《局域网ARP欺骗攻击及安全防范策略论文》由会员分享,可在线阅读,更多相关《局域网ARP欺骗攻击及安全防范策略论文(30页珍藏版)》请在金锄头文库上搜索。
1、新疆机电职业技术学院计算机系毕业论文题 目:局域网ARP攻击及防范专 业:计算机网络技术年 级:高计算机10班学生姓名:王文瑞学 号:20101898指导教师:李 欣2012年12月12日28局域网ARP攻击及防范摘要: ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。目前,ARP欺骗是黑客常用的攻击手段之一,且ARP欺骗攻击的后果一般都是比较非常严重的,大多数情况下会造成大面积掉线。有些网管员对此不甚了解,出现故障时,认为PC没有问题,交换机没掉线的“本事”,电信也不承认宽带
2、故障。而且如果第一种ARP欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了。为此,宽带路由器被认为是“罪魁祸首”,而事实并非如此。鉴于此,本文将论述ARP地址解析协议的含义和工作原理,分析了ARP协议所存在的安全漏洞,分析网段内和跨网段ARP欺骗的实现过程。最后,结合网络管理的实际工作,介绍IP地址和MAC地址绑定、交换机端口和MAC地址绑定、VLAN隔离等技术等几种能够有效防御ARP欺骗攻击的安全防范策略。最后通过使用文中介绍安全防范策略成功阻止P2P终结者、Arpkiller等ARP攻击软件的攻击验证了该安全策略的有效性。关键词: ARP协议 IP地址 局域网 MAC地
3、址 网络安全 LAN ARP attack and protectionAbstract: ARP attack, which is based on Ethernet addresses analytical protocol (ARP) an attack technology. This attack may let the attacker has a local-area network packets of data or even tamper with the packet, and allows network on specific computer or all comp
4、uter cannot normal connection. At present, the ARP deception is hackers commonly used attack means one, and the consequences of ARP deception attack is usually compare very serious, in most circumstances will caused extensive calls. Some network administrator are not well understood, malfunction, th
5、ink PC no problem, switches didnt dropped skill, telecom does not acknowledge broadband fault. And if the first kind of ARP deception occurs, as long as the restart router, the network can fully recover, that problem must be on a router. Therefore, broadband router is considered the chief culprit, b
6、ut this is not the case. In view of this, this article will be discussed the meaning of ARP address analytical protocol and working principle, analyzes the existing ARP agreement security vulnerabilities, analyzing network segment within and across the network segment the realization process of ARP
7、deception. Finally, combined with the practical work of network management, introduces the IP address and MAC address binding, switch port and MAC address binding, as well as several vlans isolation technology can effectively defense ARP deception attack security preventive strategy. Finally through
8、 the use of introduced safety preventive strategy prevented P2P terminator, Arpkiller etc ARP attack software attack verified the effectiveness of the security strategy.Keyords: ARP agreement IP address Bureau area net MAC address Network security目 录引 言2第一章. ARP协议简介2第二章. ARP协议的工作原理3第三章. 分析ARP协议存在的安全
9、漏洞5一、 分析ARP协议存在的安全漏洞5二、 ARP欺骗检测方法5(一)主机级检测方法5(二)网络级检测方法5第四章. ARP欺骗攻击的实现过程6一、 通过路由器实现VLAN间的通信6二、 公司网络实现vlan间通信6第五章. ARP攻击简介6一、仿冒网关7二、欺骗网关7三、欺骗终端用户7四、“中间人”攻击8五、 ARP报文泛洪攻击8第六章.攻击安全防范策略8一、 DHCP Snooping功能9二、 IP静态绑定功能9三、 ARP入侵检测功能9四、 ARP报文限速功能9五、 CAMS下发网关配置功能10第七章. ARP攻击防御配置举例10一、 DHCP监控模式下的ARP攻击防御配置举例10
10、(一)组网需求10(二)组网图11(三)配置思路11(四)配置步骤11(五)注意事项14二、认证模式下的ARP攻击防御配置举例15(一)组网需求15(二)组网图16(三)配置思路16(四)配置步骤16(五)注意事项27第八章. 结 论27参考文献28致 谢28引 言在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。网吧是最常见的局域网,在使用过程中有时出现别人可以正常上网而自己却无法访问任何页面和网络信息的情况,虽然造成这种现象的情况有 很多,但是目前最常见的就是ARP欺骗了,很多黑客工具甚至
11、是病毒都是通过ARP欺骗来实现对主机进行攻击和阻止本机访问任何网络信息的目的。首先我们可以肯定一点的就是发送ARP欺骗包是通过一个恶毒的程序自动发送的,正常的TCP/IP网络是不会有这样的错误包发送的,而人工发送又比较麻烦。也就是说当黑客没有运行这个恶毒程序的话,网络上通信应该是一切正常的,保留在各个连接网络计算机上的ARP缓存表也应该是正确的,只有程序启动开始发送错误ARP信息以及ARP欺骗包时才会让某些计算机访问网络出现问题。ARP欺骗可以造成内部网络的混乱,让某些被欺骗的计算机无法正常访问内外网,让网关无法和客户端正常通信。实际上他的危害还不仅仅如此,一般来说IP地址的冲突我们可以通过多
12、种方法和手段来避免,而ARP协议工作在更低层,隐蔽性更高。系统并不会判断ARP缓存的正确与否,无法像IP地址冲突那样给出提示。而且很多黑客工具例如网络剪刀手等, 可以随时发送ARP欺骗数据包和ARP恢复数据包,这样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否, 甚至还可以直接对网关进行攻击,让所有连接网络的计算机都无法正常上网。这点在以前是不可能的,因为普通计算机没有管理权限来控制网关,而现在却成为可 能,所以说ARP欺骗的危害是巨大的,而且非常难对付,非法用户和恶意用户可以随时发送ARP欺骗和恢复数据包,这样就增加了网络管理员查找真凶的难度,所以
13、跟踪防范局域网ARP欺骗类攻击的最新技术,做到防范于未然就必不可少。第一章. ARP协议简介ARP(Address Resolution Protocol) ,是由David CPlummer在826internet标准(草案)提出,当时是为了美国数字设备公司、英特尔公司施乐复印机公司等三个公司的10 Mbit以太网所设计,在推广时也允许其它类型的网络使用。ARP也即地址解析协议,该协议是将IP地址与网络物理地址一一对应的协议。负责IP地址和网卡实体地址(MAC)之间的转换。也就是将网络层(IP层,也就是相当于ISO/OSI 的第三层)地址解析为数据连接层(MAC层,也就是相当于ISO/OSI
14、的第二层)的MAC地址。TCP/IP协议中规定,IP地址为32位,由网络号和网络内的主机号构成,每一台接入局域网或者Internet的主机都要配置一个IP地址。在以太网中,源主机和目的主机通信时,源主机不仅要知道目的主机的IP地址,还要知道目的主机的数据链路层地址,即网卡的MAC地址,同时规定MAC地址为48位。ARP协议所做的工作就是查询目的主机的IP地址所对应的MAC地址,并实现双方通信。第二章. ARP协议的工作原理在网络中的任何一台主机,都有两个唯一的标识。一个是由32位二进制组成lP地址,用于在网络层当中标识和查找计算机,另一个是由48位二进制组成的MAC地址,用于在数据链路层中标识
15、和查找计算机。IP地址是不能直接用来通讯的,因为IP地址只是主机在网络层中的地址,如果要将网络层中传输的数据报交给目的主机,还要传到链路层变成MAC帧才能发送到实际的网络上。因此IP地址与MAC地址之间就必须存在一个映射表,而ARP协议就很好的解决了这些问题。每一台安装有TCP/IP协议的计算机内部都有一张ARP高速缓存表,该缓存表记录了最近一段时间内区域网内与该计算机通讯的其他计算机的IP地址与其相应的MAC地址之间的对应关系。当源主机要发送lP数据报时,数据链路层必须将IP数据报封装成以太网数据帧,才能在以太网中传输。在封装过程中,为了找到与目的IP地址对应的MAC地址,源主机先会把目的主机的lP的地址与子网掩码进行逻辑与操作,以判断目的主机是否与自己在同一个网段内。如果在同一网段内,源主机会先查看ARP高速缓存是否有与目的IP地址对应的MAC地址信息,如果MAC地址已存在,就直接使用。如果对应的信息不存在,就向本地网段发起一个包含ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、MAC地址、以及目的主机的lP地址。网络中所有的主机收到这个ARP请求后。会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包,如果相同,则给源主机发送一个ARP响应数据包,
