下载文档原格式
局域网ARP欺骗和攻击主要特点及解决方式摘要对局域网频繁发生的ARP欺骗的问题进行论证,分析常见的几种ARP 欺骗和攻击方式,讨论通过IP-MAC双向绑定等方式,从客户端、网关等多个方面提出防御和解决ARP攻击的多种方法,以达到维护局域网络安全的目的。
关键词ARP欺骗;IP-MAC双向绑定;网络安全1 ARP协议的定义及功能ARP协议(Address Resolution Protocol),或称地址解析协议。
ARP协议用于将计算机的网络地址(IP地址32位)转化为物理地址(MAC地址48位)。
ARP协议是属于链路层的协议,在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址(硬件地址或称MAC地址)来确定接口的,而不是根据32位的IP地址。
内核(如驱动)必须知道目的端的硬件地址才能发送数据。
MAC地址(硬件地址或称以太网地址)即网卡物理地址都是固化在网卡中的,而IP地址所要转化的物理地址就是网卡的物理地址。
在网络传输中数据包的单位我们称之为“帧”(Frame),“帧”数据是由两部分组成的:帧头和帧数据。
帧头包括接收方主机物理地址的定位以及其它网络信息。
在以太网中,两台主机间假如要进行通信,就必须事先知道对方的MAC地址。
ARP 协议的基本功能就在于此,它将目标设备的IP地址,通过ARP映射表转换成为MAC地址。
每台安装有TCP/IP协议的计算机主机里都有一个ARP缓存表,表中的IP地址与MAC地址是一一对应的,如下表所示:2 ARP欺骗和攻击方式ARP缓存表进行更新一个最大的缺点从来不验证收到的的真伪,也就是说从来不会去验证自己是否曾经发送过这个ARP请求,一般收到ARP应答包后只是简单的将应答包里的MAC地址与IP映射关系替换掉原有的ARP缓存表里的相应信息,这个漏洞就为第三方进行ARP欺骗和攻击提供了可乘之机。
一般的ARP 攻击有以下几种:1)拒绝服务攻击拒绝服务攻击就是使目标主机不能响应外界请求,从而不能对外提供服务的攻击方法。
简述arp欺骗的原理。
ARP欺骗(Address Resolution Protocol spoofing),也称为MAC
欺骗(Media Access Control spoofing),是一种网络安全攻击技术,
旨在伪装攻击者的MAC地址并欺骗网络设备发送数据到错误的目的地设备。
ARP协议是一种用于将IP地址映射到MAC地址的协议。
ARP欺骗攻击利用ARP协议的本质,通过伪造ARP响应来欺骗网络设备,使其发送数据到错
误的目的地设备,从而实现窃取数据,监视流量,中断网络通信等恶意行为。
ARP欺骗的原理如下:
1.攻击者发送一个欺骗ARP响应消息到网络内的所有设备。
3.当其他设备需要与欺骗者通信时,其ARP查询命令将会返回欺骗者
的MAC地址而不是真正的目标设备的MAC地址。
4.欺骗者可以使用中间人攻击等方法,监视、中断、窃取网络通信数据。
ARP欺骗攻击通常通过局域网内的设备进行,攻击者需要与目标设备
位于同一局域网内。
因此,网络管理员可以通过限制局域网内设备的访问
权限,及时更新网络防御软件,定期检查网络设备,以更好地防范ARP欺
骗攻击。
arp欺骗实验报告
ARP欺骗实验报告
在网络安全领域,ARP欺骗是一种常见的攻击手段,它利用ARP协议的漏洞来
欺骗网络设备,使其发送数据包到错误的目的地。
为了更好地了解ARP欺骗的
原理和影响,我们进行了一项实验。
实验步骤如下:
1. 准备工作:我们使用了一台路由器和两台电脑来搭建局域网环境。
其中一台
电脑作为攻击者,另一台电脑作为受害者。
2. ARP欺骗攻击:在攻击者电脑上,我们使用工具来发送伪造的ARP响应包,
将受害者电脑的IP地址映射到攻击者的MAC地址上。
3. 数据传输测试:在进行ARP欺骗攻击后,我们在受害者电脑上发送了一些数
据包,观察其传输情况。
实验结果如下:
1. 数据包丢失:在进行ARP欺骗攻击后,我们发现受害者电脑发送的数据包并
没有到达预期的目的地,而是被发送到了攻击者电脑上。
2. 网络混乱:由于ARP欺骗导致了数据包发送错误,整个局域网环境出现了混乱,部分数据包甚至丢失。
结论:
通过这次实验,我们深刻认识到ARP欺骗对网络的危害。
攻击者可以利用ARP
欺骗来窃取数据、监控通信内容甚至篡改数据,给网络安全带来了严重的威胁。
因此,我们呼吁网络管理员和用户加强对ARP欺骗攻击的防范意识,采取相应
的安全措施来保护网络安全。
同时,我们也希望厂商能够加强对ARP协议的安
全性设计,减少网络攻击的可能性。
ARP欺骗攻击及防范研究摘要伴随着计算机网络的普及和通讯技术的迅猛发展,网络信息已逐步成为当今社会发展的重要资源。
网络互连一般采用TCP/IP 协议,由于网络及其协议的设计者,在设计之初只考虑了效率问题没有考虑网络安全的问题,所以几乎所有的网络协议都有漏洞,ARP 协议同样也存在着安全漏洞。
ARP 攻击在现今的网络中频频出现,轻者造成网络性能下降,重者造成网络不通或信息被盗。
因此有效的防范ARP 形式的网络攻击己成为确保网络畅通安全的必要条件。
本文分析了ARP 协议及其存在的漏洞,ARP 病毒的攻击原理和方式方法,对比了现有的检测、定位和防范方法的优缺点。
设计实现了一个检测、定位和防范ARP 病毒的系统。
能够有效的检测到交换的ARP 缓存表,通过对缓存中ARP 映射信息的分析,找出可能发生的欺骗或者谁是攻击者,通过远程设置交换机的ACL 等操作对检测到的危险进行处理,可以有效地对ARP 攻击进行防范和检测。
关键词:校园网,ARP 病毒,检测,定位,防范目录1 绪论 (1)1.1 研究背景与意义 (1)1.2 研究现状 (1)1.3 高校校园网特点及安全缺陷 (3)2 ARP 协议及相关理论基础 (4)2.1 ARP 协议的相关理论 (4)2.1.1 OSI 参考模型 (4)2.1.2 TCP/IP 参考模型 (5)2.2 ARP 协议概述 (6)2.2.1 ARP 缓存 (6)2.2.2 ARP 代理 (7)2.2.3 免费ARP (9)3 ARP 欺骗分析与测试 (10)3.1 ARP 欺骗原理 (10)3.2 常见的ARP 欺骗 (10)3.2.1 中间人欺骗 (10)3.2.2 IP 地址冲突 (11)3.2.3 一般主机欺骗 (11)3.4 ARP 测试程序—ARPTable (11)3.5 Windows 环境下的ARP 欺骗测试与分析 (12)3.5.1 IP 地址冲突的ARP 请求和应答实验 (12)3.5.2 假冒网关欺骗的ARP 请求和应答实验 (15)3.5.3 ARP 请求过程实验 (18)3.5.4 ARP 应答过程实验 (20)3.6 实验结果 (23)4 防御ARP 欺骗系统模型实验 (25)5 总结 (30)6 参考文献 (31)..1 绪论Internet 的迅速发展使得网络已伸入到社会生活的各个层面,给人们的工作、学习、生活带来了巨大的改变,效率得到了极大的提高,信息资源得到最大程度的共享。
局域网中ARP欺骗攻击及安全防范策略摘要 arp欺骗攻击作为一种非常专业化的攻击手段,给网络安全管理者带来了严峻的考验。
文中通过分析arp协议的工作原理, 讨论了arp协议从ip地址到物理地址解析过程中存在的安全隐患,给出了arp欺骗的实现过程,并使用科来软件分析系统工具进行了攻击模拟实验。
关键词网络安全;arp协议;arp欺骗;安全防范中图分类号tp393 文献标识码a 文章编号1674-6708(2010)26-0219-010 引言arp欺骗是一种利用计算机病毒使计算机网络无法正常运行的计算机攻击手段。
2007年6月初,国家计算机病毒应急处理中心预报一种新型“地址解析协议欺骗”(简称arp欺骗)的恶意木马程序正在互联网络中传播。
从此,arp欺骗逐渐在校园网、小区网、企业网以及网吧等局域网中蔓延,严重影响了正常网络通讯。
1 arp及其工作原理1.1 arp概述在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的mac地址的。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的mac地址。
这个目标mac地址就是通过地址解析协议获得的。
arp协议的基本功能就是通过目标设备的ip地址,查询目标设备的mac地址,以保证通信的顺利进行。
1.2 arp工作原理首先,每台主机都会在自己的arp缓冲区中建立一个 arp列表,以表示ip地址和mac地址的对应关系。
当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 arp列表中是否存在该ip地址对应的mac地址。
如果有,就直接将数据包发送到这个mac 地址;如果没有,就向本地网段发起一个arp请求的广播包,查询此目的主机对应的 mac地址。
网络中所有的主机收到这个arp请求后,会检查数据包中的目的ip是否和自己的ip地址一致。
如果不相同就忽略此数据包;如果相同,该主机首先将发送端的mac地址和ip地址添加到自己的arp列表中,如果arp 表中已经存在该ip的信息,则将其覆盖,然后给源主机发送一个 arp响应数据包,告诉对方自己是它需要查找的mac地址;源主机收到这个arp响应数据包后,将得到的目的主机的ip地址和mac地址添加到自己的 arp列表中,并利用此信息开始数据的传输。
arp欺骗原理ARP欺骗原理是一种利用ARP(地址解析协议)的漏洞,对局域网内的设备进行网络攻击的方法。
ARP协议是用于将IP地址转换为物理MAC地址的协议。
一般情况下,设备在进行网络通信时会先发送一个ARP请求,询问特定IP地址的设备的MAC地址。
然后接收到该请求的设备会返回一个包含自己MAC地址的ARP响应。
这样,源设备就可以将目标设备的IP与MAC地址关联起来,从而建立通信。
ARP欺骗利用的是ARP协议没有验证对方身份的漏洞。
攻击者可以通过伪造ARP请求或响应,将自己的MAC地址伪装成目标设备的MAC地址,以欺骗其他设备。
具体来说,下面是ARP欺骗的过程:1. 攻击者向局域网内发送ARP请求,询问目标设备的MAC地址。
2. 正常情况下,目标设备会回复一个包含自己MAC地址的ARP响应给攻击者。
3. 攻击者接收到ARP响应后,将自己的MAC地址伪装成目标设备的MAC地址,并不断发送伪造的ARP响应给其他设备。
4. 其他设备在接收到伪造的ARP响应后,会更新自己的ARP缓存表,将目标设备的IP地址与攻击者的MAC地址关联起来。
5. 当其他设备要与目标设备进行通信时,会将数据发送给攻击者的MAC地址,而攻击者则可以选择拦截、篡改、窃取这些数据。
通过ARP欺骗,攻击者可以获取其他设备的通信数据,进行拦截、篡改甚至窃取敏感信息。
此外,攻击者也可以通过将自己的MAC地址伪装成路由器的地址,实施中间人攻击,劫持网络通信。
为了防止ARP欺骗,可以采取以下措施:1. 搭建虚拟局域网(VLAN)进行隔离,限制ARP欺骗的范围。
2. 使用静态ARP表,手动添加设备的MAC地址与对应IP地址的映射,避免受到伪造的ARP响应的影响。
3. 定期清除ARP缓存表,更新设备的MAC地址。
4. 在网络中使用密钥认证机制,如802.1X,限制未授权设备的接入。
5. 使用加密的通信协议,确保数据在传输过程中的安全性。
以上是ARP欺骗的原理和防范措施的简要介绍,这种攻击方法在实际中仍然存在,并需要网络管理员和用户采取一系列的措施来保护网络安全。
移动通信技术的发展以及第三代移动通信中所采用的一些新技术摘要:ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。
此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。
目前,ARP欺骗是黑客常用的攻击手段之一,且ARP欺骗攻击的后果一般都是比较非常严重的,大多数情况下会造成大面积掉线。
有些网管员对此不甚了解,出现故障时,认为PC没有问题,交换机没掉线的“本事”,电信也不承认宽带故障。
而且如果第一种ARP欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了。
为此,宽带路由器被认为是“罪魁祸首”,而事实并非如此。
鉴于此,本文将论述ARP地址解析协议的含义和工作原理,分析了ARP协议所存在的安全漏洞,分析网段内和跨网段ARP欺骗的实现过程。
最后,结合网络管理的实际工作,介绍IP地址和MAC 地址绑定、交换机端口和MAC地址绑定、VLAN隔离等技术等几种能够有效防御ARP欺骗攻击的安全防范策略。
最后通过使用文中介绍安全防范策略成功阻止P2P终结者、Arpkiller等ARP攻击软件的攻击验证了该安全策略的有效性。
全关键词:ARP协议 IP地址局域网 MAC地址网络安全引言在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
网吧是最常见的局域网,在使用过程中有时出现别人可以正常上网而自己却无法访问任何页面和网络信息的情况,虽然造成这种现象的情况有很多,但是目前最常见的就是ARP欺骗了,很多黑客工具甚至是病毒都是通过ARP欺骗来实现对主机进行攻击和阻止本机访问任何网络信息的目的。
首先我们可以肯定一点的就是发送ARP欺骗包是通过一个恶毒的程序自动发送的,正常的TCP/IP网络是不会有这样的错误包发送的,而人工发送又比较麻烦。
也就是说当黑客没有运行这个恶毒程序的话,网络上通信应该是一切正常的,保留在各个连接网络计算机上的ARP缓存表也应该是正确的,只有程序启动开始发送错误ARP信息以及ARP欺骗包时才会让某些计算机访问网络出现问题。
ARP攻击方式及介绍攻击造成的现象ARP(Address Resolution Protocol)是一种广泛使用的局域网通信协议,用于将IP地址解析为MAC地址。
它通过发送ARP请求,询问特定IP地址的MAC地址,并将结果缓存在本地ARP缓存中,以提高网络传输的效率。
然而,由于ARP的工作方式容易受到攻击者的利用,因此ARP攻击成为了网络安全领域的一大威胁。
本文将介绍ARP攻击的几种常见方式,并详细讨论攻击造成的现象。
1. ARP欺骗(ARP Spoofing):ARP欺骗是最常见的ARP攻击方式之一,攻击者通过发送伪造的ARP响应包,将自己的MAC地址欺骗成目标主机的MAC地址,使得网络流量误导到攻击者的计算机上。
受到ARP欺骗影响的主机会将其传输的数据发送到攻击者所在的计算机,从而攻击者可以窃取敏感信息、修改数据或者拒绝服务。
另外,ARP欺骗还可以用于中间人攻击(Man-in-the-Middle Attack),攻击者将自己伪装成通信双方之间的中间节点,窃取通信内容或篡改通信数据。
2. ARP投毒(ARP Poisoning):ARP投毒是一种特殊形式的ARP欺骗,攻击者发送大量的伪造ARP响应包给所有主机,将一个或多个正常的ARP缓存条目篡改成攻击者所期望的条目。
这样一来,就会导致通信的源和目标主机都将数据发送到攻击者所在的计算机上。
攻击者通过篡改数据或拦截通信,干扰正常的网络传输或窃取敏感信息。
3. ARP劫持(ARP Hijacking):ARP劫持是一种利用ARP欺骗技术的高级攻击方式,攻击者通过持续发送伪造的ARP响应包,将目标主机的ARP表中原有的合法条目替换为攻击者所期望的条目。
这样,攻击者可以完全控制目标主机的网络连接,拦截、修改或重定向目标主机的通信。
4. 反向ARP攻击(Reverse ARP Attack):反向ARP攻击是一种少见的ARP攻击方式,攻击者伪造目标主机的ARP响应包,将目标主机的MAC地址欺骗成攻击者的MAC地址。
【摘 要】ARP协议存在很多漏洞,ARP地址欺骗将会给局域网的安全带来很多威胁。利用
命令行法、工具软件法或sniffer抓包嗅探法可定位ARP地址欺骗攻击者。使用静态的
IP-MAC地址解析、ARP服务器或第三层交换技术等方法可防御ARP地址欺骗的攻击。
【关键词】ARP协议ARP地址欺骗
ARP,全称Address Resolution Protocol,它是“地址解析协议的缩写。MAC地址是固化
在网卡上串行EEPROM中的物理地址,是由48比特长(6字节),16进制的数字组成,0~23
位是由厂家自己分配,24~47位叫做组织唯一标志符,是识别LAN(局域网)节点的标识。
一、ARP地址欺骗攻击者的定位
利用ARP协议的漏洞,攻击者对整个局域网的安全造成威胁,那么,怎样才能快速检
测并定位出局域网中的哪些机器在进行ARP地址欺骗攻击呢?面对着局域网中成百台电脑,
一个一个地检测显然不是好办法。其实,我们只要利用ARP病毒的基本原理:发送伪造的
ARP欺骗广播,中毒电脑自身伪装成网关的特性,就可以快速锁定中毒电脑。可以设想用
程序来实现以下功能:在网络正常的时候,牢牢记住正确网关的IP地址和MAC地址,并
且实时监控来自全网的ARP数据包,当发现有某个ARP数据包广播,其IP地址是正确网
关的IP地址,但是其MAC地址竟然是其他电脑的MAC地址的时候,这时,无疑是发生了
ARP欺骗。对此可疑MAC地址报警,再根据网络正常时候的IP一MAC地址对照表查询
该电脑,定位出其IP地址,这样就定位出攻击者了。
下面再介绍几种不同的检测ARP地址欺骗攻击的方法。
1.命令行法
在CMD命令提示窗口中利用系统自带的ARP命令即可完成。当局域网中发生ARP欺
骗的时候,攻击者会向全网不停地发送ARP欺骗广播,这时局域网中的其他电脑就会动态
更新自身的ARP缓存表,将网关的MAC地址记录成攻击者本身的MAC地址,此时,我们
只要在其受影响的电脑中使用“ARP -a”命令查询一下当前网关的MAC地址,就可知道攻击
者的MAC地址。我们输入“ARP -a',命令后的返回信息如下:
Internet Address 00-50-56-e6-49-56 Physical Address Type 192.168.0. dynamic。
由于当前电脑的ARP表是错误的记录,因此,该MAC地址不是真正网关的MAC地址,
而是攻击者的MAC地址。这时,再根据网络正常时,全网的IP-MA C地址对照表,查找攻
击者的IP地址就可以了[4]。由此可见,在网络正常的时候,保存一个全网电脑的IP-MA C
地址对照表是多么的重要。可以使用nbtscan工具扫描全网段的IP地址和MAC地址,保存
下来,以备后用。
2.工具软件法
现在网上有很多ARP病毒定位工具,其中做得较好的是Anti ARP Sniffer(现在已更名为
ARP防火墙)。利用此类软件,我们可以轻松地找到ARP攻击者的MAC地址。然后,我们
再根据欺骗机的MAC地址,对比查找全网的IP-MA C地址对照表,即可快速定位出攻击者。
3.Sniffer抓包嗅探法
当局域网中有ARP地址欺骗时,往往伴随着大量的ARP欺骗广播数据包,这时,流量
检测机制应该能够很好地检测出网络的异常举动,利用Ethereal之类的抓包工具找出大量发
送ARP广播包的机器,这基本上就可以当作攻击者进行处理。
以上3种方法有时需要结合使用,互相印证,这样可以快速、准确地将ARP地址欺骗
攻击者找出来。找到攻击者后,即可利用杀毒软件或手动将攻击程序删除。
二、ARP地址欺骗攻击的防御及其解决办法
1.使用静态的I P-MAC地址解析
针对ARP地址欺骗攻击的网络特性,我们可以使用静态的IP-MA C地址解析,主机的
IP-MA C地址映射表由手工维护,输人后不再动态更新。即便网络中有ARP攻击者在发送
欺骗的ARP数据包,其他电脑也不会修改自身的ARP缓存表,数据包始终发送给正确的接
收者。这种防御方法中常用的是“双向绑定法”。双向绑定法,顾名思义,就是要在两端绑定
IP-MA C地址,其中一端是在路由器(或交换机)中,把所有PC的IP-MA C输入到一个静态
表中,这叫路由器IP-MA C绑定。另一端是局域网中的每个客户机,在客户端设置网关的
静态ARP信息,这叫PC机IP-MA C绑定。除此之外,很多交换机和路由器厂商也推出了
各自的防御ARP病毒的软硬产品,如:华为的FIX AR 18-6X 系列全千兆以太网路由器就
可以实现局域网中的ARP病毒免疫,该路由器提供MAC和IP地址绑定功能,可以根据用
户的配置,在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP地址发送
的报文,如果其MAC地址不是指定关系对中的地址,路由器将予以丢弃,这是避免IP地
址假冒攻击的一种方式。
.使用ARP服务器
通过ARP服务器查找自己的ARP转换表来响应其他机器的ARP广播,但必须确保这
台ARP服务器不被黑客攻击。
3.使用其他交换方式
现在,基于IP地址变换进行路由的第三层交换机逐渐被采用,第三层交换技术用的是
IP路由交换协议。以往的MAC地址和ARP协议已经不起作用,因而ARP欺骗攻击在这种
交换环境下不起作用。该方法的缺点是这种交换机价格普遍比较昂贵。
出现ARP地址欺骗攻击的解决办法如下:
第一步:记住网关的正确IP地址和MAC地址,为以后的IP-MAC绑定做准备,也方
便以后查找病毒主机。网关MAC的获取,一是可以向单位的网管人员询问;二是在机器正
常上网时进行查询,记下网关IP地址和MAC地址,方法如下:打开“命令提示符”窗口,
在提示符后键入:ipconfig/al(l用此命令先查询网关的IP地址),然后再键入:arp-a(用来显
示ARP高速缓存中所有项目),如果并未列出网关IP地址与MAC地址的对应项,那就先
ping一下网关IP地址,再显示ARP高速缓存内容就能看到网关的IP-MAC对应项了。第二
步:发现网关MAC地址有冲突后,可先用arp-d命令先清除ARP高速缓存的内容,然后再
用arp-a命令查看网关IP-MAC项目是否正确。如果病毒不断攻击网关,那就要静态绑定网
关的IP-MAC。例如:网关IP地址为10.1.4.254,MAC地址为00-08-20-8b-68-0a,先用arp-d
命令清除ARP高速缓存的内容,再在命令提示符后键入:arp-s10.1.4.254 00-08-20-8b-68-0a,
这样网关IP地址和MAC地址就被静态绑定了。如果用户安装了瑞星防火墙,也可以通过
防火墙提供的“设置-详细设置-ARP静态规则”中进行静态绑定,或是在文章最开始的防火墙
提示中选择正确的MAC地址后点击“添加到ARP静态表中”。第三步:如果病毒不断攻击
网关致使网关的IP-MAC的静态绑定都无法操作,那就应该先找到病毒主机,使其断网杀毒,
才能保证网段内其它机器正常上网操作。
三、结束语
由于ARP协议制定时间比较早,当时对这些协议的缺陷考虑不周,使得ARP攻击的破
坏性比较大,但其也有局限性,比如ARP攻击只局限在本地网络环境中。最根本的解决措
施就是使用IPv6协议,因为在IPv6协议定义了邻机发现协议(NDP),把ARP纳人NDP并
运行于因特网控制报文协议(ICMP)上,使ARP更具有一般性,包括更多的内容。
参考文献:
[1]专家解读APR病毒.http ; //security. ccidnet. com/.
[2]马军,王岩.ARP协议攻击及其解决方案.信息安全,2006,22(5-3):70-77.
