ARP病毒的攻击与防范论文Word文件下载.docx
《ARP病毒的攻击与防范论文Word文件下载.docx》由会员分享,可在线阅读,更多相关《ARP病毒的攻击与防范论文Word文件下载.docx(33页珍藏版)》请在冰豆网上搜索。
窃取信息、病毒传播、破坏网络路由,暴力广告等等。
本文通过现象分析逐步推测出ARP的攻击原理。
随后通过对ARP数据帧格式的解析,证明了ARP协议漏洞是可以被用作ARP欺骗。
在探讨ARP攻击的防御措施时,文章从MAC地址集中管理、ARP数据包探测以及系统安全加固三方面进行论述。
对于公众上网环境中存在可被ARP攻击的漏洞进行分析,并对整体防御构架进一步探索。
关键词ARP攻击/ARP协议/安全防护目录
第1章绪论1
1.1引言1
1.2研究背景及意义2
1.3本文研究内容和组织结构3
第2章ARP攻击原理综述3
2.1ARP工作原理3
2.1.1以太网中的ARP协议简介3
2.1.2ARP协议原理4
2.2ARP攻击的危害6
2.3ARP攻击程序结构7
2.4ARP协议缺陷8
2.5ARP表的操作方法12
2.6ARP伪造帧格式13
2.7网关出口上的ARP欺骗20
第3章ARP欺骗攻击的实现22
3.1构造ARP欺骗帧22
3.2发送ARP欺骗帧28
3.3同时发向两台机器的“Man-In-The-Middle”29
3.4IP数据包的转发31
3.5侦听35
3.6用ARP攻击WINDOWS系统35
3.7对交换机攻击35
3.8挂载病毒36
第4章ARP欺骗攻击防范38
4.1ARP防护整体布局思路38
4.2计算机系统安全加固40
4.3ARP杀毒软件40
4.4ARP攻击探测器41
4.5MAC地址集中管理42
4.5.1传统的交换机MAC地址管理43
4.5.2基于地址扫描的MAC中央管理43
总结结论45
致谢46
参考文献46
第1章绪论
1.1引言
网络安全问题一直是网络发展中的突出问题,2008年5月公安部公共信息网络安全监察局举办的2008年度信息网络安全状况与计算机病毒疫情调查结果显示,我国信息网络安全事件发生比例为62.7%,计算机病毒感染率下降为85.5%,感染计算机病毒、蠕虫和木马程序的情况依然最为突出,其次是网络攻击、端口扫描、垃圾邮件和网页篡改。
在发生的安全事件中,攻击或传播源涉及内部人员的达到54%,比去年激增了15%;
涉及外部人员的却锐减了18%。
由此可见,计算机病毒对网络安全的影响仍然很大,发生在局域网的网络安全问题也更为突出,因此,网络安全形势依旧严峻。
网络的飞速发展改变了人们的工作和生活,在带来便利的同时也带来了很多麻烦。
由于网络安全问题的日益突出,使得计算机病毒、网络攻击和犯罪频繁发生。
根据国家计算机病毒应急处理中心发布的《中国互联网网络安全报告(2009年上半年)》中的数据显示,2009年上半年,国家互联网应急中心(CNCERT)通过技术平台共捕获约90万个恶意代码,比去年同期增长62.5%。
每年都有相当数量具有一定影响力的新计算机病毒出现,它们造成的破坏和损失也更大,人们花费在病毒防治方面的精力和技术也越多。
如2008年ARP(AddressResolutionProtocol)病毒就表现很突出,江民公司发布的《07年上半年病毒报告及十大病毒》中ARP病毒排名第四,瑞星公司发布的《2007年上半年电脑病毒疫情和互联网安全报告》中ARP病毒排名第六。
造成信息和网络安全问题的因素很多,主要可归纳为两方面。
一方面是技术方面的问题,目前的计算机操作系统和应用软件或多或少存在一定的安全漏洞,而攻击者恰恰利用了这些漏洞,由于计算机病毒防治技术相对要落后于病毒攻击,因此会造成病毒在一定范围内蔓延;
另一方面是管理方面的问题,由于管理人员的技术水平不足和管理不善造成的安全问题也层出不穷,系统漏洞修复的滞后和安全防护措施的不够给攻击者提供了机会。
再加之,互联网是一个开放的系统,任何微小的漏洞和病毒都会快速蔓延,甚至殃及全球,因此网络安全问题不容忽视。
ARP病毒很大程度上是因为技术方面的问题而导致的,因此,可以通过技术改进加以防范。
1.2研究背景及意义
ARP协议是一个基础协议,它的应用非常广泛。
ARP由口层复用,用于解析局域网内任意合法第3层协议地址和第2层硬件地址之间的映射关系。
ARP协议工作在局域网中,早期的协议设计者认为局域网是可信赖的,同时为了考虑传输效率,没有加入安全机制。
现在的网络规模已经今非昔比,局域网已经不再是原始意义上的局域网络,但ARP协议仍然扮演着同样重要的角色,攻击者正是利用了这一特点,利用该协议实现攻击目的。
ARP欺骗攻击通过伪造IP地址和MAC地址映射来实现,它造成目标主机ARP高速缓存信息错误,从而影响网络通信、实施网络欺骗。
目前,“ARP”骗技术正在被越来越多的病毒所使用,成为局域网安全的新杀手。
《病毒预报》(2008-2009)报道,国家计算机病毒应急处理中心通过互联网络监测发现,一种新型“地址解析协议欺骗”(简称:
ARP欺骗)的恶意木马程序的正在互联网络中传播,并且它会在局域网络中寻找网络数据响应包,在包内加入恶意木马程序的代码信息,最终导致局域网中用户计算机系统感染木马程序,使得计算机系统中的信息篡改或丢失。
该“ARP欺骗”的恶意木马程序入侵某个局域网中的计算机系统后,它会试图通过“ARP欺骗”手段截获所在局域网络内其它计算机系统的通信信息,导致该局域网出现突然掉线,过一段时间后又会恢复正常的现象。
同时,网内的其他计算机系统也会受到影响,出现IP地址冲突、频繁断网、浏览器频繁出错,以及一些系统内常用软件出现故障等现象。
除外,它会对局域网络中所有的数据包进行分析,过滤出网页浏览请求的应答数据包,并在数据包里面插入恶意代码,一旦计算机系统中的IE浏览器存在漏洞,那么计算机用户浏览网页的同时就会自动下载并运行恶意木马程序。
“ARP欺骗”类恶意木马程序的危害性比较大,特别是对校园网、网吧等局域网会造成大范围的破坏和影响,轻则影响网络使用,重则导致网络瘫痪,是个不容忽视的问题。
目前,很多研究者已经给出了针对ARP欺骗攻击的防治方法,在一定程度上减少了ARP问题的发生,这类方法主要是通过保护ARP高速缓存等方法来实现,它们没有从根本上解决ARP欺骗问题,因为ARP欺骗问题的发生是因为ARP协议本身存在在不可信网络中运行的漏洞。
本文将从ARP协议本身出发,分析ARP协议的不安全因素,并针对存在的问题给出解决的具体方法,达到从根本上解决ARP病毒问题的目的。
1.3本文研究内容和组织结构
本文主要目的是通过研究ARP协议缺陷,来阐述ARP攻击原理。
然后根据此原理剖析ARP侦听、病毒挂载等众多攻击手段。
文章的创新点在于阐述了MAC地址绑定等常用方法只能针对单机防护,而在大型公众上网环境中必须以MAC地址集中管理、ARP广播包探测等综合管理手段相辅助,进行整体防护。
文章最后以上海东方数字社区为实例说明综合防护手段的实施方法。
第一章绪论。
本章介绍了本文的课题研究背景,阐述了课题的研究目的以及意义,然后说明了本文的主要创新点和全文结构。
第二章ARP攻击原理综述。
本章首先用实例说明ARP攻击的危害性,然后详细介绍ARP协议概念、ARP帧结构、以及其他相关概念。
此章最后论证了ARP协议缺陷是ARP攻击症结所在。
第三章ARP欺骗攻击的实现。
本章通过Socket程序代码说明如何实现ARP欺骗攻击,然后通过程序代码叙述D.O.S拒绝服务攻击、侦听、病毒挂载、Windows系统攻击、交换机攻击等多种混合类攻击的实现原理。
第四章ARP欺骗攻击的防范。
针对如何在拥有上千个终端大型社区网络中有效防止ARP攻击蔓延,本章比较了常用的MAC地址绑定、系统安全加固等方法指出要在大范围内防止ARP攻击需要用综合手段,并提出ARP攻击探测、MAC地址中央管理等适用于大型网络的新方法。
第五章总结与展望。
本章对全文的研究工作进行总结,提出了主要结论,并介绍了课题今后进一步的改进和发展方向。
第2章ARP攻击原理综述
2.1ARP工作原理
2.1.1以太网中的ARP协议简介
IEEE的802标准委员会和802项目组定义了两种主要的LAN传输方法——以太网和令牌环网。
以太网在IEEE802.3规范中被定义为LAN标准,令牌环网则在IEEE802.5规范中定义。
这两种方法的使用范围都很广泛,本文的研究针对以太网进行。
以太网利用了总线和星形拓扑结构的优点,采用了CSMA/CD技术,网络上想要发送帧的结点与另外的结点竞争资源,没有哪个结点的优先级比其他结点高,帧按照物理地址查找其特定的目标,以太网通过一个广播信道向所有结点发送数据,处于同一广播域的结点都会收到该数据。
虽然每台主机都由一个IP地址,但是IP地址是运行TCP/IP协议机器的通用标识,IP地址自身不能使报文到达其目的地,数据传输必须依靠网络适配器唯一的硬件地址,该地址也被称为MAC地址或者数据链路地址,该地址通常在网络适配器生产厂家唯一编址,具有全球唯一性。
以太网中的硬件地址采用48位长度表示,ARP协议为IP地址到对应的硬件地址之间提供动态映射脚,因此,担负IP地址和硬件地址转换的ARP协议具有非常重要的地位。
2.1.2ARP协议原理
ARP协议起初是为DEC/Intel/Xerox的10兆以太网设计的,现在已允许用在其它类型的网络上。
当来自上层的数据要发送时,需要知道目标主机的硬件地址,这时就需要通过IP地址找到相应的硬件地址,网络接口输出函数会调用ARP协议进行ARP解析。
ARP解析函数发送ARP请求(作为广播包发送),目标主机收到ARP请求后发送ARP应答(作为单播包发送),当发送主机收到ARP应答后就可发送数据。
为了避免频繁发送ARP请求和应答,实现时在主机中都会有一个ARP高速缓存用来存放已经解析成功的ARP信息,所以通常数据发送前先查找ARP高速缓存,找不到时才会发送ARP请求。
2.1.2.1ARP分组格式
RFC826定义了ARP分组的格式,在以太网上使用的ARP分组格式见图2-1。
该分组由以太网首部和以太网ARP字段两部分组成。
.
图2-1ARP的分组格式
(1)以太网首部:
以太网首部包括以太网目的地址、以太网源地址和帧类型三部分,以太网目的地址是通信目的端的MAC地址,长度为48位,目的地址为全1是广播地址,这时,电缆上的所有以太接口都要接收此数据并进行处理。
以太网源地址是通信源端的MAC地址,长度为48位。
帧类型表示以太网首部所携带数据的类型,如果是IP帧则为0x0800,如果是ARP帧则为0x0806。
(2)以太网ARP字段:
包括ARP首部和ARP数据两部分。
其中ARP首部包括硬件类型、协议类型、硬件地址长度、协议地址长度和操作码五部分,硬件类型字段值为1表示是以太网地址,协议类型字段值为0x8000表示IP地址,硬件地址长度为6表示是以太网硬件地址,协议地址长度字段值为4表示是IP地址,操作码指出了ARP操作的四种类型,其中ARP请求值为1,ARP应答值为2,RARP请求和应答分别人3和4(可参见RARP协议的相关资料,本文不进行介绍);
ARP数据部分包括了发送方硬件地址、发送方IP地址、目的硬件地址和目的IP地址,它们根据不同情况进行填充,ARP请求包填充除目的硬件地址以外的所有数据,而ARP应答数据则填充全部数据。
2.1.2.2ARP发包和收包流程
(1)发包
①当网络层往下传来一个包,路由选择将确定该包下一跳的协议地址(目的主机的口地址),为了正确发送该数据包,必须知道目的主机的硬件地址,这时就需要进行IP地址至MAC地址的解析,为此需要发送ARP请求,即发送一个帧类型字段为0x0806的以太网包,该包中以太网目的地址全为1(ARP请求以广播形式发送),除了目的硬件地址外全部填充,其中以太网源地址、发送者硬件地址和发送者IP地址填充本机的信息,ARP操作码填充1,协议地址长度填充4,硬件地址长度填充6,目的IP地址填充路由确定的下一跳协议地址,目的硬件地址的值是想要得到的值。
ARP请求包会被广播到所有在以太网电缆上的主机,如果目的主机得到该ARP请求包则会发送一个ARP应答包,如果一定时间没有收到ARP应答包,则会继续发送若干次,如果还没有收到应答包,则认为该主机不可达到,停止发送ARP请求。
为了提高通信效率,通常主机中会保存已经解析到的IP和MAC地址的映射,通常称之为ARP高速缓存。
它保存了IF索引(物理接口索引)、IP和MAC地址的映射,以及该映射的类型信息等,类型有4种可能的值,值2意味着表项是无效的,值3意味着映射是动态的(表项可能改变),值4说明是静态项(表项不变化),值1意味着不是上面的任何一种情况。
动态表项有一定的生存期,动态ARP表项如果在一定时间没有被使用,则会因超时被删除,如果在生存期内被使用,则生存期会被重置为最大值。
通常,在数据发送前先会查找ARP高速缓存寻找相应的MAC地址,如果没有找到才会发送相应的ARP请求。
②免费ARP
主机在启动时会主动发送一个ARP请求包,该包中发送端的协议地址和目的端的协议地址一致。
免费ARP包可以检测在以太网中是否存在IP地址冲突,可以使其他机器更新其相应信息,使得网络通信快速恢复。
如果发送免费ARP的主机正好改变了硬件地址(有可能是更换网络适配器,然后重新启动),那么这个免费ARP就可以使其它主机ARP高速缓存中旧的硬件地址进行相应的更新。
(2)收包
①当接口收到ARP请求包后会进行检查,检查该包的硬件地址类型及长度和协议地址类型及长度是不是符合本接口,如果符合,那么在ARP高速缓存中查找发送者IP地址相关的映射,如果找到一个相符的表项,那么更新此表项(覆盖原来的硬件地址为新的硬件地址)。
②判断本机是不是通信的目标主机,如果是,并且没有进行过①中的更新,那么更新ARP高速缓存。
③如果收到的是一个ARP请求,那么生成一个相应的ARP应答包,并且将这个ARP应答包发送给对方,ARP应答包以单播的形式发送,它填充了ARP包中的所有内容。
2.2ARP攻击的危害
ARP欺骗不同于通常攻击可造成的巨大破坏。
ARP欺骗可以造成内部网络的混乱,某些被欺骗的计算机无法正常访问内外网,让网关无法和客户端正常通信。
实际上他的危害还不仅仅如此,一般来说IP地址的冲突我们可以通过多种方法和手段来避免,而ARP协议工作在更低层,隐蔽性更高。
而且很多黑客工具,可以随时发送ARP欺骗数据包和ARP恢复数据包,这样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的网络连接截获其通讯数据并可做篡改以加入病毒代码进行传播,甚至还可以直接对网关进行攻击,让所有连接网络的计算机都无法正常上网。
这点在以前是不可能的,因为普通计算机没有管理权限来控制网关所以说。
ARP欺骗的危害是巨大的,而且非常难对付,非法用户和恶意用户可以随时发送ARP欺骗和恢复数据包,这样就增加了网络管理员查找攻击源的难度。
归纳ARP欺骗类攻击的危害性如下:
(1)攻击点范围广:
不需要攻占具体服务器,在不获得目标主机的权限的条件下,只要在网络环境的任何一个点上安放一台“肉机”便可以感染整个网段;
(2)攻击非常隐蔽:
不需要改动任何目标主机的页面或者是配置,在网络传输的过
程中间直接插入病毒的代码;
(3)发觉困难:
如没有机房网络管理人员协助协查,服务器系统管理员光靠系统日志无法在短时间内找到攻击源;
(4)恢复复杂:
网站管理员即时发现被攻击后,但是从系统层面上无法自己清除;
(5)攻击手段变化多样:
黑客可以最大化的利用ARP欺骗,将他与其他攻击方法组合后运用于多种攻击,如,侦听、拒绝服务、挂载病毒。
从而实现多中攻击目的,如:
窃取信息、病毒传播、破坏网络路由,暴力广告等等;
2.3ARP攻击程序结构
随着互联网的发展,ARP攻击已经从早期简单模式,即发送ARP回应包使收欺骗机器无法上网发展到不只是对ARP协议层的攻击。
攻击者利用ARP信任局域的重大缺陷作为突破口,并通过一系列数据包转发的方法模拟出正常的通讯手段来欺骗数据收发双方,然后作为一个透明的网关在当中进行监听与数据伪装的方法。
图2-2ARP攻击的结构框架图
整个攻击的结构如图2-2所示,所有ARP类攻击的核心原理是ARP协议MAC地址欺骗。
在数据链接层MAC地址欺骗基础上使用类似于路由器的数据包转发技术可形成对攻击目标的网络数据侦听。
然后便可以与各种攻击方式相互结合,达到数据篡改、数据监听、停止服务攻击,以及病毒挂载的目的。
2.4ARP协议缺陷
ARP攻击的突破口是ARP协议缺陷,为了说明黑客程序是如何进行ARP欺骗进而修改ARP表,首先需要研究ARP协议的工作原理。
ARP协议是“AddressResolutionProtocol”(地址解析协议)的缩写。
位于OSI网络七层模型中的第二层—数据链路层。
在数据链路层中网络中实际传输的封装数据包为数据“帧”,帧的传播寻址方法是依靠目标主机的MAC地址。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
这个目标MAC地址是通过地址解析协议获得的。
Internet上常用到DNS域名解析是将IP地址与域名对应起来,而数据链接层的“MAC地址解析”原理与DNS相似,其实就是将网卡的MAC硬件地址与IP地址对应,整个“MAC地址解析”的过程其实就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
而ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
图2-3互联网名字解析协议原理
在图2-3所示的互联网名字解析方法中,每台使用TCP/IP协议上网的电脑内部都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的。
这个高速缓存存放了最近Internet地址到硬件地址之间的映射记录。
高速缓存中每一项的生存时间一般默认为20分钟(可通过注册表修改),缓存的起始时间从被创建时开始算起。
ARP缓存表下图所示。
图2-4ARP缓存表
举例说明IP-MAC地址表转换工作原理。
在192.168.1.0网段中有四台主机,每台主机都会存有一张IP-MAC地址对照关系如表2-2。
表2-1IP-MAC地址对照关系
根据表2-1的配置,以主机A(192.168.1.1)向主机B(192.168.1.2)发送数据为例。
当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。
如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以;
如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出询问:
“192.168.1.2的MAC地址是什么?
”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:
“192.168.1.2的MAC地址是“bb-bb-bb-bb-bb-bb”。
这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。
同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。
ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
整个ARP查询过程如图2-5所示。
图2-5正常ARP查询流程
从图2-5中可以发现,ARP协议存在一个重大的缺陷:
每台主机的ARP表的更新是信任广播域内所有机器的回应包的,也就是在说在ARP协议中,接受回应帧的主机无法验证回应包的真伪。
所以,在ARP协议中就很容易实现在以太网中的ARP欺骗。
在表2-1所示环境,对目标A进行欺骗。
C发出ARP回应数据帧到A,告诉A“B的MAC地址是CC-CC-CC-CC-CC”,A接受了假回应包,但是无法验证,于是就将自己的缓存更新了。
结果,A去Ping主机B却发送到了CC-CC-CC-CC-CC这个地址上。
如果进行欺骗的时候,把B的MAC地址欺骗为CC-CC-CC-CC-CC-CC,于是A发送到B上的数据包都变成发送给C的了。
如此一来C能够接收到A发送的数据桢,数据桢的截获成功。
由于ARP缓存表项是动态更新的,其生命周期默认是两分钟,如果再没有新的信息更新,ARP映射项将会自动去除。
所以,如果要保持A上的错误信息,C接下来要做的就是一直连续不断地向A和B发送虚假的ARP响应数据帧,让A的ARP缓存中保持被篡改了的映射表项。
图2-5ARP欺骗的流程
图2-5演示了如何运用ARP协议固有的缺陷对其进行欺骗,但是仅仅这种欺骗并不能完成对A与B之间数据交换的窃听与篡改,原因是,光有第二层的欺骗是不够的,在建立起数据连接层欺骗后,虽然A对这个变化一点都没有意识到,但是接下来在进行网络层TCP/IP握手以及应用层会话建立时由于C上并没有能模仿B的应用端口监听,所以A和C是无法建立连续连接的,通常当TCP/IP三次握手不成功时,A与C的接将断开,C对接收到A发送给B的数据包可没有转交给B。
这种攻击最多也就造成A与B之间连接中断,无法造成更大危害。
本章介绍数据链接层协议中ARP协议的先天缺陷,也是整个ARP欺骗攻击的突破口。
2.5ARP表的操作方法
2.4中指出了ARP欺骗的突破点—ARP协议缺陷,可见对计算机内部ARP缓存表的修改是ARP欺骗的关键所在。
在大多数的TCP/IP实现中,ARP是一个基础协议,但是它的运行对于应用程序或系统管理员来说一般是透明的。
ARP高速缓存在它的运行过程中非常关键,系统管理员可以用ARP命令对高速缓存进行检查和操作。
高速缓存中的每一项内容都有一个定时器,根据它来删除不完整和完整的表项。
ARP命令可以显示和修改ARP高速缓存中的内容。
下面说明操作系统中对
升级会员 