浅析ARP病毒入侵局域网的途径与防治
- 格式:doc
- 大小:276.00 KB
- 文档页数:12
xxxx高等专科学校毕业论文(设计)
1 目录
摘要 ............................................................................................................................... 2
1 ARP的知识概述 .................................................................................................... 2
1.1 ARP协议的含义 ........................................................................................... 2
1.2 ARP协议的工作原理 ................................................................................... 3
2 ARP病毒攻击的途径及防治措施 ........................................................................ 3
2.1 几种常见的ARP攻击方式 .......................................................................... 3
2.2 ARP攻击的防治措施 ................................................................................... 4
3 ARP实例分析及解决方案 .................................................................................... 5
3.1 实例描述........................................................................................................ 5
3.2 实例分析........................................................................................................ 5
3.3 实例步骤...................................................................................................... 10
4 总结 ....................................................................................................................... 11
参考文献 ..................................................................................................................... 11
致谢.... ......................................................................................................................... 12
本人声明 ..................................................................................................................... 12
xxxx高等专科学校毕业论文(设计)
2
浅析ARP病毒入侵局域网的途径与防治
作 者:xxx
指导老师:xxxx
(xxxx高等专科学校物理与信息技术系 xx 541xxx)
摘要: 本文分析了ARP协议工作的原理,介绍了几种常见的ARP攻击方式及受到ARP攻击后网络可能的表现症状,最后给出了解决ARP安全问题的解决方案,在第一章,简要的介绍了ARP的含义及工作原理,第二章才介绍了ARP攻击的几种途经和解决方案。ARP协议制定时间比较早,当时对这些协议的缺陷考虑不周,使得ARP攻击的破坏性比较大,但其也有局限性,比如ARP攻击只局限在本地网络环境中。这里只介绍了一些简单的ARP原理和基本的解决方案,在本文的第三章,列出了一个ARP攻击实例,在这个实例中,描述了ARP攻击的现象及怎么攻击的,然后给出了一个解决的方案。通过本文,想让大家更了解ARP,尽可能的避免上网的的问题。
关键词:网络安全; ARP协议; ARP欺骗
1.ARP的知识概述
1.1 arp协议的含义
ARP协议是Address Resolution Protocol地址解析协议的缩写,在局域网中以帧的方式进行传输数据,并且根据帧中目标主机的MAC地址来进行寻址。在以太网中,一台主机要和另一台主机进行直接通信,就必须要知道目的主机的MAC地址,xxxx高等专科学校毕业论文(设计)
3 这个目的MAC地址就是通过ARP协议获取的,地址解析就是主机在发送帧前将目的主机的IP地址转换成目的主机MAC地址的过程,这样才能保证局域网内各主机间可靠快速的通信。
1.2 arp协议的工作原理
假设主机A和B在同一个网段,主机A要向主机B发送信息。具体的地址解析过程如下。
(1) 主机A首先查看自己的ARP缓存表,确定其中是否包含有主机B对应的ARP表项。如果找到了主机B对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给主机B。
(2) 如果主机A在ARP缓存表中找不到对应的MAC地址,则将缓存该数据报文,然后以广播方式发送一个ARP请求报文。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机B会对该请求进行处理。
(3) 主机B比较自己的IP地址和ARP请求报文中的目标IP地址,如果相同则将ARP请求报文中的发送端主机A的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A。
(4) 主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP缓存表中以用于后续报文的转发,同时将IP数据包进行封装后发送出去。
当主机A和主机B不在同一网段时,主机A就会先向网关发出ARP请求报文。当主机A从收到的响应报文中获得网关的MAC地址后,将报文封装并发给网关。如果网关没有主机B的ARP表项,网关会广播ARP请求,目标IP地址为主机B的IP地址,当网关从收到的响应报文中获得主机B的MAC地址后,就可以将报文发给主机B;如果网关已经有主机B的ARP表项, 网关直接把报文发给主机B。
2.ARP病毒攻击的途径及防治措施
2.1 几种常见的ARP攻击方式
xxxx高等专科学校毕业论文(设计)
4 1. 拒绝服务攻击: 拒绝服务攻击就是使目标主机不能响应外界请求,从而不能对外提供服务的攻击方法。
2. 克隆攻击: 攻击者首先对目标主机实施拒绝服务攻击,使其不能对外界作出任何反应。然后攻击者就可以将自己的IP与MAC地址分别改为目标主机的IP与MAC地址,这样攻击者的主机变成了与目标主机一样的副本。
3. ARP欺骗: 网络欺骗是黑客常用的攻击手段之一,网络ARP欺骗分为两种,一种是对路由器ARP表的欺骗,另一种是对内网主机的网关欺骗。前一种欺骗的原理是攻击者通过截获分析网关数据,并通知路由器一系列错误的内网IP地址和MAC地址的映射,按照一定的频率不断进行使真实的地址信息映射无法通过更新保存在路由器中,结果路由器转发数据到错误的MAC地址的主机,造成正常主机无法收到信息;后一种ARP欺骗的原理是伪造网关,它的原理是把真实网关的的IP地址映射到错误的MAC地址,这样主机在向网关发送数据时,不能够到达真正的网关,如果假网关不能上网,那么真实的主机通过假网关也不能上网。
4. ARP泛洪攻击: 攻击主机持续把伪造的IP地址和MAC地址的映射对发给受害主机,对于局域网内的所有主机和网关进行广播,抢占网络带宽并干扰正常通信。导致网络中的主机和交换机不停地来更新自己的IP地址和MAC地址的映射表,浪费网络带宽和主机的CPU,使主机间都不能正常通信。
2.2 ARP攻击的防治措施
1. IP地址和MAC地址的静态绑定
(1) 在用户端进行绑定
ARP欺骗是通过ARP的动态刷新,并不进行验证的漏洞,来欺骗内网主机的,所以我们把ARP表全部设置为静态可以解决对内网的欺骗,也就是在用户端实施IP和MAC地址绑定,可以再用户主机上建立一个批处理文件,此文件内容是绑定内网主机IP地址和MAC地址,并包括网关主机的IP地址和MAC地址的绑定,并把此批处理文件放到系统的启动目录下,使系统每次重启后,自动运行此文件,自动生成内网主机IP地址到MAC地址的映射表。这种方法使用于小型的网络中。
(2) 在交换机上绑定
在核心交换机上绑定用户主机IP地址和网卡的MAC地址,同时在边缘交换机上将用户计算机网卡的IP地址和交换机端口绑定的双重安全绑定方式。这样可xxxx高等专科学校毕业论文(设计)
5 以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取,可以防止非法用户随意接入网络,网络用户如果擅自改动本机网卡的IP或MAC地址,该机器的网络访问将被拒绝,从而降低了ARP攻击的概率。
2. 采用VLAN技术隔离端口
局域网的网络管理员可根据需要,将本单位网络规划出若干个VLAN,当发现有非法用户在恶意利用ARP欺骗攻击网络,或因合法用户受病毒ARP病毒感染而影响网络时,网络管理员可先找到该用户所在的交换机端口,然后将该端口划一个单独的VLAN,将该用户与其它用户进行隔离,以避免对其它用户的影响,当然也可以利用将交换机的该端口关掉来屏蔽该用户对网络造成影响。
3.防火墙和杀毒软件
可以安装ARP防火墙或者开启局域网ARP防护,比如360安全卫士等ARP病毒专杀工具,并且实时下载安装系统漏洞补丁,关闭不必要的服务等来减少病毒的攻击。查找病毒源,对病毒源头的机器进行处理,杀毒或重新安装系统。解决了ARP攻击的源头PC机的问题 ,可以保证内网免受攻击。经常更新杀毒软件 (病毒库 )。设置允许的可设置为每天定时自动更新,安装并使用网络防火墙软件。
3. ARP攻击实例分析及解决方案
3.1 实例描述
动态ARP监测,这个特性我们最关心的是arp数据包,它是一种验证网络中的arp包的安全特性,可以阻止,记录,非法更改ip和mac地址绑定的arp数据包,使网络崩溃,不能上网。