ARP攻击论文定位攻击源论文.doc
ARP攻击论文定位攻击源论文摘要:目前局域网内充斥着各种网络攻击,其中arp攻击对局域网的安全稳定影响最为严重。若局域网中存在该类型的网络攻击,将导致局域网内的主机出现大面积掉线、个人重要信息被窃取等严重安全事故。本文对arp协议及arp攻击原理进行了详细分析,实现了在不借助任何网络分析工具的前提下快速定位arp攻击源的方法,大大节省了定位与过滤arp攻击源所需的时间,具有较强的实用性。关键词:arp攻击;arp协议;定位攻击源;过滤攻击源arp attack source rapid positioning and filtering policy researchzhong rui(modern education technology center,gannan normal university,ganzhou341000,china)abstract:nowadays the lan is full of various network attacks,which arp attack effects the security and stability most seriously.in case that there is arp attack in the lan,it could result in severe safety accidents such as large area network disconnect and the stealing of the users important information.this article makes a detailed analysis of arp protocol and attacking principle,finding a way of locating attack source promptly without any network analysis instruments.this method saves much time spent in locating and filtering arp attack source to a great extent and has a strong practicability.keywords:arp attack;arp protocol;attack source locating;attack source filtering一、arp协议简介arp协议是“address resolution protocol”(地址解析协议)的缩写,在二层网络交换环境中,主机之间的网络通信是基于mac地址寻址,arp协议提供了ip地址与对应的mac地址之间的动态映射,为了加快ip地址的转换速度,在主机和路由器中具有相应的arp缓存表,在该缓存表中集中存放了最近一段时间ip地址到mac地址的映射记录,为了保证了mac地址准确性,arp缓存表采用了老化机制,若在规定的时间内某条映射记录未被使用,该记录将从缓存表中删除,因此老化机制使用能够减少arp缓存表的长度,加快查询速度。二、arp协议存在的安全问题由于arp协议是局域网协议,是建立在各个主机之间相互信任的基础上,因此存在以下安全问题。1.主机与路由器中的arp缓存表允许动态更新,攻击者能够在arp缓存表的老化时间内对缓存表中的信息进行恶意的修改,以实现假冒或拒绝服务攻击。2.可随意发送arp应答包,攻击者能够在没有收到arp请求包的情况下发送arp应答包,当主机或路由器接收到该应答包时将无条件刷新本机arp缓存。3.局域网内的主机通信是基于主机之间的相互信任的,因而arp应答包发送,无须经过任何认证。三、arp攻击原理与攻击源定位由于在主机和网关中都有arp缓存表,攻击者利用arp协议存在的不足,能够对主机的arp缓冲或网关的arp缓冲进行欺骗性攻击,通过分析目前arp攻击存在以下两种方式:(一)攻击主机冒充网关攻击正常主机故障现象:当网络中出现该类型的网络攻击时,所有主机在访问网络时都会出现访问速度慢,甚至网络中断等故障。在正常网络情况下主机a在访问外部网络时,所有数据包直接发送至网关进行转发,主机a的arp缓存表中存放着网关ip地址与mac地址的对应关系:ip:192.168.1.1 mac:1111.1111.1111,当网络中主机b实施arp攻击时,攻击主机b通过向主机a发送含有伪造的网关mac地址的arp应答包,该欺骗包将更新主机a的arp缓存,把缓存中网关的ip地址与mac地址的对应关系改为:ip:192.168.1.1 mac:2222.2222.2222,此时主机a将把局域网中mac地址为2222.2222.2222的主机识别为网关,主机a的所有数据包发往该虚假网关,这种arp攻击方式将导致主机a的网络中断及重要个人数据被窃取等严重安全问题。若攻击主机b要实施大面积的arp攻击时,则会以循环的方式向局域网中所有主机发送arp广播包,所有接受到该arp包的主机都会将本机的arp缓存中的网关ip与mac地址的对应项变更为ip:192.168.1.1 mac:2222.2222.2222,导致局域网中被攻击主机的数据包都发送给主机b,攻击者将这些数据包捕获下来并进行拆包分析,便能获得被攻击用户的大量信息,导致他人重要资料被窃取以及网络的中断,因此该类型网络攻击一种非常恶劣的网络攻击方式,对局域网的安全稳定造成极大的影响。arp攻击源定位成为解决该类型网络攻击的关键。arp攻击源定位的具体定位步骤为:第一步:查看被攻击主机的arp缓存,具体查找方法是进入系统命令行界面使用arpa命令查看主机arp缓存表,如图1所示。其中192.168.1.1为网关ip地址,网关所对应的mac地址22-22-22-22-22-22是伪造的。第二步:登录该局域网所在的交换机,由于交换机属于二层网络设备,通过使用命令show mac-address-table|include 2222.2222.2222,查找该伪造mac地址位于交换机上的哪个端口,查找方法如图2所示。通过以上两步查找,即可将arp攻击源定位到交换机所在端口。(二)攻击主机欺骗网关冒充正常主机故障现象:当网络中出现该类型的arp攻击时,局域网中被攻击主机在访问任何网页时都会弹出一个带病毒的网页,导致病毒安装在受攻击主机中,同时访问网络的速度变慢甚至出现网络中断。被攻击主机用户即使把重装操作系统也无法解决该故障。攻击原理:攻击主机b在未实施arp攻击时,主机a能够与网关进行正常的通信,在主机a的arp缓存表中存放了网关的ip地址与mac地址的对应关系ip:192.168.1.1 mac:1111.1111.1111,而在网关的arp缓存表中存在了主机a的ip地址与mac地址的对应关系ip:192.168.1.3 mac:3333.3333.3333。当攻击主机b对网关开始实施arp欺骗攻击时,主机b不停的向网关发送包含有伪造主机mac地址的arp应答包,用于修改网关的arp缓存表,此时网关的arp缓存中所存放的主机a的ip地址与mac地址的对应关系变为ip:192.168.1.3 mac:2222.2222.2222,主机a所对应的mac地址变为了主机b的mac地址,由于攻击主机b在不停的更改网关arp缓存中主机a的ip地址与mac地址的对应关系,导致所有由网关转发给主机a的数据包无法直接到达主机a,数据包将由攻击主机b接收,再由主机b转发给主机a,这样控制攻击主机b的能够捕获主机a的所有数据,造成严重的安全事故。 若攻击主机b要对局域网中所有主机实施该类型arp攻击时,主机b以循环的方式不断的向网关发送大量arp欺骗包,对网关的arp缓存表中所有的ip地址与mac地址的对应关系进行修改,将所对应的mac地址都改为攻击主机b的mac地址,arp攻击的后果是:局域网中所有主机的数据包能够发送至网关,但是回程数据包由网关返回给攻击主机b,再由主机b转发给局域网中被攻击主机,这样将导致局域网中大量用户数据窃取,用户上网速度急剧变慢,甚至断网。arp攻击源定位的具体定位步骤为:第一步:登录网关查看网关的arp缓存表,查找发送伪造arp广播包的mac地址,使用命令show arp|include 192.168.1.,查看该局域网内发送arp攻击包的主机mac地址,在图3中可以看到,网关的arp缓存表中的所有ip地址都对应了一个相同的mac地址,该mac地址即为攻击主机b的mac。第二步:使用命令show mac-address-table|include 2222.2222.2222,查找该伪造mac地址位于交换机上的哪个端口,查找方法如图4所示。通过以上两步查找,即可将arp攻击源定位到交换机所在端口。四、arp攻击源的过滤通过以上几个步骤将攻击源的mac地址定位到了交换机所在的端口,在本章中将使用交换机中的mac地址访问控制策略,对发送arp攻击数据包的mac地址实施过滤,实现了网络管理员在处理arp攻击事件时,能够在不到现场的条件下,对arp攻击源进行定位与过滤。具体操作流程是:第一步:记录下需要过滤的mac,查找到该mac地址对应于交换机所在的端口,如图5所示,该arp攻击源处于该交换机的第十口;第二步:配置mac地址访问控制策略,如图6所示,该访问控制策略的名称为abc,对mac地址为2222.2222.2222的arp攻击源实施过滤;第三步:将该mac地址访问控制策略应用到交换机的第十口,如图7所示;通过以上步骤即可在交换上将arp攻击源上发出的所有数据包进行过滤,该方法的实现从根本上解决了arp攻击导致的安全事故五、总结本文从arp协议所存在的不足以及arp攻击的原理等方面对arp攻击现有两种攻击模式进行了阐述,实现了使用交换机所具有的管理功能对arp攻击源的定位与过滤,极大的提高了网络管理员在处理大面积arp攻击的效率,具有较强的实用性。参考文献:1黄天福.基于改进协议机制的防arp欺骗方法j.计算机工程,2008,34(14):168-1702王佳,李志蜀.基于arp协议的攻击原理分析j.微电子学与计算机,2004,21(4):10-123唐涛.arp欺骗攻击分析及一种新防御算法j.中国高新技术企业,2008,12:129-1344岑贤道,常安青.网络管理协议及应用开发m.北京:清华大学出版社,2005