《(毕业设计论文)ARP论文局域网论文》由会员分享,可在线阅读,更多相关《(毕业设计论文)ARP论文局域网论文(5页珍藏版)》请在金锄头文库上搜索。
1、ARP 论文局域网论文摘要:本文首先对 arp 协议进行了介绍,分析了产生arp 攻击的原因,描述了网络遭受到 arp 攻击之后的表现,最后给出了主动防御和被动防御两种安全解决方案。关键词:arp;局域网;攻击positioning and prevention of arp attackhe jiadong1,yang ming2,liu xin2(1.8630 troops network center,tianjin300250,china;2.military medical college network information center,tianjin300162,china)
2、abstract:this paper first introduces the arp protocol,analyzes the reasons for producing arp attacks,describing the networks performance suffered after the arp attack.finally,the active defense and passive defense two security solutions given.keywords:arp;lan;attack一、概述在网络世界中,mac 地址的获取过程是一个动态的解析的过程。
3、在这个过程之中通过 arp 地址解析协议将 ip 地址与网卡 mac 地址进行映射。arp 攻击就是利用 arp 地址解析过程的漏洞对局域网用户进行攻击,使受害者获得错误的ip-mac 映射关系,导致受害者与错误的主机进行通讯。利用 arp 攻击,攻击者可以实现欺骗攻击、交换环境嗅探、mac 地址表溢出以及拒绝服务攻击。因此,arp 攻击对局域网存在着巨大的威胁。二、arp 攻击arp(address resolution protocol,地址解析协议)是一个位于 tcp/ip 协议栈中的底层协议,负责将某个 ip地址解析成对应的 mac 地址。arp 是地址解析协议,是一种将 ip 地址转
4、化成物理地址的协议。从 ip 地址到物理地址的映射有两种方式:表格方式和非表格方式。arp 具体说来就是将网络层地址解析为数据连接层的 mac 地址。arp 攻击就是通过伪造 ip 地址和 mac 地址实现 arp 欺骗,能够在网络中产生大量的 arp 通信量使网络阻塞,攻击者只要持续不断的发出伪造的 arp 响应包就能更改目标主机 arp 缓存中的 ip-mac 条目,造成网络中断或中间人攻击。arp 攻击主要是存在于局域网网络中,局域网中若有一台计算机感染 arp 木马,则感染该 arp 木马的系统将会试图通过“arp 欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机
5、的通信故障。基于 arp 协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的 arp 数据包,数据包内包含有与当前设备重复的 mac 地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下,受到 arp 攻击的计算机会出现两种现象:1.不断弹出“本机的 0-255 段硬件地址与网络中的 0-255 段地址冲突”的对话框;2.计算机不能正常上网,出现网络中断的症状。三、arp 攻击的定位一旦网络中遭受到 arp 攻击,由于 arp 协议天生的缺陷,必需尽快找到攻击源头,将其从网络中隔离开,才能彻底阻止其对网络继续入侵。从攻击原理上进行分析,一方面所有的 a
6、rp 攻击源都会有其特征网卡会处于混杂模式,因此,我们可以通过 arpkiller 这样的工具扫描网内有哪台机器的网卡是处于混杂模式的,从而判断这台机器有可能正在进行 arp 攻击。从另一方面来说,在局域网发生 arp 攻击时,可以通过查看交换机的动态 arp 表中的内容,确定攻击源的 mac地址;也可以在局域网中部署 sniffer 等网络嗅探工具,定位 arp 攻击源的 mac。四、arp 攻击的防范(一)被动防御措施1.客户端安装杀毒软件并保持病毒库随时更新,解决终端用户不小心感染 arp 病毒,从而对局域网造成危害的问题。2.客户端安装 arp 防火墙软件,防止被 arp 攻击。一般
7、arp 防火墙通过向网络中定期广播自己的 mac 地址来“主动”告知其他终端不要被“欺骗” ,同时在自己的客户端上绑定网关的 mac 地址,防止自己被“欺骗” 。3.舍弃 arp 协议,采用其他寻址协议,例如 pppoe。采用该方式则会产生一系列的兼容性问题。总之,采用被动的防御措施,只能“治标” ,不能“治本” ,而且会给网络带来额外的负担。并不是我们介绍的重点。(二)主动防御措施1.dhcp snooping。dhcp snooping 技术是 dhcp 安全特性,通过建立和维护 dhcp snooping 绑定表过滤不可信任的 dhcp 信息,这些信息是指来自不信任区域的 dhcp 信息
8、。dhcp snooping 绑定表包含不信任区域的用户 mac 地址、ip地址、租用期、vlan-id 接口等信息。dhcp-snooping 的主要作用就是隔绝非法的 dhcp server,通过配置非信任端口。另外,建立和维护一张dhcp-snooping 的绑定表,这张表一是通过 dhcp ack 包中的 ip 和 mac 地址生成的,二是可以手工指定。这张表是后续 dai(dynamic arp inspect)和 ip source guard 基础。这两种类似的技术,是通过这张表来判定 ip 或者 mac 地址是否合法,来限制用户连接到网络的。2.arp inspection。d
9、ai 是以 dhcp-snooping 的绑定表为基础来检查 mac 地址和 ip 地址的合法性。需要注意的是,对于前面 dhcp-snooping 的绑定表中关于端口部分,是不做检测的;同时对于已存在于绑定表中的 mac 和 ip 对于关系的主机,不管是 dhcp 获得,还是静态指定,只要符合这个表就可以了。如果表中没有就阻塞相应流量。在开始应用 dynamic arp inspection 时,交换机会记录大量的数据包,当端口通过的数据包过多时,交换机会认为遭受 dos 攻击,从而将端口自动 errdisable,造成通信中断。为了解决这个问题,我们需要加入命令errdisable recovery cause arp-inspection在 cisco 网络环境下,boot request 在经过了启用dhcp snooping 特性的设备上时,会在 dhcp 数据包中插入option 82 的选项(具体见 rfc3046)这个时候,boot request 中数据包中的 gateway ip address:为全 0,所以一旦 dhcp relay 设备检测到这样的数据包,就会丢弃。作者简介
