九乡新闻网西方世界的劫难2修改:ARP欺骗防范
来源:百度文库 编辑:九乡新闻网 时间:2024/05/01 11:14:50
1 引言
ARP协议,又称地址解析协议,简单说就是通过IP地址来查询目标主机的MAC地址。ARP协议在以太网主机通信中发挥至关重要的作用。然而,事物都有两面性,如果ARP协议被黑客利用,通过伪造IP地址和MAC地址实施ARP欺骗,将会在网络中产生大量ARP通信流量从而使网络发生拥塞,或者通过实施“Man In The Middle”进行ARP重定向和嗅探攻击。我校网络核心层为思科6500系列三层交换机,分布层和接入层采用思科和瑞捷交换机,IP地址采取静态分配。本篇所讨论的ARP防治策略,即是在此种网络环境下归纳的。2 ARP欺骗现象
在局域网内,攻击源主机不断发送ARP欺骗报文,即以假冒的网卡物理地址向同一子网的其它主机发送ARP报文,甚至假冒该子网网关物理地址蒙骗其它主机,诱使其它主机经由该病毒主机上网。真网关向假网关的切换,会导致网内用户断网。当攻击源主机断电或离线,网内其它主机自动重新搜索真网关,这个过程又会导致用户断一次网。所以某子网内,只要存在一台或多台这样的攻击源主机,就会使其它主机上网断断续续,严重时将致使整个网络陷于瘫痪。上述现象即是一种典型ARP欺骗,除了影响网络运行效率,攻击者也会趁机窃取网内用户的帐号和密码。因为发送的是ARP报文,具有一定的隐秘性,如果侵占系统资源不是很大,又无防病毒软件监控,一般用户不易察觉。3 ARP欺骗分析
3.1 原理简析
局域网内某主机运行ARP欺骗程序时,会诱骗局域网内所有主机和路由器,使上网流量必须经由该病毒主机。原来通过路由器上网的用户现在转由病毒主机,这个切换会致使用户断线。切换到病毒主机上网后,如果用户已经登录了传奇服务器,病毒主机会不断制造断线的假象,用户就得重新登录,病毒主机就可以趁机实施盗号行为。ARP欺骗木马程序发作会发送大量数据包,从而导致局域网通讯拥塞,受自身处理能力的限制,用户会感觉网速越来越慢。ARP欺骗木马程序停止运行,用户会恢复从路由器上网,该切换则会导致用户再次断网。3.2 欺骗方式
3.2.1 一般冒充欺骗 这是一种比较常见的攻击,通过发送伪造的ARP包来实施欺骗。根据欺骗者实施欺骗时所处的立场,可分为三种情况:冒充网关欺骗主机、冒充主机欺骗网关、冒充主机欺骗其它主机。在冒充网关欺骗中,欺骗者定时且频繁的对本网发送ARP广播,告诉所有网络成员自己就是网关,或者以网关身份伪造虚假的ARP回应报文,欺骗局域网内的其它主机,这样子网内流向外网的数据就可以被攻击者截取;冒充主机欺骗网关的过程跟冒充网关的过程相反,欺骗者总是通过虚假报文告诉网关,自己就是目标主机,从而使网关向用户发送的数据被攻击者截取;冒充主机欺骗其它主机则是同一网内设备间的欺骗,攻击者以正常用户的身份伪造虚假ARP回应报文,欺骗其它主机,结果是其它用户向该用户发送的数据全部被攻击者截获。3.2.2 虚构MAC地址欺骗 这种攻击也是攻击者以正常用户身份伪造虚假的ARP回应报文,欺骗网关。但是,和上述一般冒充欺骗不同的是,此时攻击者提供给网关的MAC地址根本不存在,不是攻击者自己的MAC地址,这样网关发给该用户的数据全部被发往一个不存在的地方。3.2.3 ARP泛洪 这是一种比较危险的攻击,攻击者伪造大量虚假源MAC和源IP信息报文,向局域网内所有主机和网关进行广播,目的就是令局域网内部的主机或网关找不到正确的通信对象,甚至直接用虚假地址信息占满网关ARP缓存空间,造成用户无法正常上网。同时网络设备CPU居高不下,缓存空间被大量占用。由于影响到了网络设备,攻击者自己上网的效率也很低,这是一种典型的损人不利己行为。3.2.4 基于ARP的DoS 这是新出现的一种攻击方式,DoS又称拒绝服务攻击,当大量的连接请求被发送到一台主机时,由于该主机的处理能力有限,不能为正常用户提供服务,便出现拒绝服务。这个过程中如果使用ARP来隐藏自己,被攻击主机日志上就不会出现真实的IP记录。攻击的同时,也不会影响到本机。4 ARP欺骗鉴定方法
4.1 检查网内感染“ARP欺骗”木马病毒的计算机
在“命令提示符”下输入并执行“ipconfig”命令,记录网关IP地址,即“Default Gateway”对应的值,例如“192.168.18.1”。然后执行“arp -a”命令查看自己网关MAC地址,如若变成和内网一机器MAC地址相同,可据此断定内网有机器中了ARP网关欺骗型病毒。本操作前提是知道网关的正确MAC地址,可在正常上网主机上,使用“arp -a”命令查看网关MAC地址,通过对比查看网关MAC地址是否被修改。4.2 查看ARP表
用三层设备接入校园网的单位,网管可以检查其三层设备上的ARP表。如果有多个IP对应同一个MAC,则此MAC对应的计算机很可能中了木马病毒。可通过下连二层交换机的转发表查到此MAC对应的交换机端口,从而定位有问题的计算机。5 ARP欺骗防范策略
5.1 清空ARP缓存
点击“开始”按钮->选择“运行”->输入“arp -d”->点击“确定”按钮,然后重新尝试上网,如能恢复正常,则说明此次掉线可能是受ARP欺骗所致。5.2 个人主机ARP绑定
通过执行“arp -s 210.31.197.94 00-03-6b-7f-ed-02”,临时绑定主机IP与MAC地址。或者,通过建立一批处理文件,绑定IP和MAC。方法如下: @echo off arp -d arp -s IP MAC 每次开机,计算机都会执行一次静态ARP地址绑定,从而较好地防范ARP欺骗。如果能在机器和路由器中都进行绑定,效果会更好。5.3 采用适当的杀毒与防范软件
趋势、诺顿、卡巴斯基、瑞星等杀毒软件均可查杀此类病毒。ARP防火墙、风云防火墙等,都是针对性较强的防ARP欺骗攻击软件,可以起到防范甚至追踪ARP攻击源的作用。6 ARP欺骗追查方法
6.1 三层交换的ARP绑定
使用可防御ARP攻击的三层交换机,在端口绑定IP和MAC地址,限制ARP流量,及时发现并自动阻断ARP攻击端口,合理划分VLAN,彻底阻止IP、MAC地址盗用,杜绝ARP攻击。6.2 网络追踪
对于已经爆发ARP欺骗的网络环境,可以采取以下步骤进行追踪定位。6.2.1 问题发现 我校图书馆的网络拓扑结构如下,核心交换机思科6509下连图书馆锐捷4909交换机,通过锐捷4909交换机5模块的百兆口下连图书馆的各接入交换机,且各接入交换机为不可管理型,所以一般网络故障,在交换机上只能定位到5模块的百兆口。图1为图书馆网络拓扑。
根据用户反映网络不畅通,网络管理人员登录校园网核心设备Center_6509交换机,发现CPU利用率一直很高,接近100%。 CPU utilization for five seconds:99%/5%;one minute:99%;five minutes:95% Center6509_super720#sh proc cpu history 查看历史记录,发现近一个小时,CPU利用率一直接近100%,这显然是不正常的。 6.2.2 ARP欺骗确定 Center_6509交换机上,采用show arp 命令,发现有一段211.70.215.0网段的IP均对应0040.ca65.e888。Center6509_super720#sh arp Internet 211.70.215.23 0 0040.ca65.e888 ARPA Vlan19 Internet 211.70.215.24 0 0040.ca65.e888 ARPA Vlan19 Internet 211.70.215.25 3 0040.ca65.e888 ARPA Vlan19 Internet 211.70.215.26 0 0040.ca65.e888 ARPA Vlan19 Internet 211.70.215.27 0 0040.ca65.e888 ARPA Vlan19 (由于本文引用数据均较长,一般只截取一部分予以说明,以下引用资料同此处)
0040.ca65.e888这个MAC地址,同时对应若干个IP地址,这是一种典型的ARP攻击现象。6.2.3 确定攻击来源端口 交换机2模块是与各单位进行连接的千兆接口,承载大部分的流量。先逐个停掉2模块各端口测试,最终确定是连图书馆方向的6号端口存在问题。停掉6号端口,交换机CPU利用率立刻就降到正常水平,打开6号端口,再次升高。图书馆方向是瑞捷4909交换机。登录该交换机,采用第二步的方法,确认是5模块的1号端口存在问题。分析如下: Library(config)#inte fastEthernet 5/1 Library(config-if)#sh Center_6509核心交换机CPU利用率立刻恢复正常,ARP特征不再明显。 在图书馆的Library_4909交换机上,查看该MAC地址的具体来源 Library#sh mac-address-table address 0040.ca65.e888Vlan MAC Address Type Interface----- --------- ----- ---------67 0040.ca65.e888 DYNAMIC Fa5/1可见,Fa5/1下连的0040.ca65.e888就是攻击源,与上面的排查结果吻合。6.2.4 准确定位攻击源 网络管理人员采用以上方法,可以及时查到攻击源MAC地址。但是当子网内发生ARP欺骗行为时,受影响主机在交换机上统一显示为攻击源MAC地址,如何在出现问题的子网内部准确定位攻击源主机,网络管理人员需要考虑的问题。 “netscan”命令即是一个行之有效的方法。nbtscan是一个扫描Windows网络NetBIOS信息的小工具,可以查看局域网内真实的MAC地址。 在Library_4909交换机Fa5/1口下连的某台主机上,运行“nbtscan”命令,查找子网主机的真实MAC地址。具体如下:
C:\>nbtscan -r 211.70.215.1/24 Warning:-r option not supported under Windows. Running without it. Doing NBT name scan for addresses from 211.70.215.1/24IP address NetBIOS Name Server User MAC address------------------------------------------------------------------------------211.70.215.24 AGESERVER
据此可轻易查到攻击源MAC地址00-40-ca-65-e8-88所对应的真实IP--211.70.215.26,根据NetBIOS Name信息“LIB-2K3II”或者网络管理人员的IP使用记录,可以准确定位攻击源主机。在网络管理人员判断主机所有者时,NetBIOS Name也是一个参考因素。分别找到这两台主机查看,发现均没有安装杀毒软件。将这两台主机断开网络连接,整个网络恢复正常。对相关网络管理人员来说,这是一个很直观的教训。为所有的联网主机安装杀毒软件,是一个不可或缺的步骤。
7 结语
个人用户要增强网络安全意识,及时下载和更新操作系统补丁程序,安装正版杀毒软件,及时更新病毒库,增强个人计算机防御计算机病毒的能力。院系机房以及学校网络管理部门,要逐级建立比较全面的MAC地址库,便于发现问题及时定位。同时,网络管理人员还要懂得一些ARP欺骗防范与追踪的方法,将交换机的安全通道全部封死。
ARP欺骗防范
什么是ARP?如何防范ARP欺骗?-如何学习-怎样
黑客技术-ARP欺骗
ARP、ARP欺骗、网关网络知识的比喻教学
解决ARP欺骗和攻击的方法
防止同网段ARP欺骗攻击的配置方法
使用JAVA通过ARP欺骗实现数据封包监听
arp
ARP
网络技术基础知识一之ARP协议欺骗(组图) - 正正的日志 - 网易博客
arp攻击
ARP协议
ARP是什么意思?
ARP攻击
ARP攻击
TCP/IP基础:ARP 协议-ARP原理
公司网络最近出现了ARP欺骗的问题,现象就是在交换机的ARP表里N台电脑对应同一MAC地址,解决办法当然是找到那台发包的电脑就OK了,但不是根本之道啊 在以前的公司我利用自产的交换机的在接入层交换机
一劳永逸解决ARP攻击
ARP防火墙功能略
ARP 与 MAC 详解
ARP地址解析协议
windows 7 ARP绑定
剖析ARP中毒攻击
arp和rarp原理