收藏
下载资源

arp 原理

上传人:xzh****18 文档编号:35520769 上传时间:2018-03-16 格式:DOC 页数:7 大小:473KB
返回 下载 相关 举报
arp 原理_第1页
第1页 / 共7页
arp 原理_第2页
第2页 / 共7页
arp 原理_第3页
第3页 / 共7页
arp 原理_第4页
第4页 / 共7页
arp 原理_第5页
第5页 / 共7页
点击查看更多>>
资源描述

《arp 原理》由会员分享,可在线阅读,更多相关《arp 原理(7页珍藏版)》请在金锄头文库上搜索。

1、 售后服务中心售后服务中心售后服务中心 2006111420061114200611141ARPARPARP 欺骗欺骗欺骗欺骗 一、一、一、一、 ARPARPARPARP 欺骗原理欺骗原理欺骗原理欺骗原理:在 TCP/IP 网络环境下,一个 IP 数据包到达目的地所经过的网络路径是 由路由器根据数据包的目的 IP 地址查找路由表决定的,但 IP 地址只是 主机在网络层中的地址,要在实际的物理链路上传送数据包,还需要将 IP 数据包封装到 MAC 帧后才能发送到网络中。同一链路上的哪台主机 接收这个 MAC 帧是依据该 MAC 帧中的目的 MAC 地址来识别的,即除了同 一链路上将网卡置为混杂模

2、式的主机外,只有当某台主机的 MAC 地址和 链路中传输的 MAC 帧的目的 MAC 地址相同时,该主机才会接收这个 MAC 帧并拆封为 IP 数据包交给上层模块处理。因此,每一台主机在发送链 路层数据帧前都需要知道同一链路上接收方的 MAC 地址,地址解析协议 ARP 正是用来进行 IP 地址到 MAC 地址的转换的。同时为了避免不必要 的 ARP 报文查询,每台主机的操作系统都维护着一个 ARP 高速缓存 ARP Cache,记录着同一链路上其它主机的 IP 地址到 MAC 地址的映射关系。 ARP 高速缓存通常是动态的,该缓存可以手工添加静态条目,由系统在 一定的时间间隔后进行刷新。 A

3、RP 协议虽然是一个高效的数据链路层协议,但作为一个局域网协议, 它是建立在各主机之间相互信任的基础上的,所以 ARP 协议存在以下缺 陷:ARP 高速缓存根据所接收到的 ARP 协议包随时进行动态更新;ARP 协议没有连接的概念,任意主机即使在没有 ARP 请求的时候也可以做出 应答;ARP 协议没有认证机制,只要接收到的协议包是有效的,主机就 无条件的根据协议包的内容刷新本机 ARP 缓存,并不检查该协议包的合 法性。因此攻击者可以随时发送虚假 ARP 包更新被攻击主机上的 ARP 缓 存,进行地址欺骗或拒绝服务攻击。 针对交换机根据目的 MAC 地址来决定数据包转发端口的特点,ARP 欺

4、骗 的实现: 假设主机 C 为实施 ARP 欺骗的攻击者,其目的是截获主机 B 和主机 A 之间的通 数据,且主机 C 在实施 ARP 欺骗前已经预先知道 A 和 B 的 IP 地址。这时 C 先发送 ARP 包获得主机 B 的 MAC 地址,然后向 B 发送 ARP Reply 数据包,其中源 IP 地址为 A 的 IP 地址,但是源 MAC 地址却是主机 C 的 MAC 地址。主机 B 收到该 ARP Reply 后,将根据新的 IP 地址与 MAC 映射对更新 ARP 缓存。这以后当 B 给 A 发送数据包时, 目标 MAC 地址将使用 C 的 MAC 地址,因此交换机根据 C 的 MA

5、C 地址就将 数据包转发到攻击者 C 所在的端口。同理,攻击者 C 发送 ARP Reply 使 主机 A 确信主机 B 的 MAC 地址为 C 的 MAC 地址。在间歇的发送虚假 ARP Reply 的同时,攻击者 C 打开本地主机的路由功能,将被劫持的数据包 转发到正确的目的主机,这时攻击者对主机 A 和 B 来说是完全透明的,售后服务中心售后服务中心售后服务中心 2006111420061114200611142通信不会出现异常,但实际上数据包却被 C 非法截获,攻击者 C 成为了 “中间人”。二、二、 特征:特征:特征:特征:1、网速时快时慢,极其不稳定,但单机进行光纤数据测试时一切正

6、常。 2、局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常。三、三、三、三、 问题分析问题分析问题分析问题分析( ( (在防火墙中的处理方法在防火墙中的处理方法在防火墙中的处理方法在防火墙中的处理方法) ) )1、通过远程登陆客户防火墙查看问题: (通过 dump/dump 登陆防火墙串口查看 arp 学习状态,发现不同的 IP 地址使用相同的 MAC 地址,如下图:)2、通过抓抱分析,发现进行 ARP 欺骗的计算机为 134.168.6.144 与 134.168.8.187,详细的分析如下图:四、四、四、四、 处理过程处理过程处理过程处理过程1、通过网络查找 134.168.6

7、.144;134.168.8.187 计算机,脱离网络进行排 毒检查 2、进行隔离以后的网络状态如下图:售后服务中心售后服务中心售后服务中心 2006111420061114200611143五、五、五、五、 网络保护措施:网络保护措施:网络保护措施:网络保护措施:防止同网段防止同网段防止同网段防止同网段 ARPARPARPARP 欺骗攻击配置欺骗攻击配置欺骗攻击配置欺骗攻击配置一、一、 阻止仿冒网关阻止仿冒网关阻止仿冒网关阻止仿冒网关 IPIPIPIP 的的的的 arparparparp 攻击攻击攻击攻击1 1 1、二层交换机二层交换机二层交换机二层交换机配置组网配置组网配置组网配置组网图图

8、 1 13552P 是三层设备,其中 ip:100.1.1.1 是所有 pc 的网关,3552P 上的 网关 mac 地址为 000f-e200-3999。PC-B 上装有 arp 攻击软件。现在需 要对 3026_A 进行一些特殊配置,目的是过滤掉仿冒网关 IP 的 arp 报文。售后服务中心售后服务中心售后服务中心 20061114200611142006111442 2、防攻击配置举例防攻击配置举例防攻击配置举例防攻击配置举例对于二层交换机如 3026c 等支持 ACL number 为 5000 到 5999 的交换机,可 以配置 acl 来进行报文过滤。 (1)全局配置 deny 所

9、有源 IP 是网关的 arp 报文(自定义规则)ACL num 5000Rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34 rule0 目的:把整个 3026C_A 端口冒充网关的 ARP 报文禁掉,其中蓝色 部分 64010101 是网关 ip 地址的 16 进制表示形式: 100.1.1.1=64010101。 rule1 目的:把上行口的网关 ARP 报文允许通过,蓝色部分为网关 3552 的 mac 地址 000f-e200-3999。

10、注意配置 Rule 时的配置顺序,上述配置为先下发后生效的情况。 在 S3026C-A 系统视图下发 acl 规则: S3026C-Apacket-filter user-group 5000 这样只有 3026C_A 上连设备能够下发网关的 ARP 报文,其它 pc 就不能 发送假冒网关的 arp 响应报文。二、二、二、二、 三层交换机三层交换机三层交换机三层交换机1 1 1 1、配置组网配置组网配置组网配置组网防攻击配置举例 对于三层设备,需要配置过滤源 IP 是网关的 arp 报文的 acl 规则,配置 如下 acl 规则:ACL num 5000rule 0 deny 0806 fff

11、f 24 64010105 ffffffff 40售后服务中心售后服务中心售后服务中心 2006111420061114200611145rule0 目的:把所有 3526E 端口冒充网关的 ARP 报文禁掉,其中蓝 色部分 64010105 是网关 ip 地址的 16 进制表示形式: 100.1.1.5=64010105。2 2 、仿冒他人仿冒他人仿冒他人仿冒他人 IPIPIPIP 的的的的 arparparparp 攻击攻击攻击攻击作为网关的设备有可能会出现 arp 错误表项,因此在网关设备上还需对仿 冒他人 IP 的 arp 攻击报文进行过滤。 如图 1,当 PC-B 发送源 IP 地址

12、为 PC-D 的 arp reply 攻击报文,源 mac 是 PC-B 的 mac (000d-88f8-09fa),源 ip 是 PC-D 的 ip(100.1.1.3),目的 ip 和 mac 是网关(3552P)的,这样 3552 上就会学习错误的 arp,如下所示:- 错误错误 arparp 表项表项 - IP Address MAC Address VLAN ID Port Name Aging Type 100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic 100.1.1.3 000f-3d81-45b4 1 Ethernet0/2

13、20 Dynamic从网络连接可以知道 PC-D 的 arp 表项应该学习到端口 E0/8 上,而不应该 学习到 E0/2 端口上。但实际上交换机上学习到该 ARP 表项在 E0/2在 3552 上配置静态 arp,可以防止该现象:arparp staticstatic 100.1.1.3100.1.1.3 000f-3d81-45b4000f-3d81-45b4 1 1 e0/8e0/8同理,在图 2 S3526C 上也可以配置静态 arp 来防止设备学习到错误 的 arp 表项。对于二层设备(3050 和 3026E 系列),除了可以配置静态 arp 外,还 可以配置 IPmacport

14、绑定,比如在 3026C 端口 4 上作如下操作:amam user-binduser-bind ip-addrip-addr 100.1.1.4100.1.1.4 mac-addrmac-addr 000d-88f8-09fa000d-88f8-09fa intint e0/4e0/4则 ip 为 100.1.1.4 并且 mac 为 000d-88f8-09fa 的 arp 报文可以通过 e0/4 端口,仿冒其它设备的 arp 报文无法通过,从而不会出现错误 arp 表项。上述配置案例中仅仅列举了部分 Quidway S 系列以太网交换机的应用。在 实际的网络应用中,请根据配置手册确认该产品是否支持对应的 ACL(user-Based)和地址邦定。仅仅具有上述功能的交换机才能防止 ARP 欺骗。ARPARPARPARP 欺骗防范欺骗防范欺骗防范欺骗防范售后服务中心售后服务中心售后服务中心

展开阅读全文
相关资源
相关搜索

当前位置:首页 > IT计算机/网络 > 计算机原理

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号