系统会接受未请求的ARP 响应,并用其信息篡改其缓存[11]。欺骗者利用ARP 协议的漏洞,欺骗主机C 在没收到主机A 发送的ARP 请求信息的情况下,伪造ARP 应答信息发送给主机A,信息中IP 地址为202.199.246.254(网关IP 地址),MAC 地址为00-CB-8C-54-60-27(主机C 的IP 地址)。主机A 收到欺骗主机C 发给它的ARP 应答数据包后,并不对其真实性进行验证,也就无法识别是否是伪造的ARP 应答数据包。另外,协议中并未规定必须提出请求之后才会产生响应,因此ARP 应答数据包是必须接
受的。因为欺骗主机C 不断发送伪造的ARP 应答信息,主机A 一直刷新本地ARP 缓存表,致使主机A 的数据包无法直接发送到网关,而是先发送给欺骗主机C,然后由主机C 进行下一步处理。从图3.2 中可以看到,源IP 地址为网关的IP 地址(202.199.246.254),源MAC 地址为欺骗主机C 的MAC 地址
(00-CB-8C-54-60-27),目的IP 地址为主机A 的IP 地址(202.199.246.23),目的MAC 地址为主机A 的MAC 地址00-16-96-13-09-24。
除这种方式外,还有多种方法可以对 ARP 欺骗进行检测,如在本地电脑中安装其他工具软件,或分析路由器或交换机的ARP 缓存表等。在检测分析的过程中,ARP 欺骗体现出如下特点:用户在上网过程中时断时续;网关中会出现一个MAC 地址对应多个IP 地址的现象;用户密码容易丢失;用户的网卡处于混杂模式等。
3.3 ARP 欺骗的防御
ARP 欺骗的主要原理就是保持对ARP 缓冲表的刷新。因此,防御的重点应该是目标主机拒绝伪造ARP 应答包,从而保持本机ARP 缓存表的正确性。对ARP 欺骗的防御应视ARP 欺骗种类不同,采取相应的防御方法。
3.3.1 针对网关 ARP 欺骗的防御
局域网用户很多,但相对集中,一般以建筑物为中心,每个建筑物中存在一至两个号段的IP 地址,所以我们按照建筑物将交换机的端口进行VLAN 划分,该划分方法属于基于IP 地址的VLAN 划分。然后再将几个VLAN 接到一个汇聚交换机上,同时在汇聚交换机上做IP 地址与MAC 地址的静态绑定。因为不同公司生产的交换机品牌不同,不同品牌的交换机有各自的命令,我们以Huawei-3COM 公司的Quidway S5516 交换机为
例,为每个主机都添加IP 地址与MAC 地址对应关系的静态地址表项。在命令提示符窗口中进行的配置命令如下:
dhcp-security static IP 地址 MAC 地址
26
DHCP 本身是一种为主机动态分配IP 地址的协议[12],我们通过对DHCP 协议加载安全功能,使其只为主机分配静态IP 地址以及绑定相应的MAC 地址。DHCP SECURITY 的绑定功能加载到某个VLAN 中,通过对DHCP 分配的IP 地址和相应的MAC地址一对一绑定,能够实现网关可以静态认定主机IP 与其MAC地址的对应关系,可通过此方法杜绝攻击主机对网关进行的ARP 欺骗。
如果在网络中存在 ARP 欺骗,若欺骗主机使用的是自己真实的MAC 地址,在Huawei-3COM 公司的Quidway S3026C 交换机上可以实现对欺骗者主机进行封锁。因为在华为交换机中,对二层信息进行相应处理的访问控制列表(ACL)序号取值范围为4000~4999,且对主机的ARP 协议具有非常好的访问控制功能。当出现ARP 攻击时,网关上多个主机的IP 地址会被攻击主机占用,因此对二层访问控制列表的控制,可以很好的阻止攻击主机发出攻击包,禁止攻击主机的ARP 协议功能,达到杜绝攻击主机发出的数据包进入网络的目的。
其命令如下: acl number 4000
rule 12 deny arp ingress 欺骗者主机的MAC 地址 egress any packet-filter link-group 4000 rule 12
通过以上的方法,我们对刚开始出现并不十分频繁的ARP 欺骗进行简单的人工防御。
3.3.2 针对网内主机 ARP 欺骗的防御
ARP 欺骗的方法千变万化,在局域网中经常出现的ARP 欺骗攻击除了对网关的欺骗外,还有对网内主机的欺骗。因此,我们要建立强烈的安全意识,不能仅把网络安全的信任关系建立在单一的IP 地址基础上或单纯的MAC 地址基础上,最理想的网络安全信任关系应该建立在IP 地址与MAC 地址综合基础之上。该防御方法的关键是在网络内的每台主机中建立一个静态的ARP 缓存表,将网关的IP 地址与MAC 地址写入ARP 缓存表中,该记录不随ARP 缓存表的刷新而
更改。以Windows 操作系统为例,在进行此操作前一定要确保自己的主机是安全的,即本机没有被ARP 欺骗病毒攻击过,然后打开命令提示符窗口,输入命令:
arp -a,通过该命令可获得本机所在网络的网关MAC 地址。 arp -d,通过该命令可以清空本机的ARP 列表。
arp -s 网关的IP 地址网关的 MAC 地址,该命令将网关的IP 地址与MAC地址绑定,并写入本机的ARP 缓存表中。
当局域内出现较多 ARP 欺骗的情况时,我们采用该方法进行防御,并将其做成批处理文件放入开始
27
菜单的启动文件夹中,以便开机即可运行,从而对ARP欺骗进行防御。
3.4 ARP 欺骗防御方法的改进
由于ARP 病毒感染范围的不断扩大,仅使用人工维护进行ARP 欺骗的防御已经非常吃力。若使用上述方法,由于局域网用户计算机水平参差不齐,而且并不是每一位局域网用户都会执行上述方法,即开机后自行绑定网关IP 地址与MAC 地址。因此为了防止ARP 病毒进步一扩大对局域网的危害,我们对人工防御的方法进行了适当的改进。
用户上网前须进行 IP 地址申请,然后将自己主机的MAC 地址上报到系统,系统自动将用户通过申请得到的IP 地址与上报的MAC 地址形成一个地址对,将其存放在一个表项中。系统每5 分钟自动搜索是否在表项中存在新分配下去的IP 地址,若存在新分配下去的IP 地址,则根据新分配的IP 地址,在表中读取出相应新上报的MAC 地址,形成新的地址对进行绑定,由系统使用如下命令进行批处理:
dhcp-security static IP 地址 MAC 地址
通过该方法不仅节省了大量的人力,而且方便快捷,能够及时且快速的绑定新加入到局域网的客户端主机,为局域网提供了安全洁净的环境。
3.5 本章小结
本章根据局域网中出现ARP 病毒的情况,由浅入深,由简到繁的针对ARP病毒发作的不同阶段进行相应的处理。其中将ARP 欺骗按照针对网关与针对客户端主机制定了两种防御方案。同时,为防止ARP 病毒进一步大规模爆发,采取系统自动批量绑定IP 地址与MAC 地址的方法进行ARP 病毒防御。
总结
本文通过对ARP 协议的学习,以以太网的信息安全和管理作为切入点,围绕ARP 欺骗攻击防御相关技术进行了深入研究。
论文主要完成以下几个方面的工作:
(1)论文中阐述了当今国内外预防ARP 欺骗攻击技术的发展。在深入学习ARP 协议的原理以及相关应用之后,详细分析了ARP 欺骗攻击的主要特点。
(2)针对现有的ARP 欺骗攻击方式,总结出相应的ARP 欺骗攻击检测方式与防御方法。
(3)根据局域网发生ARP 欺骗攻击的实际情况,总结了局域网遭受ARP 欺骗攻击时的具体现象,详细分析了局域网中发生ARP 欺骗的原因,并针对ARP欺骗攻击的现象制定出一套检测与防御的方法,有效的
28
制止了ARP 欺骗病毒在局域网中的蔓延,同时对该检测防御方法进行了改进。
本文在对局域网内部客户端主机进行 ARP 欺骗检测与防御方面做出了一定的工作,但对新加入网络的客户端主机在检测是否带有ARP 病毒方面还存在缺陷,因此这方面将作为本人今后的研究重点。
29
参考文献
[1] 唐德权.浅谈图书馆网络ARP攻击与防御[J].哈尔滨商业大学,2010(09):83-8 [2] 昊慧敏.局域网ARP欺骗攻击及防御方案[J].同络矗讯及安,2008(05):869-871. [3] 陈博超.关于对局域网IP 冲突的研究[J].软件导刊,2010(02):111-112. [4] 孙新英.论局域网的安全管理策略[J].电脑知识与技术,2009(05):5363-5364. [5] 马鸿雁,宋海歌. 浅析ARP病毒原理及防范措施[J].电脑学习报,2009(06):143-145. [6] 郑先伟.ARP 欺骗网页劫持攻击分析[J].清华大学信息网络工程研究中,2007(11). [7] 项宁,管群ARP 漏洞及其ARP 攻击防范[J]. 软件导刊,2009(11):175-177. [8] 胡道元.网络设计师教程[M].北京:清华大学出版社,2004. [9] 郑纪蛟.计算机网络[M].北京:中央广播电视大学出版社,2000.
30
致谢
历时将近两个月的时间终于将这篇论文写完,在论文的写作过程中遇到了无数的困难和障碍,都在同学和老师的帮助下度过了。尤其要强烈感谢我的论文指导老师—李翠红老师,她对我进行了无私的指导和帮助,不厌其烦的帮助进行论文的修改和改进。另外,在校图书馆查找资料的时候,图书馆的老师也给我提供了很多方面的支持与帮助。在此向帮助和指导过我的各位老师表示最中心的感谢! 感谢这篇论文所涉及到的各位学者。本文引用了数位学者的研究文献,如果没有各位学者的研究成果的帮助和启发,我将很难完成本篇论文的写作。
感谢我的同学和朋友,在我写论文的过程中给予我了很多你问素材,还在论文的撰写和排版灯过程中提供热情的帮助。
由于我的学术水平有限,所写论文难免有不足之处,恳请各位老师和学友批评和指正!
31
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说教育文库毕业论文 ARP防火墙技术的研究(7)在线全文阅读。
相关推荐: