MAC地址在攻防演绎中的作用论文Word下载.docx

1、 Tutor: ABSTRACT：At present, attacks on mac as a result of the corporate network attacks paralyzed the example list goes on, many enterprises helpless in the face of these attacks. With attacks on mac on the network security of the great dangers arising from the industrys full attention, major antiv

2、irus software companies have launched their own products, and all kinds of attacks on mac against the firewall also will be there. Attacks on mac based on network security also involves two aspects, both on the mac attack allows users to access restricted; The other hand, users also can steal and pa

3、ss between the user and server data and information. This design uses C language as a programming language, Winpcap as a development environment and write a local area network test system. System is mainly implemented MAC address redness, ARP deception and other functions, and described in detail in

4、 the text corresponding to attack defenses.KEYWORDS：mac address attack; arp attacks；winpcap; network security 目 录引 言 11 论文背景知识介绍 21.1 网络层次模型 21.2 什么是MAC地址 21.3 IP地址与MAC地址的区别 31.4 为什么要用到MAC地址 41.5 如何修改自己的MAC地址 42 开发环境介绍 52.1 Winpcap简介 52.2 Winpcap的安装使用方法 52.3 Winpcap的一些基本的功能的实现 53基于MAC的攻击的技术分析 73.1 M

5、AC攻击 73.1.1 MAC地址欺骗 73.1.2 MAC地址洪泛 83.2 ARP攻击 93.2.1 ARP协议 93.2.2 ARP欺骗 93.2.3 ARP恶作剧 103.2.4 ARP洪泛 114 对基于MAC攻击的防御措施 115 结 论 14参考文献 14致 谢 14引 言网络技术的发展逐渐趋向成熟，应用也越来越广泛，但在其发展过程中出现了一个很大的制约瓶颈，这就是安全。而对于日益风行的各类木马病毒这样的隐形杀手，网络攻击则是人们能深刻体会而又无可奈何的诟病。本文针对网络攻击中的基于mac的攻击加以叙述分析，以求让广大朋友了解其运行机制，并让防御也寻之有道，从攻击中吸取教训，从防

6、御中积累经验。1 论文背景知识介绍1.1 网络层次模型如今的网络是分层来实现的，就像是搭积木一样，先设计某个特定功能的模块，然后把模块拼起来组成整个网络。局域网也不例外，一般来说，在组网上我们使用的是IEEE802参考模型，从下至上分为：物理层、媒体接入控制层（MAC），逻辑链路控制层（LLC）。图1-1 OSI网络七层模型标识网络中的一台计算机，一般至少有三种方法，最常用的是域名地址、IP地址和MAC地址，分别对应应用层、网络层、物理层。网络管理一般就是在网络层针对IP地址进行管理，但由于一台计算机的IP地址可以由用户自行设定，管理起来相对困难，MAC地址一般不可更改，所以把IP地址同MAC

7、地址组合到一起管理就成为常见的管理方式。1.2 什么是MAC地址 MAC地址就是在媒体接入层上使用的地址，也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。MAC地址与网络无关，也即无论将带有这个地址的硬件（如网卡、集线器、路由器等）接入到网络的何处，都有相同的MAC地址，它由厂商写在网卡的BIOS里。MAC地址可采用6字节（48比特）或2字节（16比特）这两种中的任意一种。但随着局域网规模越来越大，一般都采用6字节的MAC地址。这个48比特都有其规定的意义，前24位是由生产网卡的厂商向IEEE申请的厂商地址，目前的价格是1000美元买一个地址块，后24位由厂商自行分配，这

8、样的分配使得世界上任意一个拥有48位MAC地址的网卡都有唯一的标识。另外，2字节的MAC地址不用网卡厂商申请。 MAC地址通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08:00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数08:20代表网络硬件制造商的编号，它由IEEE分配，而后3位16进制数0A:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。1.3 IP地址与MAC地址的区别IP地址是指Internet

9、协议使用的地址，而MAC地址是Ethernet协议使用的地址。IP地址与MAC地址之间并没有什么必然的联系，MAC地址是Ethernet网卡上带的地址，长度为48位。 每个Ethernet网卡生产厂家必须向IEEE组织申请一组MAC地址，在生产网卡时在网卡的串行EEPROM中写入一个唯一的MAC地址。任何两个Ethernet网卡的MAC地址，不管是哪一个厂家生产的都不应相同。Ethernet芯片厂家不必负责MAC地址的申请，MAC地址存在于每一个Ethernet包中，是Ethernet包头的组成部分，Ethernet交换机根据Ethernet包头中的MAC源地址和MAC目的地址实现包的交换和传

10、递。 IP地址是Internet协议地址，每个Internet包必须带有IP地址，每个Internet服务提供商（ISP）必须向有关组织申请一组IP地址，然后一般是动态分配给其用户。IP地址现是32位长，正在扩充到128位。IP地址与MAC地址无关，因为Ethernet的用户，仍然可通过Modem连接Internet，取得一个动态的IP地址，这个地址每次可以不一致。IP地址通常工作于广域网，路由器处理的就是IP地址。 MAC地址工作于局域网，局域网之间的互连一般通过现有的公用网或专用线路，需要进行网间协议转换。可以在Ethernet上传送IP信息，此时IP地址只是Ethernet信息包数据域的

11、一部分，Ethernet交换机或处理器看不见IP地址，只是将其作为普通数据处理。1.4 为什么要用到MAC地址这是由组网方式决定的，如今比较流行的接入Internet的方式（也是未来发展的方向）是把主机通过局域网组织在一起，然后再通过交换机和Internet相连接。这样一来就出现了如何区分具体用户，防止盗用的问题。由于IP只是逻辑上标识，任何人都随意修改，因此不能用来标识用户；而MAC地址则不然，它是固化在网卡里面的。从理论上讲，除非盗来硬件（网卡），否则是没有办法冒名顶替的具体的通信方式：接收过程，当有发给本地局域网内一台主机的数据包时，交换机接收下来，然后把数据包中的IP地址按照“表”中的

12、对应关系映射成MAC地址，转发到对应的MAC地址的主机上，这样一来，即使某台主机盗用了这个IP地址，但由于他没有这个MAC地址，因此也不会收到数据包。发送过程和接收过程类似，限于篇幅不叙述1.5 如何修改自己的MAC地址MAC地址是固化在网卡中的，MAC地址具有唯一性，难道没有办法更改了么？不是的，我们完全不用修改EPROM的内容，而只通过修改存储单元的内容就能达到修改MAC地址的目的。例如在Windows中可以通过注册表来修改。在“开始”菜单的“运行”中输入regedit.exe，展开注册表到：HKEY_LOCAL_MACHINESystemCurrentControlSetControlC

13、lass4D36E972-E325-11CE-BFC1-08002BE10318子键，在子键下的0000，0001，0002等分支中查找DriverDesc（如果你有一块以上的网卡，就有0001，0002在这里保存了有关你的网卡的信息，其中的DriverDesc的内容就是你的网卡的信息描述，比如我的网卡就是Intel 21041 based Ethernet Controller），在这里假设你的网卡在0000子键。在0000子键下添加一个字符串，命名为“NetworkAddress”，键值为修改后的MAC地址，要求为连续的12个16进制数。然后在“0000”子键下的NDIparams中新建一

14、项名为NetworkAddress的子键，在该子键下添加名为“default”的字符串，键值为修改后的MAC地址。在NetworkAddress的子键下继续建立名为“ParamDesc”的字符串，其作用为指定NetworkAddress的描述，其值可为“MAC Address”。这样以后打开网络邻居的“属性”，双击相应的网卡就会发现有一个“高级”设置，其下存在MAC Address的选项，它就是你在注册表中加入的新项NetworkAddress，以后只要在此修改MAC地址就可以了。关闭注册表，重新启动，你的网卡地址已改。打开网络邻居的属性，双击相应网卡项会发现有一个MAC Address的高级

15、设置项，用于直接修改MAC地址。当然，你还可以用工具软件来修改网卡的MAC地址，如MAC2001这款软件就可以达到我们的目的。2 开发环境介绍2.1 Winpcap简介 Winpcap是UNIX下的libpcap移植到windows下的产物,他是一个free and open source的项目。Winpcap工作于驱动（Driver）层，所以能以很高的效率进行网络操作。 Winpcap提供了以下强大的功能：（1）. 捕获原始的数据包 （2）设置filter,只捕获自己敢兴趣的数据包 （3）方便的把捕获的数据包输出到文件和从文件输入 （4）发送原始的数据包 （5）统计网络流量 2.2 Winp

16、cap的安装使用方法 （1）. 到http:/winpcap.polito.it下载winpcap的安装包，程序员开发包。（2）执行安装包，这样你的机子就能运行winpcap程序了 （3）解压开发包，在VC的option的include和lib中加入winpcap的 include和lib （4）. 在你的程序中加入#include , #include .然后在工程的setting中加入预定义宏:WPCAP,HAVE_REMOTE.导入wpcap.lib库 （5）就可以编写wpcap程序了 2.3 Winpcap的一些基本的功能的实现 （1）. 捕获数据包 . 枚举所有的可用的设备pcap_

17、findalldevs_ex（可选） 2. 通过名字打开一个设备pcap_open（） 在这里可以打开一个文件，只是在打开这个文件之前需要通过pcap_createsrcstr创建相应的name string 3. 设置Filterpcap_compile, pcap_setfilter （可选） 4. 捕获数据 有几种捕获数据的方法（捕获数据的数据都是最原始的数据包，即包含数据链路层的数据头） a是以回调的方式 pcap_loop,pcap_dispatch（） . 这两种方法基本相同，底层收集数据包，当满足一定的条件（timeout 或者缓冲区满），就会调用回调函数，把收集到的原始数据包s

18、,交给用户。他们返回的数据缓冲区包含多个包 b. pcap_next_ex（）的方式 每当一个包到到达以后，pcap_next_ex就会返回，返回的数据缓冲区里只包涵一个包。（2）. 发送包 Winpcap中有发送单个包和发送多个包的方法。这里只说说发送单个包 . 通过名字打开一个设备pcap_open 自己构造一个原始数据包（这个数据包会不经过任何处理就发送出去，所以必须把包中的各个字段设置好。另外这个数据包是包含数据链路层报头的） 使用pcap_sendpacket（）发送数据包 （3）. 统计网络流量 . 通 过名字打开一个设备pcap_open 通过 read_timeout来设置统计

19、的时间间隔 . 设置filterpcap_compile, pcap_setfilter （可选） . 设置设备的为统计模式 pcap_setmode（MODE_STAT）; . 开始统计，pcap_loop/pcap_dispatch（） 3基于MAC的攻击的技术分析3.1 MAC攻击3.1.1 MAC地址欺骗将合法的MAC地址修改成不存在的MAC地址或其他计算机的MAC地址，从而隐藏自己真实的MAC，来达到一些不可告人的目的，这就是MAC地址欺骗。图3-1 修改网卡MAC地址在WINXP，在网上邻居图标上点右键，选择属性，出来一个网络对话框，在配置框中，双击你要修改的网卡，出来一个网卡属性

20、对话框。在高级选项中，也是点击标识下的Network Address项，在右边的两个单选项中选择上面一个，再在框中输入你要修改的网卡MAC地址，点确定后，系统会提示你重新启动。重新启动后，你的网卡地址就告修改成功！如果你想把网卡的MAC地址恢复原样，只要再次把项右边的单选项选择为下面一个没有显示再重新启动即可。在WIN2000、XP下面是选择不存在，当然也不用重新启动了。3.1.2 MAC地址洪泛交换机内部的MAC地址表空间是有限的，MAC攻击会很快占满交换机内部MAC地址表，使得单播包在交换机内部也变成广播包向同一个VLAN中所有端口转发，每个连在端口上的客户端都可以受到该报文，交换机变成了

21、一个Hub，用户的信息传输也没有安全保障了。图3-2 MAC地址泛洪基于以上原理，我们会发现一个非常有趣的现象。某台PC不断发送去往未知目的地的数据帧，且每个包的源MAC地址都不同，当这样的数据包发送的速度足够快之后，快到在刷新时间内将交换机的CAM表迅速填满。CAM表被这些伪造的MAC地址占据，真实的MA C地址条目却无法进入CAM表。那么任何一个经过交换机的正常单播数据帧都会以广播帧的形式来处理。图3-3 攻击者利用抓包软件盗取用户信息3.2 ARP攻击3.2.1 ARP协议在以太网中传输的数据包是以太包，而以太包的寻址是依据其首部的物理地址（MAC地址）。仅仅知道某主机的逻辑地址（IP地

22、址）并不能让内核发送一帧数据给此主机，内核必须知道目的主机的物理地址才能发送数据。ARP协议的作用就是在于把逻辑地址变成物理地址，也既是把32bit的IP地址变换成48bit的以太地址。每个主机都有一个ARP高速缓存，此缓存中记录了最近一段时间内其它IP地址与其MAC地址的对应关系。如果本机想与某台主机通信，则首先在ARP高速缓存中查找此台主机的IP和MAC信息，如果存在，则直接利用此MAC地址构造以太包；如果不存在，则像本网络上每一个主机广播一个ARP请求包，其意义是“如果你有此IP地址，请告诉我你的MAC地址”，目的主机受到此请求包的后，发送一个ARP响应包，本机受到此响应包后，把相关的信

23、息记录在ARP高速缓存中。3.2.2 ARP欺骗按照RFC的规定，PC在发ARP响应时，不需要一定要先收到ARP请求报文，局域网中任何一台PC都可以向其网络内其它PC通告：自己就是PC A MAC A的对应关系，这就给攻击者带来了可乘人之危的漏洞！利用上面讲到的ARP漏洞，发送虚假的ARP请求报文和响应报文，报文中的源IP和源MAC均为虚假的，扰乱局域网中被攻击PC中保留的ARP表，使得网络中被攻击PC的流量都可流入到攻击者手中。图3-4 ARP欺骗3.2.3 ARP恶作剧ARP恶作剧：和ARP欺骗的原理一样，报文中的源IP和源MAC均为虚假的，或错误的网关IP和网关MAC对应关系。它的主要目

24、的不是窃取报文，而是扰乱局域网中合法PC中保存的ARP表，使得网络中的合法PC中保存的ARP表，使得网络中的合法PC无法正常上网、通讯中断。图3-5 ARP恶作剧3.2.4 ARP洪泛ARP洪泛：网络病毒利用ARP协议，在网络中大量发送伪造ARP报文，扰乱网络中主机和设备的ARP缓存，导致无法正常访问网络的攻击行为。相关病毒:TrojnaDropper.Win32.Juntador.c Win32.Troj.Mr2Win32.Troj.Zypsw.33952网络设备在处理ARP报文时需要占用系统资源，同时因为系统内存和查找ARP表效率的要求，一般网络设备会限制ARP表的大小。攻击者就利用这一点

25、，通过伪造大量源IP地址变化的ARP报文，使设备ARP表溢出，合法用户的ARP报文不能生成有效的ARP表项，导致正常通信中断。另外，通过向设备发送大量目标IP地址不能解析的IP报文，使设备反复地对目标IP地址进行解析，导致CPU负荷过重，也是泛洪攻击的一种。4 对基于MAC攻击的防御措施研究了很多MAC攻击和ARP攻击后对外部网络的联系方式，发现他们总是和制造者的邮箱有着千丝万缕的联系，如今的ARP病毒攻击与制造者的经济利益密不可分。比如局域网内某台主机感染ARP木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网，现在却要通过病毒主机过

26、滤数据，切换的时候用户会断一次线。切换到病毒主机过滤后，如果用户已经登录了某些游戏或者网上银行服务器，那么病毒主机就会经常伪造断线的假象，用户就得重新登录服务器，此过程就是病毒主机盗取用户账户和密码的过程。（1）. 针对MAC的攻击，有如下防范：. MAC静态地址锁. 802.1自动绑定MAC地址. 限定交换机某个端口上可以学习的MAC数量图4-1 ARP攻击防范示意图（2）. 针对ARP的攻击，有如下防范：. 用户端绑定 在用户端计算机上绑定交换机网关的IP和MAC地址。首先,要求用户获得交换机网关的IP地址和MAC地址,用户在DOS提示符下执行 arp -a命令,具体如下:C:Docume

27、nts and Settingsuserarp -a Interface: 192.168.10.50x2 Internet AddressPhysical Address Type 192.168.10.254 00-05-0F-ED-1D-5Bdynamic 其中192.168.10.254和00-05-0F-ED-1D-5B分别为网关的IP 地址和MAC地址,因用户所在的区域、楼体和交换机不同,其对应网关的IP地址和MAC地址也不相同。编写一个批处理文件arp.bat,实现将交换机网关的MAC地址和网关的IP地址的绑定,内容如下:echo off arp -d arp -s192.168

28、.10.25400-05-0F-ED-1D-5B 用户应该按照第一步中查找到的交换机网关的IP地址和MAC地址,填入arp -s后面即可,同时需要将这个批处理软件拖到“windows-开始-程序-启动”中,以便用户每次开机后计算机自动加载并执行该批处理文件,对用户起到一个很好的保护作用。网管交换机端绑定 在核心交换机上绑定用户主机的IP地址和网卡的MAC地址,同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式。IP和MAC地址的绑定。在核心交换机上将所有局域网络用户的IP地址与其网卡MAC地址一一对应进行全部绑定。这样可以极大程度上避免非法用户使用ARP欺骗或盗用

29、合法用户的IP地址进行流量的盗取。MAC地址与交换机端口的绑定。根据局域网络用户所在的区域、楼体和用户房间所对应的交换机端口号,将用户计算机网卡的MAC地址和交换机端口绑定。此方案可以防止非法用户随意接入网络端口上网。网络用户如果擅自改动本机网卡的MAC地址,该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现上网,自然也就不会对局域网造成干扰了。采用VLAN技术隔离端口 局域网的网络管理员可根据本单位网络的拓卜结构,具体规划出若干个VLAN,当管理员发现有非法用户在恶意利用ARP欺骗攻击网络,或因合法用户受病毒ARP病毒感染而影响网络时,网络管理员可利用技术手段首先查找到该用户所在的交换机端口,然后将该端口划一个单独的VLAN将该用户与其它用户进行物理隔离,以避免对其它用户的影响。当然也可以利用将交换机端口Disable掉来屏蔽该用户对网络造成影响,从而达到安全防范的目的。 .使用ARP防护软件 针对ARP欺骗攻击的软件在网络中很多。多数软件单单针对ARP欺骗攻击的某一方面特性进行制作抵御软件的原理,这些软件在ARP防范