在局域网内进行ARP欺骗攻击,给局域网的安全造成了严重威胁。为解决ARP欺骗给局域网带来的安全问题,目前已有许多学者在这方面做了有意义的探索与实践,尽管某些方案在实际项目的应用中已相对成熟,但在防御能力上仍存在着一定的局限性。本文针对ARP的工作机制和ARP的协议格式来论述ARP欺骗产生的原因和介绍常见的ARP欺骗以及现有防御ARP欺骗的方法。 论述ARP欺骗产生的原因 一、ARP的工作机制 在数据链路层上识别主机的依据是物理地址,要想在两台主机之间传输数据就必须知道
对方的物理地址,对于以太网来说,就是以太网网卡的物理地址。而在网络层及以上的数据通信使用的主机的IP地址,所以当数据由高层协议到达数据链路层时,就需要将IP地址转化为物理地址。这个转化的过程实际上就是地址映射。地址解析协议(Address Resolution Protocol,ARP)就是为这两种不同的地址形式提供映射,负责完成在IP地址及数据链路层地址之间的映射。如图1.1 图1.1 ARP实现的过程 二、ARP的协议格式 ARP报文由一个帧的数据部分所携带,如图1.2所示。下面分别简述ARP分组中的各个字段的有关内容: ⑴以太网报头中的前两个字段是以太网的目的地址和源地址。目的地址为全1的特殊地址
ARP欺骗的发现和处理
检查是否有服务器对网关地址欺骗的方式: 1,在ARP表所在的交换机上检查日志(大二层网络为45,小二层为35),以沙河堡小二层为例。登陆3550交换机,用show log命令查看日志: 如出现上面这样的记录,网关地址被冒用了,因为网管地址交换机默认是在VLAN10里面,这里提示125.64.16.1地址出现在VLAN20,交换机认为异常,所以记录了网管异常时所在MAC地址。 2,复制此地址。用show mac-address-table address 后面跟mac地址的命令查找该MAC 所在位置(命令可以简写为:sh mac-ad ad ): 上图的结果说明该MAC地址出现在了该35交换机的11口。 3,登陆到11口下联的29交换机,用sh mac-ad ad命令同样可以查找到该MAC地址在29上面的具体端口,从而可以判断到具体是某台服务器。 4,通知客户后,可以选择直接在交换机端口上shut,可以选择拔服务器端的网线。一般情况下这样操作后网络可以回复正常,但是也经常出现网络仍然不通或掉包严重,那么就需要回到2台35交换机上,进入EN模式将清空ARP缓存。命令为:clear arp-cache (可简写成cle ar)。这里需要注意的是,该命令严重增加交换机负担,在操作一次后,一段时间内不能再次使用此命令,否则交换机有卡死的可能。 备注:除了down端口和清ARP缓存以外,判断MAC位置的操作和查看日志的操作均可以不用EN权限。 另外,有很多ARP攻击是针对部分IP而不是针对网关,这样的情况就需要在35上查看ARP 表,命令:show arp,从各个IP对应的MAC地址上面查看是否存在同一MAC对应多个IP的情况,如果有,需要判断是否该客户采用单机多IP的技术,如果不是那么就可以确认该IP在进行ARP欺骗,查找和处理步骤同上。
ARP欺骗的原理与模拟
ARP欺骗原理与模拟 本文只是协议学习中的心得,所示范的试验方法仅用作学习的目的,请大家不要恶意使用 一什么是ARP协议? ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。所以说从某种意义上讲A RP协议是工作在更低于IP协议的协议层。这也是为什么ARP欺骗更能够让人在神不知鬼不觉的情况下出现网络故障,他的危害更加隐蔽。 二 ARP欺骗的原理: 首先我们可以肯定一点的就是发送ARP欺骗包是通过一个恶毒的程序自动发送的,正常的TCP/IP网络是不会有这样的错误包发送的,而人工发送又比较麻烦。也就是说当黑客没有运行这个恶毒程序的话,网络上通信应该是一切正常的,保留在各个连接网络计算机上的ARP缓存表也应该是正确的,只有程序启动开始发送错误ARP信息以及ARP欺骗包时才会让某些计算机访问网络出现问题。接下来我们来阐述下ARP欺骗的原理。 第一步:假设这样一个网络,一个Hub或交换机连接了3台机器,依次是计算机A,B,C。 第二步:正常情况下在A计算机上运行ARP -A查询ARP缓存表应该出现如下信息。 第三步:在计算机B上运行ARP欺骗程序,来发送ARP欺骗包。 B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的,A这里只有192.168.10.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DD mac地址。 第四步:欺骗完毕我们在A计算机上运行ARP -A来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。
实验一_ARP欺骗实验
实验名称___win7下实现arp欺骗_____ 日期_______________ 专业网络工程年级2011 姓名学号20111346026 【实验目的】 加深对ARP高速缓存的理解 了解ARP欺骗在网络攻击中的应用 【实验原理】 ARP欺骗是黑客常用的攻击手段之一,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通过发送ARP应答包通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。 ARP表是IP地址和MAC地址的映射关系表,任何实现了IP协议栈的设备,一般情况下都通过该表维护IP地址和MAC地址的对应关系,这是为了避免ARP 解析而造成的广播数据报文对网络造成冲击。 【实验环境】 需要使用协议编辑软件进行数据包编辑并发送;IP地址分配参考如下表所示。 设备IP地址Mac地址后缀 HostA 10.28.23.112 44-37-e6-10-77-81 HostB 10.28.23.168 28-92-4a-56-15-c2 设备连接即两台个人电脑。 【实验内容】 搭建网络实现ARP地址欺骗过程 防范ARP地址欺骗 【实验步骤】
一、设定环境(在实验中应根据具体实验环境进行实验) (1)根据环境拓扑图设定网络环境,并测试连通性。 (2)需要使用协议编辑软件进行数据包编辑并发送。 二、主机欺骗 (1)获得设定网络中各主机的IP地址和MAC地址,Ping网关。如图2-1、图 2-2 图2-1 图2-2 (2)在HostB IP为10.28.23.168的主机上使用arp –a命令查看网关的arp的列 表,如图3-1所示。