简介:大学硕士与本科攻击主机毕业论文开题报告范文和相关优秀学术职称论文参考文献资料下载,关于免费教你怎么写攻击主机方面论文范文。
王宇杰,王锋,黄红
(北京交通大学信息中心,北京 100044)
摘 要:网络的全球化,越来越多的人开始使用互联网,各种网络犯罪手段层出不穷.利用ARP协议的漏洞进行ARP攻击就是一种典型的以窃取用户私密信息为目的的犯罪手段.本文就ARP协议的原理、漏洞及攻击原理逐一进行介绍,再结合高校校园网中的实际情况来探讨ARP攻击的实际防范案例.
关键词:ARP攻击;ARP欺骗;防范
中图分类号:TP393.08文献标识码:A
0引言
网络的全球化,越来越多的人开始使用互联网,也使不法分子盯上了互联网这块肥肉.各种网络犯罪手段层出不穷.钓鱼网站,窃取帐号口令的木马以及病毒层出不穷.而在大型同区网中,利用ARP协议的漏洞进行ARP攻击就是一种典型的以窃听用户信息为目的的犯罪手段.本文就ARP协议的原理,漏洞及攻击原理做以介绍,并结合高校校同网中的实际情况来探讨ARP攻击的实际案例和防范.
1.ARP协议原理及漏洞
1.1 ARPt协议作用及报文结构
在TC P/IP协议中,每一个网络结点是用IP地址标识的,lP地址是一个逻辑地址.而在以太网中数据包是靠48位MAC地址(物理地址)寻址的.因此,必须建立lP地址与MAC地址之间的对应(映射)关系,ARP( AddressResolution Protocol)协议就是为完成这个工作而设计的.ARP协议由RFC826定义.ARP是个链路层协议,它工作在OSI参考模型的第二层即数据链路层,与下层物理层之间通过硬件接口进行联系,同时为上层网络层提供服务.ARP报文格式如下所示:
容易混淆的是:ARP协议帧类型为Ox0806,而ARP包体中协}义类型为Ox0800(如果是IPv4协议,ARP可用于任何高层协议);另外判断一个ARP分组是ARP请求还足应答的字段是“op”,当其值为Ox0001时足请求,为Ox0002时是应答.
1.2 ARP协议的工作过程
主机或网关设备的TCP/IP协议栈维护着一个ARP Cache表,在构造网络数据包时,首先从ARP表中找目标IP对应的MAC地址,如果找不到,就发一个ARP request 广播包,请求具有该1P地址的主机报告它的MAC地址,当收到目标lP所有者的ARP reply后,更新ARP Cache.ARP Cache有老化机制.
正常的ARP通讯过程只需广播ARP Request和单播ARP Replay两个过程,简单的说就是一问一答,如下图:
PCI用广播形式将ARP请求发送到所有主机上,每个主机都收到这个ARP请求,但只有目标主机PC2会更新自己的A RPcaCh,这样PC2就学到了PC1的ARP表项;同时PC2会用单播形式的ARP Rel,ly响应这个ARP ReqijPsi,PC1在收到PC2的应答后更新自己的ARPCaChe中,进行下一步通信.
用Wireshark等抓包工具抓到的ARP包如下:
请求包( Request):\
1.3 ARPt协议的漏洞
ARP胁议漏洞在于缺乏合理的验证和信任机制,主机和网关不检查ARP报文的合法性,只要收到就会更新本地的ARP表.而且网络中任何一台主机都有发送ARP报文的权利,导致任何一台主机都可以发送ARP欺骗包而目标主机却无法分辨真伪.
2.ARP攻击目的及原理
2.1 ARP攻击的目的
为什么产生ARP欺骗攻击?其真实目的在于截获网络通讯数据,进而*用户机密信息如用户的的网银*论文范文,游戏*论文范文,即时聊天工具*论文范文等.巨大的经济利益驱动了ARP欺骗的发展,冉加上ARP协议本身的漏洞,导致ARP欺骗实现原理简单,变种极多,通过病毒网页或木马程序即可传播,杀毒软件的更新不能及时跟上病毒的变种,造成ARP欺骗屡禁不止.
2.2 ARP攻击的理论分析
要想搞清ARP攻击的原理,首先要搞清楚主机和设备ARP Cache在收到不同报文时变化的两种情况.
情况一:主机收到一个ARPRequest,第一步它会判断Sender IP是否和自己一致:如果一致,会进一步判断Sender MAC是不是和自己一致,如果是,认为是自己发出的ARP包丢弃,如MAC不一致,会报地址冲突,有可能禁用自己的NIC(不同操作系统动作不一);第二步会判断Sender lP和Ta rget lP是否一致:如果一致,认为是一个免费ARP( Gratuitous ARP),那接下来会判断Target IP在不在自己的ARP Cache中,如果在,根据Sender lP更新ARP Cache,如果不在,丢弃;第三步会判断Target lP是否与自己的IP一致,如果一致,则利用Sender lP更新自己的ARP表项,不一致丢弃.
情况二:主机收到一个ARP Reply:处理过程和收到ARP Request过程相似,区别只是在第三步判断完Ta rgetARP和自己一致后,会增加判断TargetlP是否已经在自己的ARP Cache中,如果在才更新,不在就丢弃.
由上面的分析可以看到:恶意的ARP Request和Reply报文在满足某些条件下均会导致ARP Cache的更新.ARP Cache更新的判断条件比较复杂,根据Cache更新的原理,不法分子可以构造出各种ARP包,来导致地址冲突,或者是Cache的更新.最简单的情况下,只需要构造一个简单的恶意ARPRequest报文,就可以轻易的更新目标主机的ARP表项.
所有的恶意报文中,最终都是根据Sender IP/MAC来更新ARP Cache的,即ARP表项的错误都因为恶意伪造ARP报文的Sender字段引起的.
2.3 ARP攻击的分类
根据以上分析,将ARP攻击分为两大类,四小类:
大类J: Flooding攻击:这类攻击又分为两小类:ARP扫描攻击和ARP单一地址泛洪攻击:ARP扫描攻击是指不法主机对网段内所有机器进行的ARP扫描,其目的是为进一步的ARP攻击做准备,会导致网络设备CPU利用率急速上升;ARP单一地址泛洪攻击目的是用高强度的ARP欺骗报文来强行刷新被攻击机器的ARP Cache,使其无法处理正常的ARP报文,不法主机好做进一步的攻击.
大类二:欺骗攻击:分为欺骗主机和欺骗网关两小类:欺骗主机指不法主机欺骗目标主机,使其认为不法主机是网关设备,从而达到目标主机的所有流量均会自动流向不法主机的目的;欺骗网关类似,只不过欺骗的目标是网关设备,使网关设备认为不法主机是合法的目标主机,进而截获从网关到目标主机的流量.这两种攻击组合,就形成中间人攻击,这种攻击极具狡猾性,不法主机在不知不觉中截获目标主机到网关的流量,其攻击原理如下图:
防攻击主机:防论文范文——第一互联——如何申请免费的网站空间(虚拟主机)
在实际的攻击中,不法主机会组合以上的攻击方式进行综合攻击,一般会进行ARP扫描,然后会进行ARP欺骗攻击,同时辅以Flooding攻击,使得目标主机和网关根本无暇顾及正常的网络流量.
2.4遭受ARP攻击的表现
1.)欺骗主机型ARP攻击表现
网络时断时续或网速特别慢;在命令行提示符下执行“ARP -d”命令就能好上一会;在命令行提示符下执行“ARP -a”命令查看网关对应的MAC地址发生了改变.
2.)欺骗网关型ARP攻击表现
网关设备怎样判断是否受到了ARP欺骗攻击?表现是:ARP表中同一个MAC对应许多lP地址.另外,网关的CPU利用率一般会大幅上升.3ARP攻击实际案例
ARP攻击中,有些是木马和病毒的行为,有些则是攻击者手动操纵的.下面案例主要讲解攻击者手动利用ARP进行攻击的情况.这是一个真实发生在高校校园网内部的案例,在这个案例中,攻击者首先利用服务器的漏洞,取得某台服务器的Root权限,然后上传并运行攻击工具CAIN,在进行ARP扫描后,对本网段内的主机发动ARP中间人攻击,利用泛洪的方式,双向欺骗网关和PC,进而截获从PC和网关之间的双向数据流.在截获报文基础之上,利用该工具获取大量用户信息.如邮箱*和论文范文.当时邮件用户的表现是:访问邮件服务器速度极慢;而邮件服务器的表现是网络严重阻塞,大量的邮件无法发送,而且网关MAC不对;网络设备的表现是:ARP表中出现大量的lP地址对应同一个MAC的情况.该案例的处理过程在下面的防范措施中详细描述.
4.ARP攻击防范措施
ARP攻击的防范一般可以分为两种:主机防范和网关交换机防范.
4.1主机防范
主机防范大致可以采取两种方法:一是用将网关的ARP表项静态同定下来,不去动态刷新,这可以通过用命令行的方式或者一些防病毒的工具也具备这种功能;二是安装AntiARP之类的专用软件,这些软件可以帮助用户来静态绑定网关的ARP记录,也可以帮助用户来抵御泛洪式的ARP攻击.但因为主机不会转发所有局域网流量,所以主机上能做的防范非常有限.
4.2网关防范
随着对ARP攻击研究的深入,目前主流的交换设备对ARP防护都已做得不错.在离用户最近的交换设备上部署ARP攻击防范措施无疑效果是最好的.因此,一般都是在接入交换机上启用防ARP攻击功能的.下面就主要探讨在接入交换机上如何防ARP攻击,汇聚层网络没备的部署方法类似.
针对2大类ARP攻击,接入交换机设备采取不同的防范手段.
1.)接入交换机针对ARP泛洪攻击的防范
ARP Flooding攻击就是向系统大量发送ARP请求包导致缓存表占满来实现攻击的.因此可以从限制接收速度人手,通过对每秒接收到的ARP报文的速率来防止ARP Flooding攻击.一般有两种实现方式来防止ARP泛洪攻击:基于端口和基于IP.基于端口的ARP扫描会计算一段时间内从某个端口接收到的ARP报文的数量,若超过了预先设定的阈值,则会Down掉此端口;基于lP的ARP扫描则计算一段时间内从网段内某1P收到的ARP报文的数量,若超过了预先设置的阈值,则禁止来自此lP的任何流量.端口或IP被禁掉后,可以通过自动恢复功能自动恢复
目前高校校园网中主流的杭州华三通信技术有限公司(以下简称:H3C)、福建星网锐捷网络有限公司(以下简称:锐捷)、神州数码网络有限公司(以下简称:神码)的接入交换机都具备此功能.H3C使用ARP rate-limit命令防范,使用ARP protetive-clown recover来设定恢复禁用的端口或lP;锐捷采用ARP-guard命令防范,使用ARP-guardisolate timeout来设定恢复禁用的端口或IP,神码采用anti-ARPscan命令防范,使用anti-ARPscan recoverv来设定恢复禁用的端口或IP
2.)接人交换机针对ARP欺骗类型的ARP攻击的防护
这种防护复杂度稍大,总的思路是:先拿到安全地址,也就是主机真实的IP与MAC地址,这个地址的获得有两种办法:在主机发送ARP报文前通过监听DHCP过程(DHCP snooping)获得;或者通过静态绑定获得.拿到安全地址后,交换机校验每一个经过的ARP报文:检查ARP报文中Senrier&,acute,s IP和MAC与安全地址中的IP和MAC是否一致,不一致丢弃安全地址的获取是防ARP欺骗的前提.ARP报文校验是防ARP欺骗的手段.
只要ARP包体中的Sender lP不是合法的IP/M AC,就会将包丢弃,无论是欺骗网关型还是欺骗主机型ARP攻击,都可以得到有效的防范.
安全地址的获得方式如下:静态地址分配方式下,H3C通过IP source guard,锐捷通过Port security,神码通过IP dhcp snooping binding来实现安全地址表项的建立.动态地址分配方式下,通过启用DHCP snooping来建立安全地址表项:主机向DHCP Server发起DHCP请求,交换机记录下发起请求的PORT和MAC;DHCP Server返回分配给用户的lP地址,交换机上记录下DHCP返回的IP地址;交换机根据DHCP snooping功能记录下来的信息,在相应的交换机端口上绑定合法的IP、MAC信息.
安全地址获得后,H3G用ARPcletection,锐捷用ARP-check,神码用ip dhcp snooping hinding user-control命令来启用安全地址校验.同时都可以设定ARP trust端口,对该端口上来的ARP报文不做任何监测.
在上述高校的ARP攻击案例中,发现ARP攻击后,首先,根据攻击者的Mar很快定位了该服务器,然后对服务器进行隔离.待彻底清查后,在接入交换机上关闭ARP自动学习:IPARP-security learning;并将动态学到的ARP表项转为静态:IP ARP-seruritVconvert.关闭交换机的自动学习功能以后,交换机不再接收ARP报文.因当时所有机器全部在用,因此转换的ARP表项是所有终端的完全正确的ARP表项,这样就杜绝了今后再有类似的ARP事件的发生.
3.)交换机设备防范ARP攻击部署的注意事项
目前,高校的校园网内的接入交换机基本都具备了ARP防护功能.防ARP功能的启用,将极大改善以前ARP病毒泛滥时整个网络基本不可用的情况.但在部署防ARP攻击的功能时,有两点注意事项.
(1)防ARP功能部署后对网络设备转发性能的影响.交换机防范ARP攻击有些是基于CPU处理的,有些是基于ASIC处理的.在ARP攻击非常严重的时候,前者在处理性能上可能会有问题.我校曾发生过部署该功能后,所有用户上网会偶尔中断的问题.经过测试,发现足ARP防范功能由CPU来处理,导致网络设备瞬时CPU利用率太高影响iF常网络转发,后来改用基于硬件处理的防ARP功能,问题解决.
(2) ARP泛洪攻击防范阈值的设定问题.如上所述,目前交换机在防范ARP泛洪攻击时,都会先设定一个阈值,单端口或lP发送的ARP包数超过这个阈值,端口或lP会被禁用.待经过用户设定的隔离期后,端口自动打开.我校部署该功能后,不少用户反应上网后马卜中断,20分钟后能用,但很快义会巾断.经过分析测试发现,20分钟这个时间恰好和我们设定的用户隔离时间相同.交换机的日志及隔离端口上均可以看到该用户发送ARP数量巨大被隔离,因此此判断应该是用户发送ARP包数量异常,很多用户重装机器后故障消失.但要注意的是,该阈值的制定要充分考虑用户的合法ARP包数.另外一些ARP防火墙或网络安全软件也会导致发送ARP数超标.很多时候需要抓包进一步分析.
5.结语
利用ARP协议的漏洞进行ARP攻击以达到窃取用户信息的的不法行为曾经在高校的校园网内泛滥.随着对ARP攻击研究的深入,充分应用网络交换设备对ARP攻击的防范功能,可以杜绝绝大多数基于ARP攻击的网络犯罪,还网络应用一片蓝天.(责编张岩)
参考文献:
【1】Behrouz A.Forouzan,TCP/IP协议族[M]谢希仁译.北京:清华大学出版社,2001:162 163.
【2】林论文范文.基于改进DHCP服务器的校园网lP地址管理方法【J】,福建电脑,2f09,10: 25-32.
【3】福建星网锐捷网络有限公司.ARP欺骗防御解决方案技术白皮书【DB/OL】,http://www.rujie.com.cn/plan/solution_one.aspxuniid等于17626cc2-3e5a-4529-b0a9-2a8095fadfcl, 2009-09-03/2010-04-27.
【4】刘亚军监狱内网中的ARP协议欺骗原理分析与抵御方法【J】中国监狱学刊,2009,5:35-38.
【5】神州数码网络有限公司ARP攻击防御一接入交换机篇【DB/OL】. http://ww w.dcnetworks.com.fn/cn/weh/detailaspxmenuID等于516&,contentID-1715,2009-11-22/2010-04-27.
基金项目:北京交通大学校基金项目《NGI网络应用模型研究》(N07J00030)、《Ipv6下防火墙技术支持》( N07L0030)
作者简介:王宇杰(l973-),男,工程师,主要研究方向:网络技术与安全;王锋(1975 -),男,高工,主要研究方向:网络管理;黄红(1961-),女,高工,主要研究方向:网络信息安全.,
总结:本论文是一篇免费优秀的关于攻击主机论文范文资料,可用于相关论文写作参考。
防攻击主机引用文献:
[1] 纵深攻击的前世今生论文范文 关于纵深攻击的前世今生相关本科论文开题报告范文5000字
[2] 云主机和云计算本科毕业论文范文 关于云主机和云计算自考毕业论文范文5000字
[3] 电脑和电脑主机本科论文范文 电脑和电脑主机类有关毕业论文怎么写3000字
