基于计算机网络安全防arp攻击的研究
2022-06-09
摘 要:本文介绍了ARP原理,ARP欺骗过程,ARP的常见几种攻击分类,通过终端用户防护和DHCP监控的方法,对ARP攻击的防范策略。
关键词:ARP原理;ARP欺骗过程;ARP攻击
1 ARP原理
ARP(AddressResolutionProtocol)是地址解析协议,简单来说是将osi参考模型中的第三层网络层的ip地址和第二层数据链路层的MAC地址的一种对应。ARP提供了一种基于此的动态映射。在数据通信的过程当中,搜索到目标计算机的MAC地址,封装成帧。实现了计算机在一个局域网中的互相通信。为了更快捷的找到ip地址和MAC地址的映射,在用户和路由器以及服务器上都有相应的ARP缓存表。在缓存表中存放了最新学习到的地址映射记录。ARP机制会自动删除规定时间之外记录,因此确保了ARP缓存表准确性,缩短了ARP缓存表的长度,加快了查询的速度。
1.1 ARP欺骗过程
用一个例子,说明arp的欺骗过程,我们假设在一个局域网中用3台计算机连接到一台交换机下面,其中一个取名为A,是arp的攻击者;一个取名为B,是发送数据的主机;另一个取名为C,是接收数据的主机。三台电脑的ip分别为192.168.1.10;192.168.1.20;192.168.1.30。MAC地址分别为MAC-A,MAC-B,MAC-C。现在,B要向C发送数据了,B首先查询自己的ARP缓存表,查看是否有192.168.0.4对应的MAC地址,若有,直接将MAC地址封装。若B不知道C的MAC地址。B发送广播包,告诉全网我的ip地址和MAC地址,谁的ip地址为192.168.1.30。这时全网的电脑都收到了B发送的广播包,只有C回应,告诉B电脑,我就是你要找的ip,我的MAC地址是MAC-C。C单独给B的回应。那么B知道C的MAC地址,可以向C发送数据了。核心期刊目录2014它会动态更新自己的ARP缓存表。同时C也会更新自己的ARP缓存表。如果在B发送广播包的时候,A也给B电脑一个回应,告诉B我的ip地址为192.168.1.30,我的MAC地址为MAC-A。A假称自己的ip地址为C的ip地址。A不停的应答,造成了B重新更新了自己的ARP缓存表。写入错误记录。也就是ARP缓存表中毒。致使了凡是发送给C的数据都被A主机劫持。这就是所谓的ARP欺骗。
2 ARP攻击分类
⑴伪装网关。ARP攻击者发送错误网关IP地址和MAC地址对应给被攻击者。造成终端用户学习到错误的网关地址。用户不能访问网关,流量被攻击者截取,最终造成用户不能访问外网。⑵欺骗网关。ARP攻击者发送虚假ARP报文给网关,造成网关更新了非法用户的MAC地址和ip地址对应。网关要传送的全部数据都发送到ARP攻击方。最终造成用户无法正常访问外网。⑶欺骗用户。ARP攻击者伪造虚假的ARP报文发送给用户或者服务器,如果是用户,造成用户更新了错误的MAC和IP地址对应,导致用户之间无法正常访问。如果是服务器,造成了用户在访问服务器时,流量都转到了ARP攻击方。导致无法访问服务器。⑷泛洪攻击。ARP攻击者发送海量的伪造ARP报文在局域网中广播,从而ARP表被耗尽。用户再也无法学习新的ARP报文。这是将资源占满耗尽的泛洪攻击手段,导致合法用户无法访问外网。
3 ARP攻击常见应对方法
对ARP攻击原理的分析,我们发现ARP攻击防范的方法:如何获取合法用户和网关的IP地址和MAC地址的对应关系,利用这个合法的对应关系,对ARP报文进行检查,并且过滤掉不合法的ARP报文。
3.1 认证方式
3.1.1 总体思路
通过使用用户认证机制来获取在线用户的IP地址和MAC地址对应关系,并且使用认证的方法确认谁是合法的用户。通过这样的机制解决难以获取的合法用户IP地址和MAC地址对应关系。同时我们事先在认证服务器上配置网关的合法IP地址和MAC地址对应关系。由此,可对局域网中进行着的虚假ARP报文过滤掉。能够防范ARP的攻击行为。
3.1.2 终端用户防护
用户的802.1X认证过程中,使用CAMS服务器(认证服务器)将IP地址和MAC地址映射到iNode客户端,客户端在用户终端匹配出网关的正确IP地址和MAC地址映射关系,并且在用户终端形成了静态的ARP绑定,这样能够有效防范伪装网关的ARP攻击。
3.2 使用DHCP监控
3.2.1 总体思路
关键词:ARP原理;ARP欺骗过程;ARP攻击
1 ARP原理
ARP(AddressResolutionProtocol)是地址解析协议,简单来说是将osi参考模型中的第三层网络层的ip地址和第二层数据链路层的MAC地址的一种对应。ARP提供了一种基于此的动态映射。在数据通信的过程当中,搜索到目标计算机的MAC地址,封装成帧。实现了计算机在一个局域网中的互相通信。为了更快捷的找到ip地址和MAC地址的映射,在用户和路由器以及服务器上都有相应的ARP缓存表。在缓存表中存放了最新学习到的地址映射记录。ARP机制会自动删除规定时间之外记录,因此确保了ARP缓存表准确性,缩短了ARP缓存表的长度,加快了查询的速度。
1.1 ARP欺骗过程
用一个例子,说明arp的欺骗过程,我们假设在一个局域网中用3台计算机连接到一台交换机下面,其中一个取名为A,是arp的攻击者;一个取名为B,是发送数据的主机;另一个取名为C,是接收数据的主机。三台电脑的ip分别为192.168.1.10;192.168.1.20;192.168.1.30。MAC地址分别为MAC-A,MAC-B,MAC-C。现在,B要向C发送数据了,B首先查询自己的ARP缓存表,查看是否有192.168.0.4对应的MAC地址,若有,直接将MAC地址封装。若B不知道C的MAC地址。B发送广播包,告诉全网我的ip地址和MAC地址,谁的ip地址为192.168.1.30。这时全网的电脑都收到了B发送的广播包,只有C回应,告诉B电脑,我就是你要找的ip,我的MAC地址是MAC-C。C单独给B的回应。那么B知道C的MAC地址,可以向C发送数据了。核心期刊目录2014它会动态更新自己的ARP缓存表。同时C也会更新自己的ARP缓存表。如果在B发送广播包的时候,A也给B电脑一个回应,告诉B我的ip地址为192.168.1.30,我的MAC地址为MAC-A。A假称自己的ip地址为C的ip地址。A不停的应答,造成了B重新更新了自己的ARP缓存表。写入错误记录。也就是ARP缓存表中毒。致使了凡是发送给C的数据都被A主机劫持。这就是所谓的ARP欺骗。
2 ARP攻击分类
⑴伪装网关。ARP攻击者发送错误网关IP地址和MAC地址对应给被攻击者。造成终端用户学习到错误的网关地址。用户不能访问网关,流量被攻击者截取,最终造成用户不能访问外网。⑵欺骗网关。ARP攻击者发送虚假ARP报文给网关,造成网关更新了非法用户的MAC地址和ip地址对应。网关要传送的全部数据都发送到ARP攻击方。最终造成用户无法正常访问外网。⑶欺骗用户。ARP攻击者伪造虚假的ARP报文发送给用户或者服务器,如果是用户,造成用户更新了错误的MAC和IP地址对应,导致用户之间无法正常访问。如果是服务器,造成了用户在访问服务器时,流量都转到了ARP攻击方。导致无法访问服务器。⑷泛洪攻击。ARP攻击者发送海量的伪造ARP报文在局域网中广播,从而ARP表被耗尽。用户再也无法学习新的ARP报文。这是将资源占满耗尽的泛洪攻击手段,导致合法用户无法访问外网。
3 ARP攻击常见应对方法
对ARP攻击原理的分析,我们发现ARP攻击防范的方法:如何获取合法用户和网关的IP地址和MAC地址的对应关系,利用这个合法的对应关系,对ARP报文进行检查,并且过滤掉不合法的ARP报文。
3.1 认证方式
3.1.1 总体思路
通过使用用户认证机制来获取在线用户的IP地址和MAC地址对应关系,并且使用认证的方法确认谁是合法的用户。通过这样的机制解决难以获取的合法用户IP地址和MAC地址对应关系。同时我们事先在认证服务器上配置网关的合法IP地址和MAC地址对应关系。由此,可对局域网中进行着的虚假ARP报文过滤掉。能够防范ARP的攻击行为。
3.1.2 终端用户防护
用户的802.1X认证过程中,使用CAMS服务器(认证服务器)将IP地址和MAC地址映射到iNode客户端,客户端在用户终端匹配出网关的正确IP地址和MAC地址映射关系,并且在用户终端形成了静态的ARP绑定,这样能够有效防范伪装网关的ARP攻击。
3.2 使用DHCP监控
3.2.1 总体思路