局域网ARP欺骗攻击及安全防范策略毕业设计.docx
《局域网ARP欺骗攻击及安全防范策略毕业设计.docx》由会员分享,可在线阅读,更多相关《局域网ARP欺骗攻击及安全防范策略毕业设计.docx(32页珍藏版)》请在冰豆网上搜索。
局域网ARP欺骗攻击及安全防范策略毕业设计
Documentserialnumber【KKGB-LBS98YT-BS8CB-BSUT-BST108】
局域网ARP欺骗攻击及安全防范策略毕业设计
新疆机电职业技术学院
计算机系毕业论文
题目:
局域网ARP攻击及防范
专业:
计算机网络技术
年级:
高计算机10班
学生姓名:
王文瑞
学号:
指导教师:
李欣
2012年12月12日
局域网ARP攻击及防范
摘要:
ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。
此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。
目前,ARP欺骗是黑客常用的攻击手段之一,且ARP欺骗攻击的后果一般都是比较非常严重的,大多数情况下会造成大面积掉线。
有些网管员对此不甚了解,出现故障时,认为PC没有问题,交换机没掉线的“本事”,电信也不承认宽带故障。
而且如果第一种ARP欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了。
为此,宽带路由器被认为是“罪魁祸首”,而事实并非如此。
鉴于此,本文将论述ARP地址解析协议的含义和工作原理,分析了ARP协议所存在的安全漏洞,分析网段内和跨网段ARP欺骗的实现过程。
最后,结合网络管理的实际工作,介绍IP地址和MAC地址绑定、交换机端口和MAC地址绑定、VLAN隔离等技术等几种能够有效防御ARP欺骗攻击的安全防范策略。
最后通过使用文中介绍安全防范策略成功阻止P2P终结者、Arpkiller等ARP攻击软件的攻击验证了该安全策略的有效性。
关键词:
ARP协议IP地址局域网MAC地址网络安全
LANARPattackandprotection
Abstract:
ARPattack,whichisbasedonEthernetaddressesanalyticalprotocol(ARP)anattacktechnology.Thisattackmaylettheattackerhasalocal-areanetworkpacketsofdataoreventamperwiththepacket,andallowsnetworkonspecificcomputerorallcomputercannotnormalconnection.Atpresent,theARPdeceptionishackerscommonlyusedattackmeansone,andtheconsequencesofARPdeceptionattackisusuallycompareveryserious,inmostcircumstanceswillcausedextensivecalls.Somenetworkadministratorarenotwellunderstood,malfunction,thinkPCnoproblem,switchesdidn'tdropped"skill",telecomdoesnotacknowledgebroadbandfault.AndifthefirstkindofARPdeceptionoccurs,aslongastherestartrouter,thenetworkcanfullyrecover,thatproblemmustbeonarouter.Therefore,broadbandrouterisconsidered"thechiefculprit",butthisisnotthecase.Inviewofthis,thisarticlewillbediscussedthemeaningofARPaddressanalyticalprotocolandworkingprinciple,analyzestheexistingARPagreementsecurityvulnerabilities,analyzingnetworksegmentwithinandacrossthenetworksegmenttherealizationprocessofARPdeception.Finally,combinedwiththepracticalworkofnetworkmanagement,introducestheIPaddressandMACaddressbinding,switchportandMACaddressbinding,aswellasseveralvlansisolationtechnologycaneffectivelydefenseARPdeceptionattacksecuritypreventivestrategy.FinallythroughtheuseofintroducedsafetypreventivestrategypreventedP2Pterminator,ArpkilleretcARPattacksoftwareattackverifiedtheeffectivenessofthesecuritystrategy.
Keyords:
ARPagreementIPaddressBureauareanetMACaddressNetworksecurity
引言2
第一章.ARP协议简介2
第二章.ARP协议的工作原理3
第三章.分析ARP协议存在的安全漏洞5
一、分析ARP协议存在的安全漏洞5
二、ARP欺骗检测方法5
(一)主机级检测方法5
(二)网络级检测方法5
第四章.ARP欺骗攻击的实现过程6
一、通过路由器实现VLAN间的通信6
二、公司网络实现vlan间通信6
第五章.ARP攻击简介6
一、仿冒网关7
二、欺骗网关7
三、欺骗终端用户7
四、“中间人”攻击8
五、ARP报文泛洪攻击8
第六章.攻击安全防范策略8
一、DHCPSnooping功能9
二、IP静态绑定功能9
三、ARP入侵检测功能9
四、ARP报文限速功能9
五、CAMS下发网关配置功能10
第七章.ARP攻击防御配置举例10
一、DHCP监控模式下的ARP攻击防御配置举例10
(一)组网需求10
(二)组网图11
(三)配置思路11
(四)配置步骤11
(五)注意事项14
二、认证模式下的ARP攻击防御配置举例15
(一)组网需求15
(二)组网图16
(三)配置思路16
(四)配置步骤16
(五)注意事项27
第八章.结论27
[参考文献]28
致谢28
引言
在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
网吧是最常见的局域网,在使用过程中有时出现别人可以正常上网而自己却无法访问任何页面和网络信息的情况,虽然造成这种现象的情况有很多,但是目前最常见的就是ARP欺骗了,很多黑客工具甚至是病毒都是通过ARP欺骗来实现对主机进行攻击和阻止本机访问任何网络信息的目的。
首先我们可以肯定一点的就是发送ARP欺骗包是通过一个恶毒的程序自动发送的,正常的TCP/IP网络是不会有这样的错误包发送的,而人工发送又比较麻烦。
也就是说当黑客没有运行这个恶毒程序的话,网络上通信应该是一切正常的,保留在各个连接网络计算机上的ARP缓存表也应该是正确的,只有程序启动开始发送错误ARP信息以及ARP欺骗包时才会让某些计算机访问网络出现问题。
ARP欺骗可以造成内部网络的混乱,让某些被欺骗的计算机无法正常访问内外网,让网关无法和客户端正常通信。
实际上他的危害还不仅仅如此,一般来说IP地址的冲突我们可以通过多种方法和手段来避免,而ARP协议工作在更低层,隐蔽性更高。
系统并不会判断ARP缓存的正确与否,无法像IP地址冲突那样给出提示。
而且很多黑客工具例如网络剪刀手等,可以随时发送ARP欺骗数据包和ARP恢复数据包,这样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否,甚至还可以直接对网关进行攻击,让所有连接网络的计算机都无法正常上网。
这点在以前是不可能的,因为普通计算机没有管理权限来控制网关,而现在却成为可能,所以说ARP欺骗的危害是巨大的,而且非常难对付,非法用户和恶意用户可以随时发送ARP欺骗和恢复数据包,这样就增加了网络管理员查找真凶的难度,所以跟踪防范局域网ARP欺骗类攻击的最新技术,做到防范于未然就必不可少。
第一章.ARP协议简介
ARP(AddressResolutionProtocol),是由DavidC.Plummer在826internet标准(草案)提出,当时是为了美国数字设备公司、英特尔公司.施乐复印机公司等三个公司的10Mbit以太网所设计,在推广时也允许其它类型的网络使用。
ARP也即地址解析协议,该协议是将IP地址与网络物理地址一一对应的协议。
负责IP地址和网卡实体地址(MAC)之间的转换。
也就是将网络层(IP层,也就是相当于ISO/OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于ISO/OSI的第二层)的MAC地址。
TCP/IP协议中规定,IP地址为32位,由网络号和网络内的主机号构成,每一台接入局域网或者Internet的主机都要配置一个IP地址。
在以太网中,源主机和目的主机通信时,源主机不仅要知道目的主机的IP地址,还要知道目的主机的数据链路层地址,即网卡的MAC地址,同时规定MAC地址为48位。
ARP协议所做的工作就是查询目的主机的IP地址所对应的MAC地址,并实现双方通信。
第二章.ARP协议的工作原理
在网络中的任何一台主机,都有两个唯一的标识。
一个是由32位二进制组成lP地址,用于在网络层当中标识和查找计算机,另一个是由48位二进制组成的MAC地址,用于在数据链路层中标识和查找计算机。
IP地址是不能直接用来通讯的,因为IP地址只是主机在网络层中的地址,如果要将网络层中传输的数据报交给目的主机,还要传到链路层变成MAC帧才能发送到实际的网络上。
因此IP地址与MAC地址之间就必须存在一个映射表,而ARP协议就很好的解决了这些问题。
每一台安装有TCP/IP协议的计算机内部都有一张ARP高速缓存表,该缓存表记录了最近一段时间内区域网内与该计算机通讯的其他计算机的IP地址与其相应的MAC地址之间的对应关系。
当源主机要发送lP数据报时,数据链路层必须将IP数据报封装成以太网数据帧,才能在以太网中传输。
在封装过程中,为了找到与目的IP地址对应的MAC地址,源主机先会把目的主机的lP的地址与子网掩码进行逻辑与操作,以判断目的主机是否与自己在同一个网段内。
如果在同一网段内,源主机会先查看ARP高速缓存是否有与目的IP地址对应的MAC地址信息,如果MAC地址已存在,就直接使用。
如果对应的信息不存在,就向本地网段发起一个包含ARP请求的广播包,查询此目的主机对应的MAC地址。
此ARP请求数据包里包括源主机的IP地址、MAC地址、以及目的主机的lP地址。
网络中所有的主机收到这个ARP请求后。
会检查数据包中的目的IP是否和自己的IP地址一致。
如果不相同就忽略此数据包,如果相同,则给源主机发送一个ARP响应数据包,通过该报文使源主机获得目标主机的MAC地址信息则可利用此信息开始数据的传输。
假如目的主机与源主机不在同一个网段内,源主机会在ARP高速缓存中查找默认网关所对应的MAC地址,由默认网关再对该分组进行转发。
如果没有,源主机就会发送一个广播包,查询默认网关对应的MAC地址。
主机每隔一段时间或者每收到新的ARP应答就会更新ARP缓存,以保证自己拥有最新的地址解析缓存。
ARP协议工作原理详见以下图1和图2。
图1网段内ARP工作原理
图2夸网段ARP工作原理
C:
/>arp-a
InternetAddressPhysicalAddressType
注意,在这个过程中,如果主机A在发送ARP请求时,假如该局域网内有一台主机C的IP和A相同,C就会得知有一台主机的IP地址同自已的IP地址相同,于时就蹦出一个IP冲突的对话筐。
与ARP相对应的还有一个协议RARP(Reverse
AddressResolutionProtocol),反向地址解析协议,该协议主要用于工作站模型动态获取IP的过程中,作用是由MAC地址向服务器取回IP地址。
第三章.分析ARP协议存在的安全漏洞
一、分析ARP协议存在的安全漏洞
ARP协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。
它的主要漏洞有以下三点。
(1)主机地址映射表是基于高速缓存、动态更新的,ARP将保存在高速缓存中的每一个映射地址项目都设置了生存时间,它只保存最近的地址对应关系。
这样恶意的用户如果在下次交换前修改了被欺骗机器上的地址缓存,就可以进行假冒或拒绝服务攻击。
(2)由于ARP是无状态的协议,即使没有发送ARP请求报文,主机也可以接收ARP应答,只要接受到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机的高速缓存。
这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至可以做“中间人”。
(3)任何ARP应答都是合法的,ARP应答无须认证,只要是区域内的ARP应答分组,不管(其实也不知道)是否是合法的应答,主机都会接受ARP应答,
并用其lP—MAC信息篡改其缓存。
这是ARP的另一个隐患。
目前主要存在2种检测ARP欺骗的机制。
在主机级,普通主机可以采用两种方法检测自己的是否正在被其它主机欺骗:
一种是主动探查可疑的主机;另一种是被动检查网络ARP广播报文。
在网络级,处于网络管理员控制下的机器将检查所有的ARP请求与响应以查明异常并判断是否出现ARP欺骗行为。
二、ARP欺骗检测方法
(一)主机级检测方法
①主动检测。
当主机收到ARP应答报文时,从应答报文中提取MAC地址。
然后构造一个RARP请求报文,这样就可以得到这个MAC地址对应的IP地址,比较两个IP地址,如果不同,就说明有主机进行了ARP欺骗。
还有另外一种方法就是:
主机定期向区域网发送查询自己IP地址的ARP请求报文。
如果收到其它主机的应答。
就说明该区域网可能存在ARP欺骗。
②被动检测。
当系统接收到来自局域网上的ARP请求时,系统检查该请求发送端的IP地址是否与自己的IP地址相同。
如果相同,则说明该网络上另有一台机器与自己具有相同的IP地址。
当然还有一种情况,就是每当系统启动时或更改主机IP地址时,ARP协议自动地向本地网络发送一个广播请求包,通告自己的IP地址并检测是否存在IP地址冲突。
由上可知,主机级检测出来的异常情况。
可能是由于用户操作失误或者其它原因造成的,并不能有效和准确的检测出ARP欺骗。
下面介绍的检测方法更能有效的检测出ARP欺骗。
(二)网络级检测方法
①通过配置主机定期向中心管理主机报告其ARP缓存的内容。
这样中心管理主机上的程序就会查找出两台或者多台主机报告信息的不一致,以及同一台主机前后报告内容的变化。
根据这些情况可以初步确定谁是进攻者。
谁被进攻者。
这里需要考虑的是:
每台主机向衷心管理主机发送数据的时间间隔,如果发送的间隔太短会占用通讯的信道。
影响整个区域网通讯的性能。
如果间隔太长,以至超过攻击者一次进攻的时间。
进攻者可能在短时间内攻击之后又把一切都恢复了,则失去意义。
②中心管理主机上保存着可信任的IP/MAC映射表,然后通过检查匹配网络的IP/MAC映射表,检测ARP欺骗。
可信任的IP/MAC映射表可以有管理员手动配置。
也可以在网络正常时通过ARP扫描获取网内的IP/MAC映射表。
第四章.ARP欺骗攻击的实现过程
一、通过路由器实现VLAN间的通信
ARP欺骗攻击的核心就是向目标主机发送伪造的ARP应答,并使目标主机接收应答中伪造的IP与MAC间的映射对,并以此更新目标主机缓存。
设在同一网段的三台主机分别为A,B,C,详见表1。
表1:
同网段主机IP地址和MAC地址对应表
用户主机
IP地址
MAC地址
A
10.10.100.1
00-E0-4C-11-11-11
B
10.10.100.2
00-E0-4C-22-22-22
C
10.10.100.3
00-E0-4C-33-33-33
假设A与B是信任关系,A欲向B发送数据包。
攻击方C通过前期准备,可以发现B的漏洞,使B暂时无法工作,然后C发送包含自己MAC地址的ARP应答给A。
由于大多数的操作系统在接收到ARP应答后会及时更新ARP缓存,而不考虑是否发出过真实的ARP请求,所以A接收到应答后,就更新它的ARP缓存,建立新的IP和MAC地址映射对,即B的IP地址10.10.100.2对应了C的MAC地址00-E0-4C-33-33-33。
这样,导致A就将发往B的数据包发向了C,但A和B却对此全然不知,因此C就实现对A和B的监听。
二、公司网络实现vlan间通信
跨网段的ARP欺骗比同一网段的ARP欺骗要复杂得多,它需要把ARP欺骗与ICMP重定向攻击结合在一起。
假设A和B在同一网段,C在另一网段,详见表2。
表2:
跨网段主机IP地址和MAC地址对应表
用户主机
IP地址
MAC地址
A
10.10.100.1
00-E0-4C-11-11-11
B
10.10.100.2
00-E0-4C-22-22-22
C
10.10.100.3
00-E0-4C-33-33-33
首先攻击方C修改IP包的生存时间,将其延长,以便做充足的广播。
然后和上面提到的一样,寻找主机B的漏洞,攻击此漏洞,使主机B暂时无法工作。
此后,攻击方C发送IP地址为B的IP地址10.10.100.2,MAC地址为C的MAC地址00-E0-4C-33-33-33的ARP应答给A。
A接收到应答后,更新其ARP缓存。
这样,在主机A上B的IP地址就对应C的MAC地址。
但是,A在发数据包给B时,仍然会在局域网内寻找10.10.100.2的MAC地址,不会把包发给路由器,这时就需要进行ICMP重定向,告诉主机A到10.10.100.2的最短路径不是局域网,而是路由,请主机重定向路由路径,把所有到10.10.100.2的包发给路由器。
主机A在接受到这个合理的ICMP重定向后,修改自己的路由路径,把对10.10.100.2的数据包都发给路由器。
这样攻击方C就能得到来自内部网段的数据包。
第五章.ARP攻击简介
ARP欺骗按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。
这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。
校园网中,常见的ARP攻击有如下几中形式。
一、仿冒网关
攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。
这样一来,主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
如下图:
“仿冒网关”攻击示意图
二、欺骗网关
攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给网关;使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。
这样一来,网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
如下图:
“欺骗网关”攻击示意图
三、欺骗终端用户
攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给同网段内另一台合法主机;使后者更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。
这样一来,网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法正常互访。
如下图:
“欺骗终端用户”攻击示意图
四、“中间人”攻击
ARP“中间人”攻击,又称为ARP双向欺骗。
如ARP“中间人”攻击示意图所示,HostA和HostC通过Switch进行通信。
此时,如果有恶意攻击者(HostB)想探听HostA和HostC之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使HostA和HostC用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。
此后,HostA和HostC之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即HostB担当了“中间人”的角色,可以对信息进行了窃取和篡改。
这种攻击方式就称作“中间人(Man-In-The-Middle)攻击”。
如下图:
ARP“中间人”攻击示意图
五、ARP报文泛洪攻击
恶意用户利用工具构造大量ARP报文发往交换机的某一端口,导致CPU负担过重,造成其他功能无法正常运行甚至设备瘫痪。
第六章.攻击安全防范策略
本文根据ARP攻击的特点,给出了DHCP监控模式下的ARP攻击防御解决方案和认证模式下的ARP攻击防御解决方案。
前者通过接入交换机上开启DHCPSnooping功能、配置IP静态绑定表项、ARP入侵检测功能和ARP报文限速功能,可以防御常见的ARP攻击;后者不需要在接入交换机上进行防攻击配置,而需要通过CAMS服务器下发网关的IP/MAC对应关系给客户端,防御“仿冒网关”攻击。
详见
常见网络攻击和防范对照表。
常见网络攻击和防范对照表
攻击方式
防御方法
动态获取IP地址的用户进行“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”
配置DHCPSnooping、ARP入侵检测功能
手工配置IP地址的用户进行“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”
配置IP静态绑定表项、ARP入侵检测功能
ARP泛洪攻击
配置ARP报文限速功能
动态和手工配置IP地址的用户进行“仿冒网关”攻击
配置认证模式的ARP攻击防御解决方案(CAMS下发网关配置功能)
一、DHCPSnooping功能
DHCPSnooping是运行在二层接入设备上的一种DHCP安全特性。
通过监听DHCP报文,记录DHCP客户端IP地址与MAC地址的对应关系;
通过设置DHCPSnooping信任端口,保证客户端从合法的服务器获取IP地址。
信任端口正常转发接收到的DHCP报文,从而保证了DHCP客户端能够从DHCP服务器获取IP地址。
不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文,从而防止了DHCP客户端获得错误的IP地址。
二、IP静态绑定功能
DHCPSnooping表只记录了通过DHCP方式动态获取IP地址的客户端信息,如果用户手工配置了固定IP地址,其IP地址、MAC地址等信息将不会被DHCPSnooping表记录。
因此,交换机支持手工配置IP
升级会员 