当前位置:文档之家 › ARP欺骗与防御手段

ARP欺骗与防御手段

  • 格式:doc
  • 大小:194.00 KB
  • 文档页数:15

下载文档原格式

  / 15
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

ARP欺骗与防御手段神州数码网络公司

目录

1. ARP欺骗 (3)

1.1. ARP协议工作原理 (3)

1.2. ARP协议的缺陷 (3)

1.3. ARP协议报文格式 (4)

1.4. ARP攻击的种类 (5)

1.4.1. ARP网关欺骗 (5)

1.4.2. ARP主机欺骗 (6)

1.4.3. 网段扫描 (8)

1.ARP欺骗

在与用户的沟通过程中,感觉到用户的网络管理人员最头痛也是频繁出现的问题就是ARP的病毒攻击问题。在一个没有防御的网络当中暴发的ARP病毒带来的影响是非常严重的,会造成网络丢包、不能访问网关、IP地址冲突等等。多台设备短时间内发送大量ARP 报文还会引起设备的CPU利用率上升,严重时可能会引起核心设备的宕机。

如何解决ARP攻击的问题呢?首先要从ARP攻击的原理开始分析。

1.1. ARP协议工作原理

在TCP/IP协议中,每一个网络结点是用IP地址标识的,IP地址是一个逻辑地址。而在以太网中数据包是靠48位MAC地址(物理地址)寻址的。因此,必须建立IP地址与MAC 地址之间的对应(映射)关系,ARP协议就是为完成这个工作而设计的。

TCP/IP协议栈维护着一个ARP cache表,在构造网络数据包时,首先从ARP表中找目标IP对应的MAC地址,如果找不到,就发一个ARP request广播包,请求具有该IP地址的主机报告它的MAC地址,当收到目标IP所有者的ARP reply后,更新ARP cache。ARP cache有老化机制。

1.2. ARP协议的缺陷

ARP协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。它是无状态的协议,不会检查自己是否发过请求包,也不管(其实也不知道)是否是合法的应答,只要收到目标MAC是自己的ARP reply包或arp广播包(包括ARP request和ARP reply),都会接受并缓存。这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至可以做“中间人”。

1.3. ARP协议报文格式

报文的前两个字段分别为目地MAC地址和源MAC地址,长度共12个字节。当报文中,目地MAC地址为全1(FF:FF:FF:FF:FF:FF)时候,代表为二层广播报文。同一个广播域的主机均会收到。

第三个字段是帧类型,长度2个字节。对于ARP报文,这个字段的值为“0806”。

接下来两个2字节的字段表示硬件地址类型和对应映射的协议类型。

硬件地址类型值为“0001”代表以太网地址。协议类型值为“0800”代表IP地址。

后跟两个1字节的字段表示硬件地址长度和协议地址长度。这两个字段具体数值分别为“6”和“4”代表硬件地址长度使用6字节表示和协议地址长度使用4字节表示。

类型字段,长度2个字节。这个字段的值表示出ARP报文属于那种操作。ARP请求(值为“01”,ARP应答(值为“02”),RARP请求(值为“03”)和RARP应答(值为“04”)。

最后四个字段为发送端MAC地址、发送端IP地址、接收端MAC地址、接收端IP地址。(其中,发送端MAC地址与字段2的源MAC地址重复。)

1.4. ARP攻击的种类

针对ARP攻击的不同目地,可以把ARP攻击分为网关欺骗、主机欺骗、MAC地址扫描几类。下面分析一下每种ARP攻击使用的方法和报文格式。

1.4.1.ARP网关欺骗

在ARP的攻击中,网关欺骗是一种比较常见的攻击方法。通过伪装的ARP Request报文或Reply报文到修改PC机网关的MAC-IP对照表的目地。造成PC机不能访问网关,将本应发向网关的数据报文发往被修改的MAC地址。

网关欺骗的报文格式:

主要参数:

Destination Address :00:0B:CD:61:C1:26(被欺骗主机的MAC地址)

Source Address :00:01:01:01:01:01 (网关更改的虚假MAC地址)Type :1 (ARP的请求报文)

Source Physics :00:01:01:01:01:01

Source IP :211.68.199.1

Destination Physics :00:0B:CD:61:C1:26

Destination IP :211.68.99.101

按上面的格式制作的数据包会对MAC地址为00:0B:CD:61:C1:26的主机发起网关欺骗,将这台PC机的网关211.68.199.1对应的MAC地址修改为00:01:01:01:01:01这个伪装的MAC 地址。

可以看到,上面这个网关欺骗的报文为单播ARP请求报文(Reply类同,在此不做详细介绍)。直接针对目地主机。对于这样的报文,唯有将它在进入端口的时候丢弃,才能保证网络当中的PC机不会受到这样的攻击。

1.4.

2.ARP主机欺骗

ARP主机欺骗的最终目地是修改PC机或交换机设备的MAC表项。将原本正确的表项修改为错误的MAC地址。最终导致PC机不能访问网络。

ARP主机欺骗可以使用单播报文实现也可以使用广播报文实现。

使用单播报文:

主要参数:

Destination Address :00:10:C6:DD:A6:28(被欺骗主机的MAC地址)

Source Address :00:01:01:01:01:01 (101更改的虚假MAC地址)

Type :2 (ARP的应答报文)

Source Physics :00:01:01:01:01:01

Source IP :211.68.199.101

Destination Physics :00:10:C6:DD:A6:28

相关主题