封面
《基于计算机网络安全防a rp攻击的研究》Word格式可编辑可修改
精心整理放心阅读欢迎下载
文档信息
基于计算机网络安全防a rp攻击的研究
摘要本文介绍了A RP原理 ARP欺骗过程 A RP的常见几种攻击分类通过终端用户防护和DHCP监控的方法对ARP攻击的防范策略
关键字 ARP原理 ARP欺骗过程 ARP攻击
1 ARP原理
ARP AddressResolutionProtocol是地址解析协议简单来说是将osi参考模型中的第三层网络层的ip地址和第二层数据链路层的MAC地址的一种对应。 A RP提供了一种基于此的动态映射。在数据通信的过程当中搜索到目标计算机的MAC地址封装成帧。实现了计算机在一个局域网中的互相通信。为了更快捷的找到i p地址和MAC地址的映射在用户和路由器以及服务器上都有相应的ARP缓存表。在缓存表中存放了最新学习到的地址映射记录。 A RP机制会自动删除规定时间之外记录 因此确保了A RP缓存表准确性缩短了ARP缓存表的长度加快了查询的速度。
A RP欺骗过程
用一个例子说明arp的欺骗过程我们假设在一个局域网中用3台计算机连接到一台交换机下面其中一个取名为A是arp的攻击者一个取名为B是发送数据的主机另一个取名为C是接收数据的主机。三台电脑的i p分别为 。 MAC地址分别为MAC-A MAC-B
MAC-C。现在 B要向C发送数据了 B首先查询自己的A RP缓存表查看是否有对应的MAC地址若有直接将MAC地址封装。若B不知道C的MAC地址。 B发送广播包告诉全网我的i p地址和MAC地址谁的ip地址为。这时全网的电脑都收到了B发送的广播包只有C回应告诉B电脑我就是你要找的i p我的MAC地址是MAC-C。 C单独给B的回应。那么B知道C的MAC地址可以向C发送数据了。它会动态更新自己的ARP缓存表。同时C也会更新自己的ARP缓存表。如果在B发送广播包的时候 A也给B电脑一个回应告诉B我的ip地址为我的MAC地址为MAC-A。 A假称自己的i p地址为C的i p地址。A不停的应答造成了B重新更新了自己的A RP缓存表。写入错误记录。也就是A RP缓存表中毒。致使了凡是发送给C的数据都被A主机劫持。这就是所谓的ARP欺骗。
2 ARP攻击分类
⑴伪装网关。 A RP攻击者发送错误网关I P地址和MAC地址对应给被攻击者。造成终端用户学习到错误的网关地址。用户不能访问网关流量被攻击者截取最终造成用户不能访问外网。⑵欺骗网关。A RP攻击者发送虚假A RP报文给网关造成网关更新了非法用户的MA C地址和i p地址对应。 网关要传送的全部数据都发送到ARP攻击方。最终造成用户无法正常访问外网。⑶欺骗用户。 ARP攻击者伪造虚假的A RP报文发送给用户或者服务器如果是用户造成用户更新了错误的MAC和IP地址对应导致用户之间无法正常访问。如果是服务器造成了用户在访问服务器时流量都转到了A RP攻击方。导致无法访问
服务器。⑷泛洪攻击。 ARP攻击者发送海量的伪造A RP报文在局域网中广播从而A RP表被耗尽。用户再也无法学习新的ARP报文。这是将资源占满耗尽的泛洪攻击手段导致合法用户无法访问外网。
3 ARP攻击常见应对方法
对ARP攻击原理的分析我们发现ARP攻击防范的方法如何获取合法用户和网关的IP地址和MAC地址的对应关系利用这个合法的对应关系对A RP报文进行检查并且过滤掉不合法的ARP报文。
认证方式
总体思路
通过使用用户认证机制来获取在线用户的IP地址和MAC地址对应关系并且使用认证的方法确认谁是合法的用户。通过这样的机制解决难以获取的合法用户I P地址和MAC地址对应关系。 同时我们事先在认证服务器上配置网关的合法I P地址和MAC地址对应关系。 由此可对局域网中进行着的虚假A RP报文过滤掉。能够防范ARP的攻击行为。
终端用户防护
用户的认证过程中使用CAMS服务器认证服务器将IP地址和MAC地址映射到iNode客户端客户端在用户终端匹配出网关的正确IP地址和MAC地址映射关系并且在用户终端形成了静态的ARP绑定这样能够有效防范伪装网关的ARP攻击。
使用DHCP监控
总体思路
交换机监控用户的动态获取IP地址的过程并且将IP地址和MAC地址的对应关系绑定在交换机上。利用交换机滤掉所有不能匹配所绑定的I P地址和MAC地址关系的ARP报文 以此来阻止用户终端主机发送的A RP欺骗报文。使用这种方法防御全部的ARP攻击类型。
相关技术
为了防范中间人攻击所谓中间人攻击是指在局域网中对一台或者多台主机的数据包的攻击。攻击者处于正常用户终端中间可以对数据包进行捕获、篡改、转发。进而做出相应隐蔽性强危害高的非法攻击。基于此的防范我们引入A RP入侵检测的方式。接入的交换机能够对经过的所有A RP报文进行判断查看其是不是合法的。交换机可以采用动态获取DHCP方式或者进行静态配置合法的IP地址和MAC地址的对应关系。这样通过比对数据报的源IP地址和MAC地址的对应关系来确定终端用户的合法性。实现对非法ARP报文的屏蔽阻止所有ARP的欺骗攻击。
[参考文献]
[1]谢希仁.计算机网络第5版 [M] .北京 电子工业出版社
2008。
[2]吴青.局域网ARP攻击与防范[J] .办公自动化杂志 20068 2527
[3]梁柱森.图书馆局域网内ARP病毒的分析与防止[J]2008。
[4]刘衍斌王岳斌陈岗.基于A RP欺骗的中间人攻击的检测与防范[J] .微计算机信息. 2012 08
“基于计算机网络安全防arp攻击的研究”文档源于网络本人编辑整理。本着保护作者知识产权的原则仅供学习交流请勿商用。如有侵犯作者权益请作者留言或者发站内信息联系本人我将尽快删除。谢谢您的阅读与下载
digital-vm怎么样?digital-vm在今年1月份就新增了日本、新加坡独立服务器业务,但是不知为何,期间终止了销售日本服务器和新加坡服务器,今天无意中在webhostingtalk论坛看到Digital-VM在发日本和新加坡独立服务器销售信息。服务器硬件是 Supermicro、采用最新一代 Intel CPU、DDR4 RAM 和 Enterprise Samsung SSD内存,默认...
2021年各大云服务商竞争尤为激烈,因为云服务商家的竞争我们可以选择更加便宜的VPS或云服务器,这样成本更低,选择空间更大。但是,如果我们是建站用途或者是稳定项目的,不要太过于追求便宜VPS或便宜云服务器,更需要追求稳定和服务。不同的商家有不同的特点,而且任何商家和线路不可能一直稳定,我们需要做的就是定期观察和数据定期备份。下面,请跟云服务器网(yuntue.com)小编来看一下2021年国内/国...
hosteons当前对美国洛杉矶、达拉斯、纽约数据中心的VPS进行特别的促销活动:(1)免费从1Gbps升级到10Gbps带宽,(2)Free Blesta License授权,(3)Windows server 2019授权,要求从2G内存起,而且是年付。 官方网站:https://www.hosteons.com 使用优惠码:zhujicepingEDDB10G,可以获得: 免费升级10...