主机arp断网攻击

水利信息化东北水利水电2015年第12期【文章编号]1002--0624(2015)12--0042--02水利局域网常见的ARP攻击及防范喻勇1,高广利2(1.
新疆维吾尔自治区水利厅头屯河流域管理处,新疆昌吉831100;2.
北京金水信息技术发展有限公司,北京100053)【摘要】近年来水利局域网的日益普及,网络安全的问题日益突出.
特则是曩具典型的A1LP欺骗和AILP病毒造成的网络异常事件频频发生,严重影响了网络的正常使用,为水利防汛抗旱工作造成一定隐患.
本文从网络管理人角度角度分析了ARP攻击产生的原因,并初步提出了解决办法.
【关键词】ARP攻击;网络安全;水利局域网[中图分类号】TP393.
1【文献标识码】B1概述随着水利信息化的快速发展,计算机网络已经成为水利事业的重要基础设施,大部分水利单位都建成了自己的局域网,并且对网络的稳定性、安全性和可靠性的依赖程度与日俱增.
但由于计算机病毒、黑客和木马对网络的攻击不可避免,使得水利局域网的稳定性、安全性和可靠性受到了严重的威胁,特别是近年来特别典型的AR.
P欺骗和AR.
P病毒造成的网络异常事件频频发生,其安全问题带来的影响愈发明显,已经逐步影响到水利业务的开展和部署.
在水利局域网中ARP欺骗和ARP病毒导致的网络异常事件主要包括水利站点网页挂马、网络中断、IP地址冲突和帐号密码丢失等现象.
中毒后会导致水利局域网时断时续或者无法打开网页等现象,同时该病毒还会下载多款网游木马,QQ木马,网银大盗等恶性木马,给水利局域网用户的网上办公安全带来严重的威胁.
相对与通常其他的病毒攻击A1LP病毒的更大危害在于:黑客可以最大化地利用ARP欺骗原理,将其与其他攻击方法组合后运用于多种攻击,如侦听、拒绝服务、挂载病毒等,从而达到多种攻击目的,如窃取水利敏感信息、病毒传播、破坏水利网络路由,暴力广告等等.
2AILP欺骗攻击形成原因2.
1AR.
P请求以广播方式进行当源主机要和目的主机通信而没有目的主机的MAC地址时,便会向整个水利局域网广播·42·ARP请求数据包.
这使得攻击者可以伪装AR.
P应答数据报文,与真正的目的主机展开竞争,并由此确定子网内机器什么时候刷新AP,.
P缓存,以实现最大限度的假冒和欺骗.
2.
2AtLP高速缓存表动态更新当主机收到一个ARP报文时,会自动用新报文中的IP—MAC对应关系更新原有的IP—MAC对应关系,这使得假冒者可以随时发送欺骗报文修改其它主机的AR.
P缓存表.
2.
3ARP响应无控制和无认证AILP协议是局域网协议,设计之初,为了获得较高的传输效率,在数据链路层没有做安全上的防范,在使用ARP协议时无需认证,使用AR.
P协议的水利局域网假设通信双方是相互信任和相互独立的.
由于AILP协议是无状态的,任何主机即使在没有请求的时候也可以做出应答.
A1LP协议并未规定,主机在未受到查询时不能发送ARP应答包,这是AI协议的一个安全隐患.
任何时候只要接收到AR.
P应答包,主机就会自动更新AILP缓存.
这样攻击者就可以向目标主机发送假冒的AR.
P数据包进行欺骗,以达到监听的目的.
许多系统会接收未请求的AtLP响应,并用新信息更新AILP缓存.
操作系统在动态维护列表时并没有检测本机是否发出了请求包,而是只要接收了应答包就进行列表维护操作.
如果有人故意发送包含错误MAC地址的应答包,就会造成用错误列表的更新和对应.
一台主机的IP地址映射在另一台主机的AR.
P协议缓存后,它就会被当作可信任的计2015年第124水4信息化算机,但并未提供验证IP和MAC地址一致性和真实性的验证机制.
大多数主机保存了通过AR.
P得到的映射,没有考虑有效性,也没有维护一致性.
这样,ARP表就有可能把几个不同的IP地址映射到同一MAC地址上.
AR.
P是建立在网内所有主机之间相互信任的基础上,具有无状态、无连接的特征,协议本身不作任何安全检测,当主机收到ARP请求报文和ARP应答报文时,都会无条件地更新自己的ARP缓存.
虽然实现了简单和高效传输,但是却存在严重的安全隐患.
2.
4AKP欺骗攻击的原理和欺骗报文的分析在正常情况下,水利局域网内计算机通信数据流向是网关-+主机或主机-+网关,而当水利局域网内存在感染病毒的主机时,它会自动连续发出伪造的AR.
P报文,使目标主机接收报文中伪造的IP-MAC之间的映射关系,从而更改目标主机或网关的AR.
P缓存表中的IP-MAC记录.
由于AR.
P攻击的一般意图是截获所在网络内其他主机的通信信息,所以伪造的IP—MAC记录使数据流向改变为网关一+ARP攻击者_+主机或主机ARP攻击者_+网关,使主机与网关之间的所有通信数据都流经ARP攻击者即感染AR.
P病毒的计算机.
同时,因网络中存在大量的AR.
P响应包,导致了网络堵塞.
可见,AR.
P欺骗攻击的核心就是向目标主机或网关发送伪造的AR.
P报文,并以此来更新目标主机的缓存表.
3防御AR.
P攻击的措施3.
1设置静态缓存表AR.
P欺骗攻击最根本的原理就是改变Ip地址与MAC地址的正确对应关系,所以可以采取静态AKP表来防范,就是在目标主机的AR.
P缓存中设置静态地址映射记录.
当主机A向主机B发送数据前就不需要通过向所在的水利局域网广播AR.
P请求来获得B的MAC地址,它会直接查询AR.
P静态记录表来获得B的MAC地址,攻击者也就没有机会向A发送AR.
P应答.
但是,攻击者在未接收到AR.
P请求的情况下仍凭空伪造AKP应答发送给A,A将拒绝用伪造的数据更新AI缓存中的静态记录.
这种方法的缺点很明显,就是在经常更换IP地址的水利局域网环境里,由于每个主机都采用AR.
P静态记录,手工维护十分繁琐,工作量很大,增加网络维护的成本,这种方法在实际上应用中很少采用.
3.
2设置AR.
PServer为了解决上述方法中维护静态记录的工作分散的缺点,可以采用在水利局域网内部指定一台机器作为AR.
P服务器来集中管理,专门保存和维护一个相对可信的水利局域网环境下所有主机的IP—MAC地址映射记录.
该服务器通过查阅自己的AR.
P缓存的静态记录,并以被查询主机的名义来响应水利局域网内部的AKP请求.
按照一定的时间间隔广播网段内所有正确的IP.
-MAc地址表,同时可以设置水利局域网内部的其它主机只使用来自服务器的AR.
P响应.
但如何将1台主机配置成只相信来自A】服务器的AR.
P响应,目前还是很困难的.
3.
3在交换机上绑定交换机端口IP地址设置交换机的每个端口与主机IP地址相对应,一旦来自该端口的IP地址发生变动,交换机将不为来自该端口的主机转发数据.
这样,攻击者就无法发送伪造数据帧,从而阻止了AR.
P欺骗的发生,这种方法的缺点是不灵活.
3.
4禁用AR.
P解析在操作系统中禁用AR.
P解析后,必须做静态AR.
P协议设置(因为对方不会响应AR.
P请求报文),工作繁琐,因而实际网络管理中无法采用.
3.
5数据加密传输通常情况下,AR.
P欺骗攻击导致数据包从源主机流向攻击方,使得网络通信被非法截取和监听.
尽可能地加密水利局域网内传输的数据,可使损失相对减小.
但在实际应用中,往往要求替换掉采用明文传输数据的服务,如用ssh、sftp替换telnet、卸、等.
3.
6广播正确的IP—MAC映射关系的ARP报文不问断地广播AR.
P报文,发送正确的IP地址与MAC地址映射关系,以覆盖网络中存在的AR.
P欺骗报文,代价则是增加了网络带宽的开销和网络存在的广播风暴的风险.
3.
7安装AR.
P防火墙安装AR.
P防火墙拦截虚假AR.
P数据包,以获取中毒计算机的IP地址和MAC地址,从而防御舡欺骗攻击.
防火墙最大的优点是既可以防(下转第58页)·43·专题研究东北水利水电2015年第l2期袁1沉沙池建成前、后坝址来水与尾水含沙量对比kg/m,计3.
0mm改为(2.
0+0.
2)l'llln,减缓下环外圆及底环抗磨板内圆间隙磨损;转轮上冠与顶盖密封止漏间隙、转轮下环与基础环密封止漏间隙适当减小,由原设计1.
25InlT1改为(1.
0+0.
1)1TI1TI.
导水机构间隙的改进,使导水机构内流体状态趋于稳定,间隙扰流、紊流能到有效控制.
3)顶盖结构改善导水机构顶盖进行新的结构设计、增大其结构钢强度,减小因顶盖变形而导致导叶与顶盖端面间隙变化而产生的泥沙磨损.
4)对导水机构过流部件进行热喷涂顶盖、底环、活动导叶、转轮等过流面采用国内外先进的碳化钨特殊抗磨性材料热喷涂技术,增强这些部件的抗泥沙磨损能力.
4结语经过上述一系列措施的改造,改善了机组水流流态,增强了机组过流部件的抗磨性能.
机组投入运行并经历了一个汛期,对机组进行检查,发现沉沙池降沙效果明显,蜗壳里面没有泥沙堆积,只是存有少量的泥土.
机组开机时能够正常平压,机组各部位振动、摆度正常,瓦温度符合要求,很好地解决了大盈江四级水电站水轮机泥沙磨损严重问题,保证了电站安全、稳定运行.
[参考文献][1]云南省水利水电建设管理与质量安全中心.
大盈江四级水电站枢纽工程专项验收质量监督报告[R].
2014,5.
[2]中国电建顾问集团昆明勘测设计研究院.
大盈江水四级电站枢纽工程专项验收设计报告[R].
2014.
4.
【收稿日期】2O15一o9—12(上接第43页)止ARP欺骗攻击,还可以防止本机对网内同网段的计算机发送A欺骗.
但这种方法需要在整个网络内的每台计算机安装AIkP防火墙软件,实现起来难度增大.
3.
8改进AR.
P协议由于AR.
P攻击是由协议本身缺陷而引起的安全问题,因此可通过对协议运行机制的改进,弥补协议的漏洞.
改进主要是针对ARP协议"无状态"的特点,具体算法是对接收到的ARP请求,不更新缓存表,只接收有发送请求的ARP应答报文,其它的都丢弃.
该方法主要是针对单个的主机系统,修改其内核的TCP/IP函数源代码或编写底层驱动程序实现中间件.
该方法虽然能有效防范A1LP欺骗,但由于采用了复杂的数据结构,且需要对应答报文进行更多的处理,使得改进后的协议运行效率降低,实际的应用中存在较大的局限性.
4结语从上述防御AP.
P欺骗攻击所使用的技术来·58·看,有些管理工作量大且不够灵活(如设置静态AP.
P缓存表),有些解决方案中需要提供理想状态的数据(如数据库中预先存储端口绑定的Ip),这在一定程序上限制了解决方案的使用.
真正从网络管理角度解决中小型水利局域网AILP攻击引起的网络异常事件问题,还需结合自身网络实际情况采用合适的方案.
[参考文献][1]陈婉如,赵仕伟,王津.
校园网中的AP.
P欺骗原理及防范措施[I].
成都航空职业技术学院学报,2008,24(3):52—57.
[2]王增波.
AKP欺骗原理及防范方案设计[J].
科技风,2008(5):57.
[3]傅伟,谢宜辰.
基于A/LP协议的欺骗攻击及安全防御策略[T]湘潭师范学院学报(自然科学版),2007,29(4):49---53.
[4]WilliamStallin~.
SNMP网络管理[M]匕京:中国电力出版社出版,2001.
【收稿日期】2015-09-29