《arp防火墙的进展综述》由会员分享,可在线阅读,更多相关《arp防火墙的进展综述(12页珍藏版)》请在金锄头文库上搜索。
1、1摘要近几年来,Internet 技术日趋成熟,已经开始了从以提供和保证网络联通性为主要目标的第一代 Internet 技术向以提供网络数据信息服务为特征的第二代 Internet 技术的过渡。与此同时,数以万计的商业公司、政府机构在多年的犹豫、观望之后,意识到采用Internet 技术并使企业数据通信网络成为 Internet 的延伸已成为发展趋势。这使得企业数据网络正迅速地从以封闭型的专线、专网为特征的第二代技术转向以 Internet 互联技术为基础的第三代企业信息网络。所有这些,都促使了计算机网络互联技术迅速的大规模使用。众所周知,作为全球使用范围最大的信息网,Internet 自身协
2、议的开放性极大地方便了各种计算机连网,拓宽了共享资源。但是,由于在早期网络协议设计上对安全问题的忽视,逐渐使 Internet 自身安全受到严重威胁,与它有关的安全事故屡有发生。这以要求我们与 Internet 互连所带来的安全性问题予以足够重视。当前针对址心攻击的主要防御措施是采用双向绑定和运行 ARP 防火墙系统,但是这些措施都存在缺陷。双向绑定需要用户掌握一定的网络管理知识,并且配置过程繁琐,需要对客户主机和网关两端进行配置。运行 ARP 防火墙系统虽然解决“双向绑定”需要人工手动配置的问题,但是防御效果不是很理想。当前关于灿冲防火墙系统内部实现的研究资料甚少,对防御系统的研究主要通过系
3、统的安装使用说明,系统的功能测试结果以及网上网友对系统的一些使用心得总结而来。当前灿冲防火墙系统有单机版和网络版两种,关键词:ARP防火墙,ARP欺骗,防火墙技术2前言:随着网络的发展和普及,网络的开放性、互连性随之扩大。网络互连一般采用TcP口协议,而 TcPm 协议是一个工业标准的协议族,在该协议族制定之初,没有过多地考虑其安全性,所以协议中存在很多的安全漏洞,致使网络极易受到黑客的攻击吐而 AI冲攻击是其中比较常见的攻击手段之一。ARP 欺骗是个很老的话题了,自从有了 TCP/IP协议的那一刻起它就存在了。曾起何时,ARP 不过是大学校园的“赖皮”学生用来争抢 IP的一种技术手段而已。而
4、现在利用 ARP 攻击方式盗取密码的事情数见不鲜。由于 ARP 攻击导致频繁掉线的事情频频出现,让人很烦恼火。2004 年开始,一种叫做埘的病毒开始不断地向各个行业的网络环境扩散,其目的从最初的窃取 QQ、网游、网银等账号,发展到后来的专门抢占网络带宽以及纯粹破坏网络通信等等。2006 年,ARP 欺骗对教育行业的影响达到顶峰。清华大学、中国人民大学、上海交通大学、哈尔滨工业大学等高校网络中心相继发布了专门针对防治u 冲病毒的公告。这两年 m 心病毒肆虐大学校园网以及公网,严重地干扰着用户的正常上网。ARP 的破坏能力之所以强悍,原因在于 ARP 协议的缺陷。因此分析研究 ARP 协议的缺陷以
5、及如何对其进行有效防御成为目前研究的热门。 31.ARP 协议及其研究现状1.1 ARP 协议的概念我们知道,当我们在浏览器里面输入网址时,DNS 服务器会自动把它解析为 IP 地址,浏览器实际上查找的是 IP 地址而不是网址。那么 IP 地址是如何转换为第二层物理地址(即 MAC 地址)的呢?在局域网中,这是通过 ARP 协议来完成的。 ARP 协议对网络安全具有重要的意义。通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗,能够在网络中产生大量的 ARP 通信量使网络阻塞。所以网管们应深入理解 ARP 协议。ARP 是地址转换协议“Address Resolution Protocol
6、 ”的英文缩写,它是一个链路层协议,工作在 OSI 模型的第二层,在本层和硬件接口间进行联系,同时对上层(网络层)提供服务。二层的以太网交换设备并不能识别 32 位的 IP 地址,他们是以 48 位以太网地址(就是我们常说的 MAC 地址)传输以太网数据包的。也就是说 IP 数据包在局域网内部传输时并不是靠 IP 地址而是靠 MAC 地址来识别目标的,因此 IP 地址与 MAC 地址之间就必须存在一种对应关系,而 ARP 协议就是用来确定这种对应关系的协议。Windows 操作系统,在命令行窗口输入“arp a”命令可查看本机当前的 ARP 缓存表,ARP 缓存表保存的就是 IP 地址与 MA
7、C 地址的对应关系。1.2 ARP 协议的工作原理 在每台安装有 TCP/IP 协议的电脑里都有一个 ARP 缓存表,表里的 IP 地址与 MAC 地址是一一对应的。 我们以主机 A(192.168.1.5)向主机 B(192.168.1.1)发送数据为例。当发送数据时,主机 A 会在自己的 ARP 缓存表中寻找是否有目标 IP 地址。如果找到了,也就知道了目标MAC 地址,直接把目标 MAC 地址写入帧里面发送就可以了;如果在 ARP 缓存表中没有找到相对应的 IP 地址,主机 A 就会在网络上发送一个广播,目标 MAC 地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有
8、主机发出这样的询问:“192.168.1.1的 MAC 地址是什么?”网络上其他主机并不响应 ARP 询问,只有主机 B 接收到这个帧时,才向主机 A 做出这样的回应: “192.168.1.1 的 MAC 地址是 00-aa-00-62-c6-09”。这样,主机 A 就知道了主机 B 的 MAC 地址,它就可以向主机 B 发送信息了。同时它还更新了自己的 ARP 缓存表,下次再向主机 B 发送信息时,直接从 ARP 缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少 ARP 缓存表的长度,加快查询速度。 ARP 攻击就是通过伪
9、造 IP 地址和 MAC 地址实现 ARP 欺骗,能够在网络中产生大量的ARP 通信量使网络阻塞,攻击者只要持续不断的发出伪造的 ARP 响应包就能更改目标主机 ARP 缓存中的 IP-MAC 条目,造成网络中断或中间人攻击。 ARP 攻击主要是存在于局域网网络中,局域网中若有一个人感染 ARP 木马,则感染该ARP 木马的系统将会试图通过“ARP 欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。 4RARP 的工作原理: 1. 发送主机发送一个本地的 RARP 广播,在此广播包中,声明自己的 MAC 地址并且请求任何收到此请求的 RARP 服务器分配一个 I
10、P 地址; 2. 本地网段上的 RARP 服务器收到此请求后,检查其 RARP 列表,查找该 MAC 地址对应的 IP 地址; 3. 如果存在,RARP 服务器就给源主机发送一个响应数据包并将此 IP 地址提供给对方主机使用; 4. 如果不存在,RARP 服务器对此不做任何的响应; 5. 源主机收到从 RARP 服务器的响应信息,就利用得到的 IP 地址进行通讯;如果一直没有收到 RARP 服务器的响应信息,表示初始化失败。 1 3 研究现状 ARP 攻击是近几年出现在网络上的,目前主要防御措施是采用双向绑定和 安装监控软件。 (1)双向绑定主要是在网关、客户主机两端静态绑定对方的口一 MAC
11、 地址,或者通过交换机的端口设置、vu 州设置功能来实现对两端的静态绑定。这种防御措施需要用户掌握一定的网络管理知识,在绑定的过程中需要配备支持绑定功能的网关设备,并且所能防御的AR_P 攻击种类有限。 (2)安装监控软件即 ARP 防火墙系统,当前的 Ju 冲防火墙系统分为单机版和网络版两种。单机版的系统用于实现对网络内单台主机的防御。当前的单机版防御系统通过向默认网关发送 ARP 请求来获得网关的物理地址,然后将默认网关的口一 MAc 映射对静态绑定到内核 ARP 缓存表中去,从而防止网关的 ARP 缓存记录被篡改,保证本地主机同默认网关的正常通信。由于网络内的主机情况是变化的,例如新主机
12、的加入、旧主机的退出、主机更换 ip 地址、添加新的 ip 地址、更换网卡等,若防御系统需要对网络内其它主机进行绑定,就要定时地对其它主机发送广播请求,这样就会造成 ARP 广播风暴,因此如何建立一个动态实时更新的 IPMAc 映射库又能有效地克服 ARP 广播风暴成为困扰当前防御系统的一个主要问题。当前的防御系统还不能防止非网关的 ARP 缓存记录被篡改,因此对于分布式计算环境中的主机,由于主机之间需要协同操作,这些防御系统是无法起到防御效果的。网络版的防御系统用于实现对整个网络而非单台主机的防御,它所实现的是网络级检测的功能。该防御系统拥有服务器和客户端两套软件,可以选择网络内的某一台主机
13、作为服务器,其它主机作为客户端,每当有新的主机加入都会将本地主机的 mMAc 映射对上报给服务器由其统一管理,客户端也会定时地将本地主机的 ARP 缓存表内容上报给服务器,服务器会对上报的内容进行审核,监测客户端的 ARP 缓存表是否被篡改。由于网络版的防御系统需要在网络内的所有主机上安装客户端软件,安装的工作量大且不易管理。目前市场上的 ARP 防火墙系统主要有金山 ARP 防火墙、360 安全卫士的 ARP 防火墙,还有早期便开始涉足该领域的锄 tiARP。这些防御系统在防御 AI 口攻击的同时也带来一些严重问题,例如南开大学网络中心一次经过调查分析,发现 ant 认 RP 软件( 或类似
14、的垤 P 防火墙软件)产生大量的 ARP 广播包,已经超过整个网络广播包的 55以上,初步确定本次网络频繁中断不是由于 ARP 病毒本身造成,而是由于 a11tiARP 软件产生的 ARP 广播包造成的。引起灿冲广播风暴 5的原因就是 ARP 防火墙软件在遭受了舢冲攻击之后,会立刻主动向网关发起 ARP 请求,与网关交换 m 心信息,从而达到同时保护网关上的 ARP 缓存记录。如果被攻击的频率非常快,灿心防火墙软件所发送的 AI 冲数据包也就非常快,从而对网关造成很大的压力。这说明,现在的 ARP 防火墙在某种程度上是带着“以毒攻毒”的思想来进行防御的。这势必给大型局域网带来很大的危险,那就是
15、 AI 冲广播风暴,影响整个局域网的正常使用。还有伽冲防火墙软件在发现攻击,追踪攻击源时不能很有效地判断攻击源,它们只是简单地根据异常 ARP 数据包中关于源物理地址的记录来追踪攻击源,可靠性较低。2ARP 协议漏洞 由以上可知,ARP 协议虽然是一个高效的数据链路层协议,但是作为一个局域网协议,它是建立在各主机相互信任的基础上,因此存在一些问题。 (1)主机地址映射表是基于高速缓存,动态更新的。这是 ARP 协议的特色之一,但也是安全问题之一。由于正常的主机间的 MAC 地址刷新都是有时限的,这样恶意用户如果在下次交换之前成功地修改了被欺骗机器上的地址缓存,就可以进行假冒或拒绝服务攻击 (2
16、)ARP 请求是以广播方式进行。这个问题是不可避免的,因为正是由于主机不知道通信对方的 MAC 地址,才需要进行 ARP 广播请求的。这样,攻击者就可以伪装 ARP 应答,与广播者真正要通信的目标主机进行竞争。 (3)可以随意发送 ARP 应答分组。这是由于 ARP 协议是无状态的,任何主机即使在没有请求的时候也可以做出应答,因此任何时候都可以发送 ARP 应答。只要应答分组是有效的,接收到 ARP 应答分组的主机就无条件地根据应答分组的内容刷新本机高速缓存 (4)ARP 应答无须认证。由于 ARP 协议是一局域网协议,一般来讲,一个局域网内的主机是属于同一个组织,局域网内的主机问通信基本上是相互信任的,出于传输效率上的考虑,在数据链路层上就没有安全上的考虑。在使用 ARP 协议交换 MAc 协议时,无需认证。只要收到来自局域网内的触冲应答分组,就会将其中的 MAc口地址对刷新到本机的高速缓存中,而不进行任何认证针对 ARP 协议的上述弱点,可以通
