《网络安全论文概要》由会员分享,可在线阅读,更多相关《网络安全论文概要(13页珍藏版)》请在金锄头文库上搜索。
1、甘肃政法学院本科学年论文(设计)网络安全题 目 ARP欺骗原理及防御手段 信息工程学院(系)信息管理与信息系统专业2014级本科班学 号 201481020126 姓 名 马 腾 指导教师 师晶晶 成 绩 完成时间 2016 年 12 月ARP攻击原理及防御手段摘 要:ARP攻击是当前计算机网络面临的一大安全隐患一本文仄ARP协议的工作原理入手,分析研究了ARP欺骗攻击的原理,利用虚拟机技术构建虚拟实验平台,结合网络协议分析软件Wireshark,模拟并分析了ARP欺骗攻击的过程-在此基拙上,提出了相应的安全防范措施。关键词:ARP攻击;地址解析协议;安全防范措施Principle of AR
2、P attack and defenseIn this paper: ARP attack is the current computer network faces a big security hidden a suppress the working principle of ARP protocol, this paper analyzed the principle of ARP spoofing attacks, build a virtual experimental platform using the virtual machine technology, combining
3、 with Wireshark network protocol analysis software, the simulation and analyses the process of ARP spoofing attacks-basic on this, puts forward the corresponding security measures.Key words: ARP attack; Address resolution protocol; Safety precautions.目 录第一章引言11.1研究背景11.2研究方案1第二章 概述12.1 ARP协议及工作原理12.
4、2 ARP欺骗攻击原理22.3 ARP攻击实施42.3.1实验原理42.3.2实验步骤:5第三章 防御措施83.1 ARP病毒的症状83.2简单防范措施83.3技术防范措施83.4人员防范措施93.5结束语9致谢10参考文献10第一章 引言1.1研究背景在局域网内部,ARP攻击是一种较为频繁发生的攻击。随着网络技术的发展,ARP攻击的手段也在不断变化,其攻击方式复杂多样,冲击力度大大增强。尤其是部分木马和病毒也开始和ARP攻击相结合,使ARP攻击具有更强的隐蔽性和攻击力。如何防御ARP攻击,降低这种攻击带来的危害,已经引起全社会网络专家和网络管理者的广泛关注,并成为目前网络安全界研究的热点问题
5、,现在局域网中感染ARP病毒的情况比较多,清理和防范都很困难,给网络管理员造成了很多困扰。用户在通过局域网上网过程中,有时会出现网络频繁的掉线或是由于本机的原因影响到其他用户上不了网的现象,这是由于ARP的欺骗攻击造成的。在严重情况下,受ARP欺骗攻击会导致用户信息的泄露、隐私会被窃取或发生干扰上网行为事件。由于ARP自身安全存在着脆弱性,所以造成了这样的问题。为了解决这个问题,有必要通过分析ARP的欺骗攻击原理做出应对的防范措施和对策,确保局域网上网得以通畅。因此我们了解ARP攻击原理是非常有必要的,这样我们就可以去针对性的去进行电脑预防,防止被攻击。1.2研究方案首先在对ARP协议相关的理
6、论学习的基础上,重点分析ARP协议的运行机制以及其工作原理,其次分析ARP攻击欺骗原理,接下来以实例进行分析解读,然后说明电脑中ARP病毒症状,最后提出相应的应对措施。第二章 概述2.1 ARP协议及工作原理ARP协议是地址解析协议(Address Resolution Protocol)的英文缩写,用于实现IP地址到网络接口硬件地址的映射。每一台主机都有一个ARP缓存表,表中记录了局域网内的所有主机的IP地址与MAC地址的对应关系。当源主机需要将一个数据包发送到目的主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如有,就直接将数据包发送到该MAC地址;如无,就向本地网段
7、发起一个ARP请求的广播包,查询此目的主机对应的MAC地址,此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到该ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个ARP口向应的数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP口向应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收
8、到ARP响应数据包,表示ARP查询失败。2.2 ARP欺骗攻击原理ARP欺骗1是黑客常用的攻击手段之一,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。ARP表是IP地址和MAC地
9、址的映射关系表,任何实现了IP协议栈的设备,一般情况下都通过该表维护IP地址和MAC地址的对应关系,这是为了避免ARP解析而造成的广播数据报文对网络造成冲击。ARP表的建立一般情况下是通过二个途径:(1)主动解析:如果一台计算机想与另外一台不知道MAC地址的计算机通信,则该计算机主动发ARP请求,通过ARP协议建立(前提是这两台计算机位于同一个IP子网上)。(2)被动请求:如果一台计算机接收到了一台计算机的ARP请求,则首先在本地建立请求计算机的IP地址和MAC地址的对应表。因此,针对ARP表项,一个可能的攻击就是误导计算机建立正确的ARP表。根据ARP协议,如果一台计算机接收到了一个ARP请
10、求报文,在满足下列两个条件的情况下,该计算机会用ARP请求报文中的源IP地址和源物理地址更新自己的ARP缓存:(1)如果发起该ARP请求的IP地址在自己本地的ARP缓存中;(2)请求的目标IP地址不是自己的。可以举一个例子说明这个过程,假设有三台计算机A,B,C,其中B已经正确建立了A和C计算机的ARP表项。假设A是攻击者,此时,A发出一个ARP请求报文,该ARP请求报文这样构造:(1)源IP地址是C的IP地址,源物理地址是A的MAC地址;(2)请求的目标IP地址是B的IP地址。这样计算机B在收到这个ARP请求报文后(ARP请求是广播报文,网络上所有设备都能收到),发现B的ARP表项已经在自己
11、的缓存中,但MAC地址与收到的请求的源物理地址不符,于是根据ARP协议,使用ARP请求的源物理地址(即A的MAC地址)更新自己的ARP表。这样B的ARP缓存中就存在这样的错误ARP表项:C的IP地址跟A的MAC地址对应。这样的结果是,B发给C的数据都被计算机A接收到。假设主机A (MAC: CCCCCCCCCC)已知B的IP地址,于是他暂时将自己的IP地址改为B的IP地址。当C想要向B发送数据时,假设目前他的ARP缓存中没有关于B的记录,那么他首先在局域网中广播包含B主机IP地址的ARP请求。但此时A具有与B相同的IP地址,于是分别来自B与A的响应报文将相继到达C。此时,A是否能欺骗成功取决于
12、C的操作系统处理重复ARP响应报文机制。ARP协议处理机制是用后到达的ARP口向应中的地址对刷新缓存中的内容那么,如果A控制自己的ARP响应晚于B的ARP口向应到达C,就实现了ARP欺骗攻击。在这个记录过期之前,凡是C发送给B的数据实际上都发给了A,而C却毫不察觉。欺骗攻击流程如图1所示更新ARP表B的MAC地址变为CCCCCCCCCCA回答MACCCCCCCCCCC是错误连接CCCCCCCCCC读取ARP表否B的MAC是否在ARP中需要知道B的MACC需要连接到B发送ARP广播包 图1 ARP欺骗攻击流程图2.3 ARP攻击实施2.3.1实验原理有三台计算机A,B,C,其中B已经正确建立了A
13、和C计算机的ARP表项。假设A是攻击者,此时,A发出一个ARP请求报文,该ARP请求报文这样构造:(1)源IP地址是C的IP地址,源物理地址是A的MAC(Medium Access Control P80 媒体接入控制)地址;(2)请求的目标IP地址是B的IP地址。这样计算机B在收到这个ARP请求报文后(ARP请求是广播报文,网络上所有设备都能收到),发现B的ARP表项已经在自己的缓存中,但MAC地址与收到的请求的源物理地址不符,于是根据ARP协议,使用ARP请求的源物理地址(即A的MAC地址)更新自己的ARP表。这样B的ARP缓存中就存在这样的错误ARP表项:C的IP地址跟A的MAC地址对应
14、。这样的结果是,B发给C的数据都被计算机A接收到。需要使用协议编辑软件进行数据包编辑并发送;IP地址分配参考如下表所示,此实验环境位计算机3台。设备IP地址Mac地址后缀GW172.20.0.1 /1600-22-46-07-d4-b8主机A172.20.0.3/1600-22-46-04-60-ac主机B172.20.1.178/1600-24-81-36-00-E8设备连接如图21所示。主机B主机A交换机GW图21设备连接图2.3.2实验步骤:(1)启动windows实验台,Ping 网关。(2)在HostBIP为172.20.1.178的主机上使用arp a命令查看网关的arp的列表,如
15、图22所示。 图22 ARP缓存表通过上面命令可以看到真实网关的MAC地址为00-22-46-07-d4-b8,可以通过发送ARP数据包改变客户机的ARP列表,将网关的MAC地址改变00-22-46-04-60-ac。(3)从工具箱中下载工具,编辑ARP数据包,模拟网关路由器发送ARP更新信息,改变主机IP为172.20.1.178的主机的arp列表。首先打开协议编辑软件(需要先安装Wireshark工具),点击菜单栏“添加”,如下图所示。 图 23(4)添加一个ARP协议模板,将时间差设置为3毫秒,点击确认添加,如下图所示。 图 24添加ARP模板(5)修改协议模板的每个值Ethernet II封装:l目标物理地址:FF-FF-FF-FF-FF-FFl源物理地址:00-24-81-36-00-E8l类型:0806ARP封装:l硬件类型:1l协议类型:800l硬件地址长度:
