《局域网中的arp重定向攻击及防御措施》由会员分享,可在线阅读,更多相关《局域网中的arp重定向攻击及防御措施(5页珍藏版)》请在金锄头文库上搜索。
1、局域网中的局域网中的 ARPARP 重定向攻击及防御措施重定向攻击及防御措施随着计算机网络应用的普及,网络已日益成为生活中不可或缺的工具,但伴之而来的非法入侵也一直威胁着计算机网络系统的安全。由于以太网中采用广播方式,因此,在某个广播域中可以监听到所有的信息包。网络监听是黑客们常用的一种方法。当成功地登录进一台网络上的主机,并取得了这台主机的超级用户的权限之后,往往要扩大战果,尝试登录或者夺取网络中其他主机的控制。而网络监听则是一种最简单而且最有效的方法,他常常能轻易地获得用其他方法很难获得的信息。 在网络上,监听效果最好的地方是在网关、路由器、防火墙一类的设备处,通常由网络管理员来操作。使用
2、最方便的是在一个以太网中的任何一台上网的主机上,这是大多数黑客的做法。 事实上,很多黑客入侵时都把以太网扫描和侦听作为其最基本的步骤和手段,原因是想用这种方法获取其想要的密码等信息。但另一方面,我们对黑客入侵活动和其他网络犯罪进行侦查、取证时,也可以使用网络监听技术来获取必要的信息。因此,了解以太网监听技术的原理、实现方法和防范措施就显得尤为重要。 1 网络监听的基本原理以太网可以把相邻的计算机、终端、大容量存储器的外围设备、控制器、显示器以及为连接其他网络而使用的网络连接器等相互连接起来,具有设备共享、信息共享、高速数据通讯等特点。以太网这种工作方式,如同有很多人在一个大房间内,大房间就像是
3、一个共享的信道,里面的每个人好像是一台主机。人们所说的话是信息包,在大房间中到处传播。当我们对其中某个人说话时,所有的人都能听到。正常情况下只有名字相同的那个人才会做出反应,并进行回应。其他人了解谈话的内容,也可对所有谈话内容做出反应。因此,网络监听用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时,使用监听技术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获。 1.1 广播式以太网中的网络监听广播式以太网在逻辑上由一条总线和一群挂在总线上的节点组成。任何一个节点主机发出的数据包都是在共享的以太网传输介质上进行传输
4、的,每个数据包的包头部分都包含了源地址和目的地址。网络上所有节点都通过网络接口(网卡)负责检查每一个数据包,如果发现其目的地址是本机,则接收该数据包并向上层传递,以进行下一步的处理;如果目的地址不是本机,则数据包将被丢弃不作处理。以太网数据包过滤机制分为链路层、网络层和传输层。在链路层,网卡驱动程序判断收到包的目标 MAC 地址是否是自己的 MAC地址;在网络层判断目标 IP 地址是否为本机所绑定的 IP 地址;在传输层如 TCP 层或者 UDP 层判断目标端口是否在本机已经打开。如果以上判断否定,数据包将被丢弃。在进行网络数据包的“监听”时,首先通过将系统的网络接口设定为“混杂模式” ,网络
5、监听程序绕过系统正常工作的处理机制,直接访问网络底层。不论数据包的目的地址是否是本机,都能够截获并传递给上层进行处理(只能监听经过自己网络接口的那些包) ,通过相应的软件进一步地分析处理,就能够得到数据包的一些基本属性,如包类型、包大小、目的地址、源地址等,可以实时分析这些数据的内容,如用户名、口令以及所感兴趣的内容。同理,正确地使用网络监听技术也可以发现入侵并对入侵者进行追踪定位,在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息,成为打击网络犯罪的有力手段。 1.2 交换式以太网中的监听交换机的工作原理不同于 HUB 的共享式报文方式,交换机转发的报文是一一对应的,能够隔离冲突域和有效的
6、抑制广播风暴的产生。由此看来,交换环境下再采用传统的共享式以太网下网络监听是不可能了,由于报文是一一对应转发的,普通的网络监听软件此时无法监听到交换环境下其他主机任何有价值的数据。但是,以太网内主机数据包的传送完成不是依靠 IP 地址,而是依靠 ARP 找出IP 地址对应的 MAC 地址实现的。而 ARP 协议是不可靠和无连接的,通常即使主机没有发出 ARP 请求,也会接受发给他的 ARP 回应,并将回应的 MAC 和 IP 对应关系放入自己的 ARP 缓存中。因此利用 ARP协议,交换机的安全性也面临着严峻的考验。1.2.1 交换机缓冲区溢出攻击交换机大多使用存贮转发技术,工作时维护着一张
7、MAC 地址与端口的映射表,这个表中记录着交换机每个端口绑定的 MAC 地址。他的工作原理是对某一段数据包进行分析判别寻址,并进行转发,在发出前均存贮在交换机的缓冲区内。但是,交换机缓冲区是有限的。如用大量无效 IP 包,包含错误 MAC 地址的数据帧对交换机进行攻击。该交换机将接收到大量的不符合分装原则的包,造成交换机处理器工作繁忙,从而导致数据包来不及转发,进而导致缓冲区溢出产生丢包现象。这时交换机就会退回到 HUB 的广播方式,向所有的端口发送数据包。这样,监听就变得非常容易了。1.2.2ARP 协议和欺骗在以太网中传输的数据包是以太包,而以太包的寻址是依据其首部的物理地址(MAC 地址
8、) 。仅仅知道某主机的逻辑地址(IP 地址)并不能让内核发送一帧数据给此主机,内核必须知道目的主机的物理地址才能发送数据。ARP 协议的作用就是在于把逻辑地址变换成物理地址,也既是把 32 b 的 IP 地址变换成 48 b 的以太地址。每一个主机都有一个 ARP 高速缓存,此缓存中记录了最近一段时间内其他 IP 地址与其 MAC 地址的对应关系。如果本机想与某台主机通信,则首先在 ARP 高速缓存中查找此台主机的 IP 和 MAC 信息,如果存在,则直接利用此 MAC 地址构造以太包;如果不存在,则向本网络上每一个主机广播一个 ARP 请求包。其意义是“如果你有此 IP 地址,请告诉我你的
9、MAC 地址” ,目的主机收到此请求包后,发送一个 ARP 响应包,本机收到此响应包后,把相关信息记录在 ARP 高速缓存中。可以看出,ARP 协议是有缺点的,第三方主机可以构造一个 ARP 欺骗包,而源主机却无法分辨真假。假定 A 为进行监听的主机,B 为被监听的主机,C 为其他网络主机。当 A 收到 B 向 C 发出的 ARP 请求包后,向 B 回应一个 ARP 应答。向 C 主动发送一个应答,修改 C 缓存中的关于 B 的 IPMAC 映射。当A 收到 C 向 B 发出的 ARP 请求时,向 B 主动发送一个应答,修改 B缓存中的关于 C 的 IPMAC 映射。这样,构造了 ARP 欺骗
10、包(欺骗 B对 C 的连接) 。事实上,A 成了 B 的代理可以全部捕获到 B 和 C 的相关数据。 2 网络监听的检测及防范网络监听是很难被发现的,因为运行网络监听的主机只是被动地接收在局域网上传输的信息,不主动与其他主机交换信息,也没有修改在网上传输的数据包。 2.1 网络监听的检测 (1)对于怀疑运行监听程序的机器,向局域网内的主机发送非广播方式的 ARP 包(错误的物理地址) ,如果局域网内的某个主机响应了这个 ARP 请求,我们就可以判断该机器处于杂乱模式。而正常的机器不处于杂乱模式,对于错误的物理地址不会得到响应。(2)网络和主机响应时间测试。向网上发大量不存在的物理地址的包,处于
11、混杂模式下的机器则缺乏此类底层的过滤,由于监听程序要分析和处理大量的数据包会占用很多的 CPU 资源,骤然增加的网络通讯流量会对该机器造成较明显的影响,这将导致性能下降。通过比较前后该机器性能加以判断是否存在网络监听。(3)使用反监听工具如 antisniffer 等进行检测。2.2 网络监听的防范2.2.1 网络分段网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是防范网络监听的一项重要措施。将网络划分为不同的网段,其目的是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法监听。 2.2.2 以交换式集线器代替共享式集线器 对局域网的中心交换机进行网络分段后,局域网监听的危险
12、仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(单播包)还是会被同一台集线器上的其他用户监听。因此,应该以交换式集线器代替共享式集线器,使 单播包仅在两个节点之间传送,从而防止非法监听。 2.2.3 使用加密技术数据经过加密后,通过监听仍然可以得到传送的信息,但显示的是乱码。使用加密技术的 缺点是影响数据传输速度以及使用一个弱加密术比较容易被攻破。 2.2.4 划分 VLAN运用 VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,VLAN 子网隔离了广播风暴 ,可
13、以防止大部分基于网络监听的侵入,对一些重要部门实施了安全保护。且当某一部门物 理位置发生变化时,只需对交换机进行设置,就可以实现网络的重组,非常方便、快捷,同 时节约了成本。为保证不同职能部门管理的方便性和安全性以及整个网络运行的稳定性,可 采用 VLAN 技术进行虚拟网络划分。 3 结语网络监听技术在信息安全领域中显得非常重要,他又是一把双刃剑,总是扮演着正反两方 面的角色。对于网络管理员来说,网络监听技术可以用来分析网络性能,检查网络是否被入 侵发挥着重要的作用;对于入侵者来说,网络监听技术可以很容易地获得明文传输的密码和 各种机密数据。为了保护网络信息的安全,必须采用网络监听技术进行反跟踪,时刻探明现 有网络的安全现状,掌握先机,才能保证网络的信息安全。
