關(guān)于網(wǎng)絡(luò)安全與局域網(wǎng)ARP地址欺騙攻擊的介紹
最近有網(wǎng)友想了解下網(wǎng)絡(luò)安全與局域網(wǎng)ARP地址欺騙攻擊相關(guān)的知識,所以學(xué)習(xí)啦小編就整理了相關(guān)資料分享給大家,具體內(nèi)容如下.希望大家參考參考!!!
網(wǎng)絡(luò)安全與局域網(wǎng)ARP地址欺騙攻擊
ARP,全稱Address Resolution Protocol,它是“地址解析協(xié)議的縮寫。MAC地址是固化在網(wǎng)卡上串行EEPROM中的物理地址,是由48比特長(6字節(jié)),16進制的數(shù)字組成,0~23位是由廠家自己分配,24~47位叫做組織唯一標志符,是識別LAN(局域網(wǎng))節(jié)點的標識。
一、ARP地址欺騙攻擊者的定位
利用ARP協(xié)議的漏洞,攻擊者對整個局域網(wǎng)的安全造成威脅,那么,怎樣才能快速檢測并定位出局域網(wǎng)中的哪些機器在進行ARP地址欺騙攻擊呢?面對著局域網(wǎng)中成百臺電腦,一個一個地檢測顯然不是好辦法。其實,我們只要利用ARP病毒的基本原理:發(fā)送偽造的ARP欺騙廣播,中毒電腦自身偽裝成網(wǎng)關(guān)的特性,就可以快速鎖定中毒電腦??梢栽O(shè)想用程序來實現(xiàn)以下功能:在 網(wǎng)絡(luò) 正常的時候,牢牢記住正確網(wǎng)關(guān)的IP地址和MAC地址,并且實時監(jiān)控來自全網(wǎng)的ARP數(shù)據(jù)包,當(dāng)發(fā)現(xiàn)有某個ARP數(shù)據(jù)包廣播,其IP地址是正確網(wǎng)關(guān)的IP地址,但是其MAC地址竟然是其他電腦的MAC地址的時候,這時,無疑是發(fā)生了ARP欺騙。對此可疑MAC地址報警,再根據(jù)網(wǎng)絡(luò)正常時候的IP一MAC地址對照表查詢該電腦,定位出其IP地址,這樣就定位出攻擊者了。
下面學(xué)習(xí)啦小編再介紹幾種不同的檢測ARP地址欺騙攻擊的方法。
1.命令行法
在CMD命令提示窗口中利用系統(tǒng)自帶的ARP命令即可完成。當(dāng)局域網(wǎng)中發(fā)生ARP欺騙的時候,攻擊者會向全網(wǎng)不停地發(fā)送ARP欺騙廣播,這時局域網(wǎng)中的其他電腦就會動態(tài)更新自身的ARP緩存表,將網(wǎng)關(guān)的MAC地址記錄成攻擊者本身的MAC地址,此時,我們只要在其受影響的電腦中使用“ARP -a”命令查詢一下當(dāng)前網(wǎng)關(guān)的MAC地址,就可知道攻擊者的MAC地址。我們輸入“ARP -a',命令后的返回信息如下:
Internet Address 00-50-56-e6-49-56 Physical Address Type 192.168.0. dynamic。
由于當(dāng)前電腦的ARP表是錯誤的記錄,因此,該MAC地址不是真正網(wǎng)關(guān)的MAC地址,而是攻擊者的MAC地址。這時,再根據(jù)網(wǎng)絡(luò)正常時,全網(wǎng)的IP-MA C地址對照表,查找攻擊者的IP地址就可以了[4]。由此可見,在網(wǎng)絡(luò)正常的時候,保存一個全網(wǎng)電腦的IP-MA C地址對照表是多么的重要。可以使用nbtscan工具掃描全網(wǎng)段的IP地址和MAC地址,保存下來,以備后用。
2.工具軟件法
現(xiàn)在網(wǎng)上有很多ARP病毒定位工具,其中做得較好的是Anti ARP Sniffer(現(xiàn)在已更名為ARP防火墻)。利用此類軟件,我們可以輕松地找到ARP攻擊者的MAC地址。然后,我們再根據(jù)欺騙機的MAC地址,對比查找全網(wǎng)的IP-MA C地址對照表,即可快速定位出攻擊者。
3.Sniffer抓包嗅探法
當(dāng)局域網(wǎng)中有ARP地址欺騙時,往往伴隨著大量的ARP欺騙廣播數(shù)據(jù)包,這時,流量檢測機制應(yīng)該能夠很好地檢測出網(wǎng)絡(luò)的異常舉動,利用Ethereal之類的抓包工具找出大量發(fā)送ARP廣播包的機器,這基本上就可以當(dāng)作攻擊者進行處理。
以上3種方法有時需要結(jié)合使用,互相印證,這樣可以快速、準確地將ARP地址欺騙攻擊者找出來。找到攻擊者后,即可利用殺毒軟件或手動將攻擊程序刪除。
二、ARP地址欺騙攻擊的防御及其解決辦法
1.使用靜態(tài)的I P-MAC地址解析
針對ARP地址欺騙攻擊的網(wǎng)絡(luò)特性,我們可以使用靜態(tài)的IP-MA C地址解析,主機的IP-MA C地址映射表由手工維護,輸人后不再動態(tài)更新。即便網(wǎng)絡(luò)中有ARP攻擊者在發(fā)送欺騙的ARP數(shù)據(jù)包,其他電腦也不會修改自身的ARP緩存表,數(shù)據(jù)包始終發(fā)送給正確的接收者。這種防御方法中常用的是“雙向綁定法”。雙向綁定法,顧名思義,就是要在兩端綁定IP-MA C地址,其中一端是在路由器(或交換機)中,把所有PC的IP-MA C輸入到一個靜態(tài)表中,這叫路由器IP-MA C綁定。另一端是局域網(wǎng)中的每個客戶機,在客戶端設(shè)置網(wǎng)關(guān)的靜態(tài)ARP信息,這叫PC機IP-MA C綁定。除此之外,很多交換機和路由器廠商也推出了各自的防御ARP病毒的軟硬產(chǎn)品,如:華為的FIX AR 18-6X 系列全千兆以太網(wǎng)路由器就可以實現(xiàn)局域網(wǎng)中的ARP病毒免疫,該路由器提供MAC和IP地址綁定功能,可以根據(jù)用戶的配置,在特定的IP地址和MAC地址之間形成關(guān)聯(lián)關(guān)系。對于聲稱從這個IP地址發(fā)送的報文,如果其MAC地址不是指定關(guān)系對中的地址,路由器將予以丟棄,這是避免IP地址假冒攻擊的一種方式。
2.使用ARP服務(wù)器
通過ARP服務(wù)器查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機器的ARP廣播,但必須確保這臺ARP服務(wù)器不被黑客攻擊。
3.使用其他交換方式
現(xiàn)在,基于IP地址變換進行路由的第三層交換機逐漸被采用,第三層交換技術(shù)用的是IP路由交換協(xié)議。以往的MAC地址和ARP協(xié)議已經(jīng)不起作用,因而ARP欺騙攻擊在這種交換環(huán)境下不起作用。該方法的缺點是這種交換機價格普遍比較昂貴。
出現(xiàn)ARP地址欺騙攻擊的解決辦法如下:
第一步:記住網(wǎng)關(guān)的正確IP地址和MAC地址,為以后的IP-MAC綁定做準備,也方便以后查找病毒主機。網(wǎng)關(guān)MAC的獲取,一是可以向單位的網(wǎng)管人員詢問;二是在機器正常上網(wǎng)時進行查詢,記下網(wǎng)關(guān)IP地址和MAC地址,方法如下:打開“命令提示符”窗口,在提示符后鍵入:ipconfig/al(l用此命令先查詢網(wǎng)關(guān)的IP地址),然后再鍵入:arp-a(用來顯示ARP高速緩存中所有項目),如果并未列出網(wǎng)關(guān)IP地址與MAC地址的對應(yīng)項,那就先ping一下網(wǎng)關(guān)IP地址,再顯示ARP高速緩存內(nèi)容就能看到網(wǎng)關(guān)的IP-MAC對應(yīng)項了。
第二步:發(fā)現(xiàn)網(wǎng)關(guān)MAC地址有沖突后,可先用arp-d命令先清除ARP高速緩存的內(nèi)容,然后再用arp-a命令查看網(wǎng)關(guān)IP-MAC項目是否正確。如果病毒不斷攻擊網(wǎng)關(guān),那就要靜態(tài)綁定網(wǎng)關(guān)的IP-MAC。例如:網(wǎng)關(guān)IP地址為10.1.4.254,MAC地址為00-08-20-8b-68-0a,先用arp-d命令清除ARP高速緩存的內(nèi)容,再在命令提示符后鍵入:arp-s10.1.4.254 00-08-20-8b-68-0a,這樣網(wǎng)關(guān)IP地址和MAC地址就被靜態(tài)綁定了。如果用戶安裝了瑞星防火墻,也可以通過防火墻提供的“設(shè)置-詳細設(shè)置-ARP靜態(tài)規(guī)則”中進行靜態(tài)綁定,或是在文章最開始的防火墻提示中選擇正確的MAC地址后點擊“添加到ARP靜態(tài)表中”。
第三步:如果病毒不斷攻擊網(wǎng)關(guān)致使網(wǎng)關(guān)的IP-MAC的靜態(tài)綁定都無法操作,那就應(yīng)該先找到病毒主機,使其斷網(wǎng)殺毒,才能保證網(wǎng)段內(nèi)其它機器正常上網(wǎng)操作。
三、結(jié)束語
由于ARP協(xié)議制定時間比較早,當(dāng)時對這些協(xié)議的缺陷考慮不周,使得ARP攻擊的破壞性比較大,但其也有局限性,比如ARP攻擊只局限在本地 網(wǎng)絡(luò) 環(huán)境中。最根本的解決措施就是使用IPv6協(xié)議,因為在IPv6協(xié)議定義了鄰機發(fā)現(xiàn)協(xié)議(NDP),把ARP納人NDP并運行于因特網(wǎng)控制報文協(xié)議(ICMP)上,使ARP更具有一般性,包括更多的內(nèi)容。