唐绍林毕业论文 浅析arp防火墙技术第三稿Word下载.docx
《唐绍林毕业论文 浅析arp防火墙技术第三稿Word下载.docx》由会员分享,可在线阅读,更多相关《唐绍林毕业论文 浅析arp防火墙技术第三稿Word下载.docx(13页珍藏版)》请在冰豆网上搜索。
(四)
“中间人”攻击5
(五)
ARP报文泛洪攻击5
三、ARP病毒带来的危害5
四、解决方法与防范策略5
(一)利用命令行的方式来检测并绑定IP-MAC双向绑定——防止恶意软件控制。
6
(二)在交换机端口上应用IP-MAC绑定6
(三)在交换机上设置虚拟局域网(VLAN)7
(四)ARP报文限速功能7
(五)交换机上配置DHCPSnooping和ARP入侵检测功能8
五、【ARP防火墙九大功能】8
(一)拦截ARP攻击8
(二)拦截IP冲突9
(三)Dos攻击抑制9
(四)安全模式9
(五)ARP数据分析9
(六)监测ARP缓存9
(七)主动防御9
(八)追踪攻击者9
(九)ARP病毒专杀9
附录一---详解ARP九大功能9
结语:
10
致谢10
参考文献:
论文提纲
引文:
随着网络技术在各个领域的广泛应用,在提高工作效率、实现共享以及信息交换等方面提供了极大的便利。
然而,由于网络协议设计上的缺陷,给网络病毒以可乘之机。
ARP病毒的出现,使网络的使用效率急剧下降,甚至对用户的信息安全构成威胁,因此,病毒的防范尤为重要。
正文:
一、ARP协议工作原理及作用
(一)ARP协议工作原理
(二)ARP在局域网中的作用
二、什么事ARP欺骗
(一)仿冒网关
(二)欺骗网关
(三)欺骗终端用户
(四)“中间人”攻击
(五)ARP报文泛洪攻击
三、ARP病毒带来的危害
(一)网络异常
(二)数据窃取
(三)数据篡改
(四)非法控制
四、解决方法与防范策略
(一)利用命令行的方式来检测并绑定IP-MAC双向绑定——防止恶意软件控制
(二)在交换机端口上应用IP-MAC绑定
(三)在交换机上设置虚拟局域网(VLAN)
(四)ARP报文限速功能
(五)交换机上配置DHCP-SNOOPING和ARP入侵检测功能
五、ARP防火墙九大功能
(一)拦截ARP攻击
(二)拦截IP冲突
(三)DOS攻击抑制
(四)安全模式
(五)ARP数据分析
(六)检测ARP缓存
(七)主动防御
(八)追踪攻击者
(九)ARP病毒专杀
附录一—详解ARP九大功能
结语
致谢
参考文献
网络给人们带来了很大的便利,但随之而来的安全问题让当初的设计者们始料未及。
ARP的欺骗正是利用了ARP协议设计上的缺陷,给网络安全、信息安全、甚至财产安全带来极大隐患。
但只要我们能从原理出发,找到问题的“症结”所在,利用行之有效的解决方法和防范措施,就能减小或消灭ARP病毒带来的危害,从而确保网络的畅通和数据的安全。
【内容摘要】ARP(AddressResolutionProtocol)基本功能是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
然而,一些非法的入侵者和网络监听者,利用各种技术和手段,篡改IP地址与MAC地址之间的对应关系,从而“冒名顶替”他人的MAC地址,以达到非法监听和获取他人在网络上传输的信息的目的,这种网络入侵方式为ARP欺骗入侵。
它是近年来网络入侵攻击的主要形式之一,严重威胁着网络信息的安全。
本文首先介绍了ARP协议的概念和工作原理,接着论述了ARP在局域网中的作用,再来分析当前ARP病毒的欺骗方式及其带来的危害,最后从网络本身的技术角度上提出了一些解决方法和防范策略。
【关键词】APR欺骗;
arp断网攻击;
APR协议;
arp防火墙
随着网络技术在各个领域的广泛应用,在提高工作效率、实现数据共享以及信息交换等方面提供了极大的便利。
网络经常掉线、发生IP冲突、担心通讯数据受到监控(如MSN、QQ、EMAIL)、网络速度受到网管软件限制(如聚生网管、P2P终结者)、甚至深受各种ARP攻击软件之苦(如网络执法官、网络剪刀手、局域网终结者)等这些问题是我们上网时经常遇到的,而这些问题的产生,根源都是ARP欺骗(ARP攻击)。
ARP病毒的出现,使网络的使用效率急剧下降,甚至对用户的信息安全构成威胁,因此,ARP病毒的防范显得尤为重要。
一、ARP协议其工作原理及作用
(一)ARP协议工作原理
ARP是AddressResolutionProtocol的缩写,是TCP/IP协议族中的一个协议,称为地址解析协议,即通过目标设备的IP地址,俗称arp病毒攻击、arp欺骗、arp攻击、arp断网攻击,查询目标地址的MAC地址,具体来说就是将网络层地址解析为数据连接层的MAC地址。
在局域网中如果时常上不了网,但是网络的连接正常,而局域网的网络情况却时好时坏,那么这很可能就是ARP欺骗已经发作的征兆。
在局域网中,如果要在两台主机之间进行通信,就必须要知道目标主机的IP地址,但是起到传输数据的物理设备网卡并不能直接识别IP地址,只能识别其硬件地址MAC地址。
主机之间的通信,一般都是网卡之间的通信,而网卡之间的通信都是根据对方的MAC地址来进行工作的,而ARP协议就是一个将数据包中的IP地址转换为MAC地址的网络协议。
(二)ARP在局域网中的作用
在规模越来越庞大的局域网中,存在上百台主机已经很普及,如何在这么多的主机的MAC地址中,快速又准确的记住每个网卡对应的IP地址和MAC地址的对应关系,这就要依靠一个存在于所有主机中的ARP缓存表来进行记录。
例如局域网中有A、B两台主机并通过交换机相连接,当A需要给B所在的IP地址发送数据时,A就要先查找自己的ARP缓存表,看其中是否存在这个IP的MAC地址,如果有就直接发送。
如果没有,那么A就要向整个局域网发送广播要求使用这个IP地址的主机进行响应,B收到广播后会向A返回一个响应信息,说明自己的MAC和A所要发送的IP地址是对应关系,而A收到B所返回的信息后会将这个IP和MAC进行记录,以后如果要再发送信息,则可以从ARP缓存表中直接查找并发送。
二、什么是ARP欺骗
按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。
这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。
一般网络中,常见的ARP攻击有如下几中形式。
仿冒网关
攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。
这样一来,主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
图1-1
“仿冒网关”攻击示意图
欺骗网关
攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给网关;
使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。
这样一来,网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
图1-2
“欺骗网关”攻击示意图
欺骗终端用户
攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给同网段内另一台合法主机;
使后者更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。
这样一来,网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法正常互访。
图1-3
“欺骗终端用户”攻击示意图
“中间人”攻击
ARP“中间人”攻击,又称为ARP双向欺骗。
如图1-4所示,HostA和HostC通过Switch进行通信。
此时,如果有恶意攻击者(HostB)想探听HostA和HostC之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使HostA和HostC用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。
此后,HostA和HostC之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即HostB担当了“中间人”的角色,可以对信息进行了窃取和篡改。
这种攻击方式就称作“中间人(Man-In-The-Middle)攻击”。
图1-4
ARP“中间人”攻击示意图
ARP报文泛洪攻击
恶意用户利用工具构造大量ARP报文发往交换机的某一端口,导致CPU负担过重,造成其他功能无法正常运行甚至设备瘫痪。
三、ARP病毒带来的危害
ARP病毒就是利用上述原理来对整个局域网来进行破坏,其中除了使其他电脑上不了网之外,还可以利用自身“帮”网关转发信息的特权给数据包添加病毒代码。
比如,用户打开一个本来正常的网页,但是由于ARP病毒的存在,这个原本正常的网页会带上若干恶意连接,使用户感染上病毒。
1、网络异常。
使用局域网时会突然掉线,过一段时间后又会恢复正常。
用户频繁断网,严重时甚至可能带来整个网络的瘫痪。
2、数据窃取。
具体表现为个人隐私泄漏,如MSN聊天记录、邮件等。
账号被盗用,如QQ账号、银行账号等,这是木马的惯用伎俩,给用户造成了很大的不便和经济损失。
3、数据篡改。
具体表现为访问的网页被添加了恶意内容,俗称“挂马”。
4、非法控制。
具体表现为网络速度、网络访问行为受第三者非法控制。
四、解决方法与防范策略
为了给大家带来良好的网络环境,阻止P2P终结者等恶意控制软件破坏局域网网络环境,现在我们就来做一下网关与客户机的双向IP&
MAC绑定来搞定它。
ARP病毒攻击的首要目标是网关,因此,保留一份正确的网关的IP-MAC数据很重要。
当局域网中发生ARP欺骗的时候,实施ARP欺骗的电脑会不停地发送ARP欺骗广播,这时局域网中的其它电脑就会动态更新自身的ARP缓存表,将网关的MAC地址记录成带ARP病毒的电脑的MAC地址,我们只要打开一个命令提示符窗口,输入“arp-a”来显示ARP缓存表的内容,显示为:
192.168.1.121-27-87-b8-1adynamic如果显示的内容与正确的数据不符,则说明ARP缓存表中网关的MAC已被篡改。
先删除现有的IP-MAC对应表:
arp-d192.168.1.1,在缓存列表中增加一个正确的、静态的IP→MAC的数据,如arp-s192.168.1.1d8-42-ac-2d-5d-08(如图一),既绑定了网关IP与MAC地址的对应关系。
如果网络管理员有局域网内所有主机的IP-MAC映射表,还可以根据MAC地址找到实施ARP欺骗的主机,再利用ARP专杀工具杀毒。
图表1-5arp绑定
(二)在交换机端口上应用IP-MAC绑定
在交换机端口上实施MAC地址与端口绑定和IP地址与端口的绑定相结合,从而达到在端口上应用IP与MAC地址绑定的功能。
一旦绑定之后,交换机的ARP表就固定了,任何ARP欺骗都无法修改交换机的ARP表,同时也就保证了路由的准确性。
a)AM命令(以下研讨都是以H3C设备命令为例)
使用特殊的AMUser-bind命令,来完成IP地址与MAC地址之间的绑定,即与绑定的IP地址或者MAC地址不同的PC机,在任何端口都无法上网。
例如:
[SwitchA]amuser-bindip-address10.1.1.2mac-address00e0-fc22-f8d3
b)arp命令
使用特殊的arpstatic命令,来完成IP地址与MAC地址之间的绑定。
[SwitchA]arpstatic10.1.1.200e0-fc22-f8d3
c)端口+IP+MAC
使用特殊的AMUser-bind命令,来完成IP-MAC地址与端口之间的绑定。
[SwitchA]amuser-bindip-address10.1.1.2mac-address00e0-fc22-f8d3interfaceEthernet1/0/1
(三)在交换机上设置虚拟局域网(VLAN)
由于广播信息不能跨越虚拟局域网,因此通过划分VLAN的方法,减小了ARP广播的范围,从而有效的减小了ARP欺骗带来的影响。
网络管理管理人员利用上面介绍的ARP木马检测方法在局域网的交换机上查出受感染该病毒的端口后,立即关闭中病毒的端口,通过端口查出相应的用户并通知其彻底查杀病毒。
而后,做好单机防范,在其彻底查杀病毒后再开放相应的交换机端口,重新开通上网。
#如现在市面上流行的H3C网络设备配置命令如下:
[H3C]interfaceGigabitEthernet1/0/1进入千兆口1口
[H3C-Ethernet1/0/1]shutdown关闭端口
[H3C-Ethernet1/0/1]undoshutdown打开(取消关闭)端口
其他厂商命令可能不一样,例如思科的打开端口命令就是noshutdown,但是所实现的功能都是一样的。
(四)ARP报文限速功能
H3C低端以太网交换机支持端口ARP报文限速功能,使受到攻击的端口暂时关闭,来避免此类攻击对CPU的冲击。
开启某个端口的ARP报文限速功能后,交换机对每秒内该端口接收的ARP报文数量进行统计,如果每秒收到的ARP报文数量超过设定值,则认为该端口处于超速状态(即受到ARP报文攻击)。
此时,交换机将关闭该端口,使其不再接收任何报文,从而避免大量ARP报文攻击设备。
同时,设备支持配置端口状态自动恢复功能,对于配置了ARP限速功能的端口,在其因超速而被交换机关闭后,经过一段时间可以自动恢复为开启状态。
#
开启Switch
A的端口Ethernet1/0/2上的ARP报文限速功能。
[H3C]
interface
Ethernet1/0/2
[H3C-Ethernet1/0/2]
arp
rate-limit
enable
20
配置端口状态自动恢复功能,恢复时间间隔为100秒。
protective-down
recover
interval
100
(五)交换机上配置DHCPSnooping和ARP入侵检测功能
在接入交换机Switch
A和Switch
B上开启DHCP
snooping功能,并配置与DHCP服务器相连的端口为DHCP
snooping信任端口。
ARP入侵检测功能
H3C低端以太网交换机支持将收到的ARP(请求与回应)报文重定向到CPU,结合DHCP
Snooping安全特性来判断ARP报文的合法性并进行处理,具体如下。
当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP
Snooping表项或者手工配置的IP静态绑定表项匹配,且ARP报文的入端口及其所属VLAN与DHCP
Snooping表项或者手工配置的IP静态绑定表项一致,则为合法ARP报文,进行转发处理,不一致则为非法ARP报文,直接丢弃。
配置Switch
A的上行口为DHCP
ethernet1/0/1
[H3C-Ethernet1/0/1]
dhcp-snooping
trust
开启DHCP
snooping。
dhcp-snooping
A的上行口为ARP信任端口。
detection
开启VLAN
10内所有端口的ARP入侵检测功能。
vlan
10
[H3C-vlan10]
五、【ARP防火墙九大功能】
(一)拦截ARP攻击
(A)在系统内核层拦截外部虚假ARP数据包,保障系统不受ARP欺骗、ARP攻击影响,保持网络畅通及通讯安全;
(B)在系统内核层拦截本机对外的ARP攻击数据包,以减少感染恶意程序后对外攻击给用户带来的麻烦;
(二)拦截IP冲突
在系统内核层拦截IP冲突数据包,保障系统不受IP冲突攻击的影响;
(三)Dos攻击抑制
在系统内核层拦截本机对外的TCPSYN/UDP/ICMP/ARPDoS攻击数据包,定位恶意发动DoS攻击的程序,从而保证网络的畅通;
(四)安全模式
除了网关外,不响应其它机器发送的ARPRequest,达到隐身效果,减少受到ARP攻击的几率;
(五)ARP数据分析
分析本机接收到的所有ARP数据包,掌握网络动态,找出潜在的攻击者或中毒的机器;
(六)监测ARP缓存
自动监测本机ARP缓存表,如发现网关MAC地址被恶意程序篡改,将报警并自动修复,以保持网络畅通及通讯安全;
(七)主动防御
主动与网关保持通讯,通告网关正确的MAC地址,以保持网络畅通及通讯安全;
(八)追踪攻击者
发现攻击行为后,自动快速锁定攻击者IP地址;
(九)ARP病毒专杀
发现本机有对外攻击行为时,自动定位本机感染的恶意程序、病毒程序;
附录一---详解ARP九大功能
金山ARP防火墙就完美的验证了arp防火墙的九大功能:
金山ARP防火墙能够双向拦截ARP欺骗攻击包,监测锁定攻击源,时刻保护局域网用户PC的正常上网数据流向,是一款是适于个人用户的反ARP欺骗保护工具!
1、网关动态探测+识别——识破伪造的网关地址
动态获取、并分析判断后为受保护PC绑定正确的网关地址,从而时刻保障保护本机上网数据的正确流向。
同时也支持用户手动设置绑定网关地址。
2、主动向真网关表明合法身份
双向拦截ARP攻击——外部攻击、本机受感染攻击均不影响使用
拦截来自外部接受或是由本机发出的ARP攻击数据包并提醒用户,保障本机及其它PC的网络通畅。
3、保护本机不受IP冲突攻击的影响
攻击源追踪锁定,抓住罪魁祸首
拦截到ARP攻击包后立即追踪攻击源,找出安全威胁源头。
4、主动实时升级主动漏洞修复。
让受保护PC在局域网隐身,恶性攻击无从下手
独有“安全桌面”:
采用底层驱动技术特殊保护下的独立空间,有效隔绝盗号木马的各种攻击,尤其适合进行全屏游戏的时候使用,并且和正常桌面之间的切换方便无门槛。
当程序在密保的保护下运行时,如有其他程序对其产生注入等可疑行为的时候,利用金山毒霸强大的互联网可信认证技术,利用强大的后台数据支持来判断安全与否,从而最大程度的减少对用户的骚扰,且更有利于拦截危险程序
5、可疑行为拦截+互联网可信认证
当程序在密保的保护下运行时,如有其他程序对其产生注入等可疑行为的时候,利用金山毒霸强大的互联网可信认证技术,利用强大的后台数据支持来判断安全与否,从而最大程度的减少对用户的骚扰,且更有利于拦截危险程序。
当程序在密保的保护下运行时,如有其他程序对其产生注入等可疑行为的时候,利用金山毒霸强大的互联网可信认证技术,利用强大的后台数据支持来判断安全与否,从而最大程度的减少对用户的骚扰,且更有利于拦截危险程序。
对被保护进程使用了进程隐藏功能之后,如同穿上了传说中的隐身衣,这些进程将无法被Ring3层的其他程序所发现。
从而加大了木马查找并攻击这些程序的难度。
以上网络给人们带来了很大的便利,但随之而来的安全问题让当初的设计者们始料未及。
致谢
此论文是在我的导师杨丕华老师的指导下完成的,让我更加顺利的完成了毕业论文的撰写,并学到了不少知识,感谢导师!
!
华三通信技术有限公司《路由交换技术》上下册清华大学出版社
兰少华《TCP/IP网络与协议》清华大学出版社
华三通信技术有限公司《H3C防ARP攻击配置举例》华三公司
张玉清《网络攻击与防御技术》清华大学出版社
李德全《拒绝服务攻击》电子工业出版社
文章大的问题没有多少了,请按照批注的要求再最后改一下。
改动好后尽快给我看下。
请与叶小云联系,对照论文的排版格式将论文按照要求排好版,我下次看到的要是排版后的论文。