本文关键词:ARP欺骗、攻击、防护
随着计算机网络的普及,网络逐渐成为人们生活中的重要部分,网络安全也日益受到人们的关注。
但由于网络的开放性、共享性及网络连接的多样性等原因,造成管理难度越来越大,任何一个小问题都可能影响到网络的正常运行。
网络安全也是当今网络技术研究的重要课题,有很强的现实应用背景,网络安全防范中,如何有效的防范ARP欺骗攻击成为了人们研究的一个重要课题。
一、ARP欺骗攻击方式
第一种:窃取数据( 嗅探)
这种情况就属于典型的ARP欺骗,欺骗主机向被欺骗主机发送大量伪造的ARP应答包进行欺骗,当通讯双方被欺骗成功后,自己作为了一个“中间人”的身份。
此时被欺骗的主机双方还能正常通讯,只不过在通讯过程中被欺骗者“窃听”了。
第二种:IP地址冲突
主机可以发出更改过的ARP报文,将一个错误的MAC地址强行映射到目的主机的IP地址,致使目的主机系统检测到两个不同的MAC地址对应了自己的IP地址,误以为网络中该IP地址已经被其他主机使用,而报IP地址冲突,在Windows系列操作系统上表现为弹出警告对话框,并会发生网络中断。
第三种:基于ARP欺骗的DOS攻击
1) 伪造主机或网关:攻击源通过伪造虚假的主机或网关,让被攻击主机向其发送数据,而不能发送到真正的主机或网关,造成被攻击者出现两台主机之间不能通信或上不了网。
网络执法官、网络剪刀手等软件就是利用此方法达到让目的主机断网的目的。
2) 直接攻击内网网关:攻击者通过发送大量的ARP报文,超过网关处理能力,导致所有经过网关的通信中断,同时网络内的应用也会受到影响。
3) 针对交换机的MAC Flooding:由于交换机CAM缓存中可容纳交换机要负责建立两个节点间的“虚电路”,就必须维护一个交换机端口与MAC地址的映射表,这个映射表是放在交换机内存中的,但由于内存数量的有限,地址映射表可以存储的映射表项也有限。
如果恶意攻击者向交换机发送大量的虚假MAC地址数据,有些交换机在应接不暇的情况下,造成网络性能下降之至网络拥塞或崩溃,并且会造成交换机像一台普通的Hub那样只是简单地向所有端口广播数据,嗅探者就可以借机达到窃听的目的。
4) DHCP服务器DOS攻击:为了方便管理,企业网络大都使用DHCP服务器进行IP地址分配管理,而攻击者利用DHCP工作过程没有认证机制漏洞实现攻击。
DHCP耗竭的攻击通过利用伪造的MAC地址来广播DHCP请求的方式来进行。利用诸如gobbler之类的攻击工具就可以很容易地造成这种情况。
如果所发出的请求足够多的话,网络攻击者就可以在一段时间内耗竭向DHCP服务器所提供的地址空间。
结果当合法用户请求一个DHCP IP地址的时候也会被拒绝,并因此而不能访问网络。
DHCP耗竭可以为纯粹的服务拒绝(DoS)机制,也可以与恶意的伪造服务器攻击配合使用来将信息转发给准备截取些信息的恶意计算机。
当正常的DHCP服务器瘫痪时,网络攻击者就可以在自己的系统中建立起伪造DHCP服务器来对来自该局域网中客户所发出的新DHCP请求作出反应。
入侵者可以利用自己可以控制其信息转发的DNS服务器或默认网关来发布某个地址的信息。
二、处理过程
由于ARP攻击主要是利用ARP协议固有的漏洞,因此防御比较困难,至今没有彻底解决的方案。我们只有通过一些安全措施提高网络的安全性。
1) 划分VLAN
众所周知ARP报文是通过广播发送的,通过VLAN划分,缩小广播域,从一定程度上减少ARP攻击的范围。
2) 静态ARP绑定
ARP协议攻击最根本的原理就是改变IP地址与MAC地址的正确对应关系。所以可以采取静态ARP表来防范,就是在目标主机的ARP缓存中设置静态地址映射记录。
这样,当主机A向主机B发送数据前就不需要通过向所在的局域网广播ARP请求来获得B的MAC地址,它会直接查询ARP静态记录表来获得B的MAC地址。
攻击者也就没有机会向A发送ARP应答。但是,攻击者在未接收到ARP请求的情况下仍凭空伪造ARP应答发送给A,A将拒绝用伪造的数据更新ARP缓存中的静态记录。
这种方法的缺点很明显,就是在经常更换IP地址的局域网环境里,由于每个主机都采用ARP静态记录,手工维护十分繁琐,工作量很大,这种方法在实际上应用中很少采用。
3) 监控网络及定期广播
为了解决上述方法中维护静态记录的工作分散的缺点,可以采用在局域网内部指定一台机器作为ARP服务器来集中管理,专门保存和维护一个相对可信的局域网环境下所有主机的IP--MAC地址映射记录。
该服务器通过查阅自己的ARP缓存的静态记录并以被查询主机的名义来响应局域网内部的ARP请求。按照一定的时间间隔广播网段内所有正确的IP-MAC地址表。
4) DHCP嗅探和动态ARP检测技术
DHCP SNOOPING(DHCP嗅探)是交换机捕获通过它的DHCP应答报文,然后建立一张包含有用户MAC地址、IP地址、租用期、VLAN ID、交换机端口等信息的一张表,并且将交换机的端口分为可信任端口和不可信任端口。
对于一个不可信任端口收到DHCP服务器的报文交换机将直接丢弃,对信任端口收到的DHCP服务器的应答报文,交换机不会丢弃而直接转发的一种技术。此技术可有效的防御DHCP服务器DOS攻击。
DAI(Dynamic Arp Inspection 动态ARP检测)是一种在交换机中提取ARP报文中发送者的IP地址和MAC地址然后和DHCP SNOOPING生成的表做比较:
对于二层交换机来说如果匹配,则转发该ARP报文,如果不匹配,则丢弃该ARP报文;
对三层交换机来说如果匹配则更新ARP表,如果不匹配则不更新ARP表。
并且可以设置交换机接收ARP报文的PPS(每秒钟接收ARP报文的个数)来防止ARP攻击者发送大量ARP报文的技术。
同时运用这两种技术可有效的防御交换机不同接口之间的ARP欺骗,同时竭制DHCP服务器DOS攻击。
5) 增强网络安全意识
不要轻易下载、使用盗版和存在安全隐患的软件,或浏览一些缺乏可信度的网站(网页);不要随便打开不明来历的电子邮件,尤其是邮件附件;
不要随便共享文件和文件夹,即使要共享,也得设置好权限,一般指定特定帐号或特定机器才能访问,另外不建议设置可写或可控制,以免个人计算机受到木马病毒的侵入给局域网的安全带来隐患。
6) 主机及时更新补丁和安装杀毒软件
有一些ARP攻击并不是人为所致,而是主机系统缺陷,感染了ARP木马病毒。因此经常更新系统补丁和安装杀毒软件并升级是保证网络及计算机安全的最重要一步。
三、故障原因分析
ARP是整个IP网络的基础之一,随着网络的不断发展,他的安全性必然将受到越来越多的关注。
ARP协议的安全漏洞来源于协议设计上的缺陷,ARP协议被设计成为一种可信任的协议,缺乏合法性验证手段。
上述几种防御措施也存在着各自的局限性,一般是多种方案配合实行,这样才可以最大限度的阻止ARP攻击的出现。
但要从根本上解决ARP攻击问题比较困难。最根本的解决方式重新设计一种安全的地址解析协议,在IPv6中人们已经考虑到这个问题,不再使用ARP和RARP协议,而是采用更安全的邻机发现协议(NDP),从而杜绝来自底层的攻击。
四、经验总结
- 加强技术手段防护,如划分VLAN、静态ARP绑定、DHCP嗅探和动态ARP检测技术等手段。
- 主机及时更新补丁和安装杀毒软件。
- 增强网络安全意识。
版权声明:本文转载自公众号“Nari_ZJ”,版权归原作者所有,转载请保留此字段,感谢!
4802
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
