收藏
下载资源

基于ETHERNET的网络监听以及ARP欺骗

上传人:l****6 文档编号:38058567 上传时间:2018-04-26 格式:DOC 页数:4 大小:29KB
返回 下载 相关 举报
基于ETHERNET的网络监听以及ARP欺骗_第1页
第1页 / 共4页
基于ETHERNET的网络监听以及ARP欺骗_第2页
第2页 / 共4页
基于ETHERNET的网络监听以及ARP欺骗_第3页
第3页 / 共4页
基于ETHERNET的网络监听以及ARP欺骗_第4页
第4页 / 共4页
亲,该文档总共4页,全部预览完了,如果喜欢就下载吧!
资源描述

《基于ETHERNET的网络监听以及ARP欺骗》由会员分享,可在线阅读,更多相关《基于ETHERNET的网络监听以及ARP欺骗(4页珍藏版)》请在金锄头文库上搜索。

1、1基于 ETHERNET 的网络监听以及 ARP 欺骗 引 言网络监听,亦称为网络嗅探,是利用计算机的网络接口监视并查看网络中传输的数据包的一种技术。它工作在网络的底层,能够把网络中传输的全部数据记录下来。监听器(sniffer)不仅可以帮助网络管理员查找网络漏洞和检测网络性能,还可以分析网络的流量,以便找出网络中存在的潜在问题。不同传输介质的网络,其可监听性是不同的。但一般说来,以太网、FDDIToken、微波和无线网络都有很高的可能性被监听。实际应用中的 sniffer 分软、硬两种。软件监听器便宜,易于使用,缺点是往往无法抓取网络上所有的传输数据(比如碎片),也就可能无法全面了解网络的故

2、障和运行情况;硬件监听器通常称为协议分析仪,它的优点恰恰是软件监听器所欠缺的,但是价格昂贵。目前主要使用的是软件监听器代写论文。2 网络监听的原理在以太网中,所有的通讯都是“广播”式的,也就是说通常同一个网段的所有网络接口都可以访问在信道上传输的所有数据。在一个实际系统中,数据的收发是由网卡来完成,每个网卡都有一个唯一的 MAC 地址。网卡接收到传输来的数据以后,网卡内的单片程序检查数据帧的目的 MAC 地址,根据计算机上的网卡驱动程序设置的接收模式来判断该不该接收该帧。若认为应该接收,则接收后产生中断信号通知 CPU,若认为不该接收则丢弃不管。正常情况下,网卡应该只是接收发往自身的数据包,或

3、者广播和组播报文,对不属于自己的报文则不予响应。可如果网卡处于混杂模式,那么它就能接收一切流经它的数据,而不管该数据帧的目的地址是否是该网卡。因此,只要将网卡设置成混杂模式(promiscuous),那么它就可以捕获网络上2所有的报文和帧,这样也就达到了网络监听的目的。由此可见,网络监听必须要满足两个条件:网络上的通讯是广播型的。网卡应设置为混杂模式。这在传统的以太网中是满足的。因为传统的以太网是共享型的,所有的主机都连接到 HUB,而 HUB 对数据包的传输形式是广播。这意味着发给某个主机的数据包也会被其它所有主机的网卡所收到。因此在这样的环境中,任何设置成混杂模式的主机,都可以捕获发送给其

4、它主机的数据包,从而窃听网络上的所有通信。可如今,随着交换机的广泛使用,更多的以太网是属于交换型的。所有的主机都连接到 SWITCH,对于发给某个特定主机的数据包会被SWITCH 从特定的端口送出,而不是像 HUB 那样,广播给网络上所有的机器。这种传输形式使得交换型以太网的性能大大提高,但同时也破坏了网络监听的第一个前提条件,使得上文中所述的传统网络监听器无法工作。因此,在交换网络中进行网络监听面临的一个主要问题就是:如何使本不应到达的数据包到达本网段。通常的解决方法主要有两种,一种是 ARP 欺骗(ARP Spoof),另一种就是 MAC 水包(MAC Flooding)。其中 MAC F

5、looding 就是指向交换机发送大量含有虚假 MAC 地址和 IP 地址的 IP 包,从而使得交换机内部的地址表“溢出”,进入所谓的“打开失效”模式,迫使 SWITCH 以类似于 HUB 的广播方式工作,向网络上所有的机器广播数据包。本文将要详细分析 ARP 欺骗模式。3 ARP 欺骗3. 1 ARP(AddressResolution Protocol)的工作机制在以太网中传输的数据包是以太包,而以太包是依据其首部的 MAC 地址来进行寻址的。发送方必须知道目的主3机的 MAC 地址才能向其发送数据。ARP 协议的作用就在于把逻辑地址转换成物理地址,也即是把 32bit 的 IP 地址变换

6、成 48bit 的以太网地址。为避免频繁发送ARP 包进行寻址,每台主机都有一个 ARP 高速缓存,其中记录了最近一段时间内其它 IP 地址与其 MAC 地址的对应关系。如果本机想与某台主机通信,则首先在ARP 缓存中查找这台主机的 IP 和 MAC 信息,若存在,则直接利用此 MAC 地址构造以太包;若不存在,则向网络上广播一个 ARP 请求包。目的主机收到此请求包后,发送一个 ARP 应答包。本机收到此应答包后,把相关信息记录在 ARP 高速缓存中,然后再进行发送。由此可见,ARP 协议是有缺陷的。一台恶意的主机可以构造一个ARP 欺骗包,而源主机却无法分辨真假。3.2 相关协议的帧格式为

7、了论述的简洁性,文中我们对以太网中 ARP 帧格式做如3. 3 ARP Spoof 原理实验环境如下图所示:在这个交换网络中有四台 PC,其中 HostD 试图进行 ARP 欺骗来监听 HostA 的数据流。假设主机 A 要与主机 B 通信,但 A 在其 ARP 缓存中没有找到有关主机 B 的 MAC 信息。于是,主机 A 发出 ARP 请求包:正常情况下,主机 B 回应一个 ARP 应答包:但同时,主机 D 也监听到了 ARP 请求包,随后它也发出了一个伪造的 ARP 应答包:这样,主机 A 就收到了两个 ARP 应答包,一个来自主机 B,一个来自主机 D。当 A收到主机 B 的 ARP 应

8、答包后的一段时间,其 ARP 表确实会正确记录着 B 的 IP-to-MAC mapping 表项。但随后,它收到了 D 的 ARP 包,并且它也仍然认为这是正确的。于是,它修改自己缓存中的 ARP 表。此后,若 A 向 B 发送数据,则数据实际上是流向 D。同理,主机 D 也可以对主机 B 进行欺骗,使流向 A 的数据流向 D,并且启4用自己的数据转发功能,充当 man-in-middle,这样,主机 D 就达到了监听主机 A 通讯的目的。3. 4 程序处理流程下面给出了程序的处理流程。(1)获取目的主机 A 的 IP,并将它和本机 IP、本机 MAC 地址分别保存到 dst_ip, own

9、_ip, own_mac 中。(2)向主机 A 发出正常的 ARP 请求包,以得到 dst_mac。(3)初始化数据链路,将 NIC 置为 promiscuous 模式。(4)进入主循环,开始监听数据包,置 flag=0。(5)取出一个包,检查是否是 Ethernet 类型的 ARP 包,若不是,转步骤(10)。再比较发送端 IP 地址或接收端 IP 地址是否等于 own_ip,若是,转步骤(10)。否则继续。(6)检查发送端 IP 地址,若等于 dst_ip,则置 flag=1,记录下接收端 IP 地址 sec_ip,然后向此接收端(主机 B)发出正常的 ARP 请求包,以得到 sec_ma

10、c。(7)若 flag=0,检查接收端 IP 地址,若等于 dst_ ip,则置 flag=-1,记录下发送端 IP 地址 sec_ip,以及发送端 MAC 地址 sec_mac。(8)若 flag=1,则用 dst_ip, dst_mac, sec_ip, own_mac 伪造针对主机 A 的 ARP 应答包,生成一个 Ethernet 报头,将其发送出去。接着,用 sec_ip, sec_mac, dst_ip, 5own_mac 伪造针对主机 B 的 ARP 包,并将此 ARP 包中可选域置为空,生成一个Ethernet 报头,将其发送出去。(9)若 flag=-1,则用 sec_ip,

11、 sec_mac, dst_ip, own_mac 伪造针对主机 B 的 ARP 应答包,生成一个 Ethernet 报头,将其发送出去。接着,用 dst_ip, dst_mac, sec_ip, own_mac 伪造针对主机 A 的 ARP 包,并将此 ARP 包中可选域置为空,生成一个Eth-ernet 报头,将其发送出去。(10)转入步骤(4),继续监听数据包。对此流程,有以下几点需要补充说明:为了能让主机 A 和 B 正常通信,应在运行此程序之前打开主机 D 上的数据转发功能。因为是在交换网络中,所以只能监听到 ARP 请求包,而3. 5 程序结果分析本程序在交换网络中能够很好的完成欺

12、骗的任务,让本不应到达的数据包到达本网段,从而使得在交换网络中进行网络监听成为可能。从中我们也可以看出,许多传统的网络协议的实现都是建立一种非常友好的,通信双方充分信任的基础之上。这样,就给了很多别有用心的网络使用者一些可乘之机。为此,在这里也想根据我们的实践经验对如何防范交换网络中的监听提出一些参考意见。第一,使用静态ARP 表。从我们的实验可以看出,如果目的主机 A 采用的是静态 ARP 表,则我们所做的欺骗就会失效。因此,在网络结构比较固定,网络规模比较小的情况下,我们可以在重要的主机或工作站上通过设置静态 ARP 表的方法来防止网络监听。6第二,会话加密。我们不应把网络安全信任关系建立

13、在 IP 地址或硬件 MAC 地址的基础上。而是应该对所传输的重要数据事先进行加密,再开始传输。这样,即使我们传输的数据被恶意主机监听到,它也无法获取切实有用的信息。第三,主动地检测网络嗅探器。上面的两种方法都是比较被动的方法,我们也可以主动出击,来检查网络中是否存在网络嗅探器。对 ARP 包进行检查,看是否经常出现类似的 ARP 请求。这可以借鉴网络的异常检测方法。通过建立异常检测模型,来对网络上的 ARP 请求包进行实时的监测分析。通过测量网络和主机的响应时间,网络通讯的丢包率,以及网络带宽来看是否出现了反常。4 结 论本文介绍了网络监听的基本原理,并特别针对如何在交换网络的环境中的监听进行了详细讨论。由此,可以发现 ARP 协议的一些漏洞,并针对这些漏洞进行了 ARP欺骗的实验。实验结果表明,将传统的集线器升级为交换机,虽然能够增加网络监听的难度,但仍然无法防止监听。因此,交换网络也不是安全的。最后,我们针对这种情况,提出了提高交换网络安全的一些建议。1毛碧波、孙玉芳,“角色访问控制”,计算机科学, 20031, 1211232宋志敏等,“数据库安全的研究与进展”,计算机工程与应用,20011, 85873魏洪涛等,“基于 Web 的管理信息系统的安全模型设计”,计算机应用, 20035, 77780

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号