协议分析及欺骗类病毒的防御
目录
一、引言
二、 ARP协议概述
三、 ARP协议的缺陷
1.主机ARP列表是基于高速缓存动态更新的
2.可以随意发送ARP应答分组
四、 ARP的主要攻击类型
1.冒充主机欺骗网关
2.冒充网关欺骗主机
(1)在主动攻击中
(2)同时
(3)从而使得A←→B之间的通信形式变成A←→C←→B
A . 1AA:AA
B . 2 BB:BB
C . 3 CC:CC
四、 ARP欺骗防范和解决方案
1.手动防御
2.使用ARP服务器
3.ARP欺骗的解决措施
C:\Documents and Settings\Administrator>arp-a
C:\Documents and Settings\Administrator>arp-a
五、结论
正文
摘要 目前利用TCP/IP协议安全漏洞进行欺骗攻击的事件经常发生攻击者利用ARP欺骗进行拒绝服务攻击(DoS)或中间人攻击造成
网络通信中断或数据被截取和窜改严重影响网络的安全。本文通过A RP协议原理分析揭示ARP协议欺骗并对A RP病毒攻击提出一套有效可行的防犯措施和解决办法
关键字 ARP协议ARP欺骗A RP病毒
一、引言
ARP欺骗具有隐蔽性、随机性的特点在Internet上随处可下载的ARP欺骗工具使A RP欺骗更加普遍。 目前利用A RP欺骗的木马病毒在局域网中广泛传播给网络安全运行带来巨大隐患是局域网安全的首要威胁。有时会出现网络设备完好运转正常的情况下局域网内用户上网速度缓慢甚至完全阻塞的情况这种现象往往是由于局域网内遭到ARP攻击引起的一些带有ARP欺骗功能的木马病毒利用A RP协议的缺陷像大规模爆发的流行性感冒一样造成网络时断时续无法正常上网。 同时清理和防范都比较困难给不少的网络管理员造成了很多的困扰。
二、 ARP协议概述
ARP协议全称为Address Resolution Protocol即地址解析协议是TCP/IP协议栈中的基础协议之一它工作于OSI模型的第二层在本层和硬件接口间进行联系 同时为上层(网络层)提供服务。是将IP地址与网络物理地址一一对应的协议负责IP地址和网卡实际地址(MAC)之间的转换。也就是将网络层地址解析为数据链路层的MAC地址。在以太网中一个网络设备要和另一个网络设备进行直
接的通信除了知道目标设备的IP地址外还要知道目标设备的MAC地址。 A RP协议的基本功能就是通过目标设备的I P地址查询目标设备的MAC地址 以保证通讯的顺利进行。当一个网络设备需要和另一个网络设备通信时它首先把目标设备的IP地址与自己子网掩码进行“与”操作 以判断目标设备与自己是否位于同一网段内如果目标设备与源设备在同一网段内则源设备以第二层广播的形式(目标MAC地址全为1)发送A RP请求报文在ARP请求报文中包含了源设备与目标设备的IP地址。如果目标设备与源设备不在同一网段则源设备首先把IP分组发向自己的缺省网关 由缺省网关对该分组进行转发。
三、 ARP协议的缺陷
1.主机ARP列表是基于高速缓存动态更新的。 由于正常的主机间的MAC地址刷新都是有时限的这样恶意用户如果在下次交换之前成功地修改了被欺骗机器上的地址缓存就可以进行假冒或拒绝服务攻击。
2.可以随意发送ARP应答分组。 由于ARP协议是无状态的任何主机即使在没有请求的时候也可以做出应答。因此任何时候发送A RP应答。只要应答分组是有效的接收到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机高速缓存。
四、 ARP的主要攻击类型
A RP期骗是指利用ARP协议的漏洞通过向目标设备主机发送虚假的ARP报文达到监听或者截获目标主机数据的攻击手段。主要攻击
类型:冒充主机欺骗网关(对路由器ARP表的欺骗) 、 冒充网关欺骗主机(对内网PC的网关欺骗)
1.冒充主机欺骗网关
攻击主机C发出一个报文其中源MAC地址为MAC C源IP地址为IP A。这样任何发往主机A的报文都会被发往攻击主机C。 网关无法与真实主机A直接通信。假如攻击主机不断地利用自己的真实MAC地址和其他主机的I P地址作为源地址发送ARP包则网关无法与网段内的任何主机(攻击主机C除外) 进行直接通信。然而这种情况下交换机是不会产生任何报警日志的原因在于多个IP地址对应一个MAC地址在交换机看来是正常的不会影响其通过IP所对应的MAC来交付报文。
如果攻击者将网关A RP缓存中的MAC地址全部改为根本就不存在的地址那么网关向外发送的所有以太网数据帧会丢失使得上层应用忙于处理这种异常而无法响应外来请求也就导致网关产生拒绝服务(不能响应外界请求不能对外提供服务)
2.冒充网关欺骗主机
(1)在主动攻击中攻击者C主动向A发送ARP应答数据包告诉
A B(网关)的IP地址所对应的MAC地址是CC-CC-CC-CC-CC-CC从而使得A修改自己的ARP列表把B的IP地址对应的MAC地址修改为攻击者C的MAC地址。
(2)同时攻击者C也主动向B发送ARP应答数据包告诉B A的IP地址所对应的MAC地址是CC-CC-CC-CC-CC-CC从而使得B修改自己的ARP列表把A的I P地址对应的MAC地址修改为攻击者C的MAC地址。
(3)从而使得A←→B之间的通信形式变成A←→C←→B实现了中间人攻击。
在被动攻击中攻击者C只在A或者B发送ARP请求数据包时延时一段时间发送应答数据包使得自己的应答包在正确的应答包之后到达防止自己修改的相应主机的ARP列表被正确的应答包再次修改。
那么主机A发往网关B的报文都会被发往攻击主机C造成主机A突然断网。如果攻击主机向网关B转发了来自主机A的报文那么主机A能通过攻击主机C继续上网但其上网质量完全取决于攻击主机
C通常表现为时断时续。
例如 网络上有3台主机有如下的信息:
主机名IP地址硬件地址
A . 1AA:AA
B . 2 BB:BB
C . 3 CC:CC
这三台主机中 C是一台被入侵者控制了的主机而A信任B入侵者的目的就是要伪装成B获得A的信任 以便获得一些无法直接获得的信息等。
四、 A RP欺骗防范和解决方案
1.手动防御
防御A RP欺骗的简单方法是网络管理员分别在主机和路由器上静态绑定地址映射。这种方法非常有效但仅适用于小规模的局域网而且这种方法不适用于DHCP自动分配地址的情况也不能适应网络的动态变化。对于大型动态IP的网络建立DHCP服务器(建议建在网关上) 。所有客户机的IP地址及其相应主机信息只能由网关这里取得 网关开通DHCP服务保持网内的机器IP/MAC一一对应的关系。在由DHCP服务器构成的动态分配主机IP的环境中主机申请IP时的MAC地址和IP地址是一一配对的也是唯一的上述的攻击主机C也不能例外不可能利用一个MAC地址申请到多个I P地址更不可能申请到网关地址。同时 网关机器关闭ARP动态刷新的过程使用静态路由这样的话 即使犯罪嫌疑人使用A RP欺骗攻击网关的话这样对网关也是没有用的确保主机安全 即可防御冒充主机欺骗网关的A RP欺骗。
另一方面通过arp-s命令在PC上绑定网关的MAC和IP地址这样可以防御冒充网关欺骗主机的A RP欺骗。
另一种有效的手动防御方法是在局域网中增加VLAN的数目减少V LAN中的主机数量。局域网管理员可以根据本单位的网络拓扑结构划分若干个VLAN这样既能够在发生ARP攻击时减少所影响的网络范围又能够在发生A RP攻击时便于定位出现的网段和具体的主机。缺点同样是增加了网络维护的复杂度也无法自动适应网络的动态变化。
2.使用A RP服务器
在局域网内部的设置一台机器作为ASP服务器专门保存并且维护网络内的所有主机的I P地址与MAC地址映射记录使其他计算机的A RP配置只接受来自A RP服务器的A RP响应。当有A RP请求时该服务器通过查阅自己缓存的静态记录并以被查询主机的名义响应ARP局域网内部的请求从而防止了A RP欺骗攻击的发生。但是这个方法也有不足首先要保证ARP服务器不被攻击确保ARP服务器的安全;其次要保证主机只接受指定ARP服务器的ARP响应报文。如何做到这一点目前还是比较困难的。
3.A RP欺骗的解决措施
以上只是对A RP欺骗的防御手段但对于局域网中已经有机器中了A RP欺骗木马伪造网关则可采用以下方法解决。
判断攻击机的IP地址
. 1 .8在计算机上DOS命令行中运行arp-a后输出如下:
C:\Documents and Settings\Administrator>arp-a
Interface: .8---0x10003
Internet Address Physical AddressType
. 100-01-02-03-04-05dynami c
其中 00-01-02-03-04-. 1对应的MAC地址类型为动态 因此可被改变。正常情况下 . 1和00-01-02-03-04-05始终对应。被攻击后重复使用该命令查看就会发现该MAC已经被替换成攻击机器的MAC而且攻击机器的MAC地址和真正的网关MAC地址会出现交替现象如
C:\Documents and Settings\Administrator>arp-a
Interface: .8---0x10003
Internet Address Physical AddressType
. 100-01-02-03-04-05dynami c
.600-01-02-03-04-05dynami c
.6的计算机就是攻击机接下来就要判断攻击机的MAC地址并对连接该主机端口进行定位定位操作主要通过S NMP协议完成。最后关闭交换机上受病毒感染的端口并对通过端口查出的相应用户进行彻底
