浅析局域网ARP攻击的原理
[摘 要] 最近校局域网中ARP病毒频繁发作,为使更多用户全面了解并防范ARP欺骗,本文对ARP攻击进行了详细阐述。
[关键词] ARP协议 ARP攻击 ARP病毒
一.ARP的工作原理
以太网中,两网络设备要直接通信,需知道目标设备的IP和MAC地址。ARP协议的基本功能即通过目标设备IP地址,查询其MAC地址,保证通信的进行。
当源主机S需要和目标主机D通信时,先要用D的IP与自己子网掩码进行“与”运算得到子网号,若在同一子网,则S首先检查自己ARP列表中是否存在该IP对应的MAC地址,如存在,就将数据包发送到这个MAC 地址;反之,则向本网段发送ARP请求广播包,询问D的IP所对应的MAC 地址。网络中所有主机收到这个ARP请求后,会检查包中目的IP是否和自己IP一致。若不一致则不回应;若一致,该主机首先将发送端MAC地址和IP地址添加到自己ARP列表中,如ARP表中已经存在该IP信息,则将其覆盖,再给S发送ARP响应包,告诉对方自己MAC地址;S收到ARP响应包后,将得到的目的主机IP和MAC对添加到自己ARP列表中,并用此信息开始数据传输。若数据源主机一直没有收到ARP响应包,表示ARP查询失败。若S与D不在同一子网,S就用缺省网关MAC地址作为目标MAC地址。
二.ARP的漏洞分析
ARP协议虽是一个高效的数据链路层协议,但作为一个局域网协议,它是建立在各主机之间相互信任的基础之上的,因此存在一些安全问题:
⑴ARP高速缓存管理程序每隔一固定时间检查IP/MAC地址映射表中所有表项,并删除已达到生存期限的表项。同时若一个IP进程需要发送数据报,但其目的地址不在ARP高速缓存的任何表项中,则IP必须在一个空闲表项中创建一个新表项,若不存在空闲表项,则用替换策略删除旧表项。因此正常主机MAC地址刷新都是有时限的,这样假冒者在下次更新之前修改被攻击机器的地址缓存,就可进行假冒或者拒绝服务攻击了。
⑵ARP请求以广播方式进行。这样攻击者就可以伪装ARP应答,与广播者真正要通信的机器进行竞争,还可以确定子网内机器什么时候会刷新MAC地址缓存,以确保最大时间限度地进行假冒。
⑶出于传输效率的考虑,在数据链路层就没做安全考虑,在使用ARP 协议交换MAC时,是无状态也无需认证的。只要是收到来自局域网的ARP 请求或应答包,就将其中MAC/IP地址对刷新到本机高速缓存中。因此欺骗方可以随意发送大量虚假请求包和应答包,进行ARP欺骗等。
三.ARP欺骗原理
假设有A、S、D(各代表攻击方、源主机和目的主机)三台电脑组成的局域网(由交换机连接)。其IP地址分别为:192.168.0.2、192.168.0.3、192.168.0.4,MAC地址分别为:MAC-A、MAC-S、MAC-D。在上述数据发送中,当S的ARP缓存中没有D的ARP信息,向全网询问后,D也回应了自己正确MAC地址。但同时,A却返回了D的IP地址和自己MAC地址。由于A不停地发送这样的应答包,则会导致S重新动态更新自身ARP缓存表,记录成:192.168.0.4与MAC-A对应。这样以后凡是S要发送给D,都将会发送给A。即A劫持了由S发送给D的数据。这是ARP欺骗过程。ARP欺骗手段通常有:
⑴欺骗主机通过单播、广播形式发布假冒ARP请求包或ARP应答包,散播虚假IP/MAC映射关系,从而欺骗网络中主机的正常通信。
⑵由于被假冒机器所发送ARP应答包有可能比攻击者应答包晚到,为确保被攻击者缓存中绝大部分时间存放攻击者MAC地址,可在收到ARP请求广播后稍延一段时间再发一遍ARP应答。
⑶由于各操作系统对ARP缓存处理实现不同,一些操作系统会向缓存地址发送非广播ARP请求来要求更新缓存。交换网络环境下,别的机器捕获不到这种缓存更新,为阻止主机更新缓存,攻击者就可定时发送ARP应答包,不断更新被攻击者MAC缓存,阻止它主动缓存更新。
⑷ARP表每一表项生存期限一过就被删除。如攻击者暂使用不工作主机的IP,就可以伪造IP/MAC地址对,把自己伪装成暂时不使用的主机。
⑸因高速缓存是动态更新的,攻击者以远小于表项生存期的时间间隔定时地发送ARP应答包。这样被攻击机器缓存中绝大部分时间存放的是攻击者MAC地址。
⑹通过以上ARP欺骗,可使子网内其他机器的网络流量都回流到攻击机器上,为隐蔽自己,它必须使它们能够“正常”使用网络,于是它将这些数据包转发到它们应该到达的主机。首先根据捕获的IP包或者ARP包的源IP域进行更新,保持一个局域网内各个IP/MAC包的对应列表;在收到一个IP包之后,分析IP包头,根据IP包头里的目的IP,找到相应MAC地址,作为目的MAC地址,同时将本机MAC地址设成源MAC地址,将收到的IP分片包发送出去。ARP欺骗的隐蔽性就是通过IP包的转发来实现。
四.ARP欺骗常见方式与表现
1.ARP常见欺骗方式
⑴冒充网关欺骗主机。这是ARP欺骗最基本方式。攻击者以网关身份伪造虚假ARP 应答报文,欺骗局域网内其他主机,主机所有流向外网的流量全部被攻击者截取;
⑵冒充主机欺骗网关。这是ARP欺骗的最常见方式。攻击者以正常用户身份伪造虚假ARP应答报文欺骗网关,网关发给该用户的所有数据全部被攻击者截取;
⑶冒充主机欺骗其他主机。这是ARP欺骗最难防御方式。攻击者以正常用户身份伪造虚假ARP 应答报文欺骗其他主机,导致其他用户发给该用户数据全部被攻击者截获;
⑷将用户数据导向不存在的地址。这是ARP欺骗最麻烦方式。攻击者以正常用户身份伪造虚假ARP应答报文欺骗网关,网关发给该用户的数据都被发往不存在的地址;
⑸ARP泛洪攻击。这是ARP欺骗最混乱方式。攻击者伪造大量虚假源MAC和源IP信息的报文,对局域网内所有主机和网关进行广播,抢占网络带宽,干扰正常通信。
2.ARP欺骗的常见表现
ARP欺骗攻击主要表现为网络大面积掉线,或网络时断时续,拒绝服务,甚至出现ARP挂马故障。攻击者利用ARP协议弱点进行阻止或破坏双方通信,截获、修改并转发IP包等攻击活动,监听网络信息,窃取QQ、网银、网游账号。
五ARP欺骗攻击的防范策略
1.合理分配IP地址,使用完善的网络IP-MAC管理系统,做好IP地址登记注册和静态的MAC->IP对应表,一旦发现ARP攻击,定位并隔离攻击源。
2.IP–MAC-交换机端口的静态绑定。
3.合理划分VLAN,减小广播范围,同时进行端口隔离。
4.使用可防御ARP攻击的交换机,建立动态的IP+MAC+PORT的对应表和绑定关系,实时控制ARP流量,建立DHCP嗅探匹配表等。
5.各主机及时安装并更新杀毒软件和防火墙。
参 考 文 献
[1]W.Richard.Stevens.TCP/IP协议详解{卷1}.机械工业出版社,1999.
[2]刘涛,陈宝国.ARP漏洞分析及防范[J].实践与经验,2008(6)
[3]王玉宝.ARP病毒原理分析[J].电脑知识与技术,2007(7)■
推荐访问: 浅析 局域网 原理 攻击 ARP版权声明:
1.赢正文档网的资料来自互联网以及用户的投稿,用于非商业性学习目的免费阅览。
2.《浅析局域网ARP攻击的原理》一文的著作权归原作者所有,仅供学习参考,转载或引用时请保留版权信息。
3.如果本网所转载内容不慎侵犯了您的权益,请联系我们,我们将会及时删除。
本栏目阅读排行
- 1“圆”审美视域下壮族民间舞蹈“圆”美探索
- 2党员各种谈心谈话记录 学生党员一对一谈心谈话记录
- 3发展具有中国特色、世界水平的现代教育
- 4小学疫情防控应急预案 小学疫情防控工作方案和应急预案
- 5中南海里的“除四害”\“大炼钢”行动
- 6浅谈高原之宝牦牛奶制品的营销策略
- 7202X年全员新冠病毒核酸检测工作应急预案三篇 关于全员核酸检测应急准备情况的报告
- 8党支部会议程序 党组织开会
- 9四个意识方面个人存在问题清单及整改措施 能力作风建设个人问题清单及整改措施
- 102020年新冠肺炎疫情防控排查工作方案例文稿 制定新冠肺炎疫情防控工作方案
- 11支部书记与党员谈心谈话活动记录表 支部书记谈心谈话范文
- 12美国海军航天遥感技术述评