《局域网ARP攻击及防御策略的研究论文》由会员分享,可在线阅读,更多相关《局域网ARP攻击及防御策略的研究论文(36页珍藏版)》请在金锄头文库上搜索。
1、辽宁科技大学继续教育学院毕业设计(论文)题 目: 局域网ARP攻击及防御策略的研究学院、系: 鞍山科技大学 专业班级: 计算机应用专科 学生姓名: 姜明程 指导教师: 迟呈英 2013年 4 月 15 日局域网ARP攻击及防御策略的研究摘要当今的信息社会是建立在计算机网络的基础之上的,网络信息安全形势十分严峻。网络协议安全是网络安全的重要环节,对网络协议的分析、利用越来越受到人们的关注。ARP协议是网络协议中的基础协议,虽然ARP协议使用起来非常方便快捷,但其中却隐藏着很多漏洞。本文首先对ARP 协议进行了详细的分析,深入了解了ARP 协议的工作原理,并对ARP 欺骗发生的条件和欺骗原理做了深
2、入的介绍,同时总结了ARP 欺骗攻击的检测方法,细致的分析了对各种不同的ARP 欺骗方式相对应的防御手段。其次针对局域网中出现的 ARP 欺骗的攻击方式进行有针对性的分析,使用抓包工具截获攻击包后进行相关研究,并制定出防御局域网中出现的ARP欺骗的方法,同时对该方法进行适当改进以提高防御效率。ARP欺骗病毒一直是网络中爆发范围较广且很难根除的顽疾,最近几年针对ARP欺骗病毒的防御研究在不断进行,但由于互联网布局的复杂性特征,很难在防御该病毒方面获得统一的管理和部署,本文提出的检测和防御方法经小范围应用取得了较好的效果,希望在以后的继续学习与研究过程中能够将该方法完善并推广。关键词:ARP欺骗,
3、ARP协议,802.1x协议,认证扩展,病毒防御目 录摘 要.2目 录.3-4第1 章 绪 论.71.1 课题背景和意义.71.2 国内外研究现状.91.3 论文的研究内容及组织结构.121.3.1 论文的研究内容.131.3.2 论文的组织结构.13第2 章 ARP 协议 .142.1 ARP 协议介绍.142.1.1 地址解析的作用.142.1.2 直接映射法.152.1.3 动态地址解析法.172.1.4 动态地址解析的缓冲区与高效率.182.2 ARP 协议的应用.182.2.1 ARP 的标准与历史.182.2.2 ARP 地址详述与基本操作.192.2.3 ARP 信息的格式.21
4、2.2.4 ARP 缓存.222.2.5 代理ARP .242.3 ARP 欺骗.252.3.1 ARP 欺骗原理.252.3.2 ARP 欺骗的攻击方式.272.3.3 ARP 攻击的检测.292.3.4 ARP 病毒的防御.302.4 本章小结.30第3 章 局域网ARP 病毒检测与防御.313.1 局域网遭受ARP 病毒攻击的症状及危害.573.2 检测与分析.583.2.1 正常网络数据的捕获与分析.583.2.2 ARP 欺骗数据包的捕获与分析.593.3 ARP 欺骗的防御.603.3.1 针对网关ARP 欺骗的防御.613.3.2 针对网内主机ARP 欺骗的防御.623.4 AR
5、P 欺骗防御方法的改进.623.5 本章小结.63总结. .35参考文献 .35第1 章 绪 论1.1 课题背景和意义随着互连网的发展,网络的安全问题随之浮出水面,并一直是计算机网络安全体系的重要方面。网络作为信息的共享平台,其开放性与跨地域性令网络攻击难以循迹,一旦重要的网络信息系统陷入瘫痪,对社会是一种毁灭性的打击。最近几年,网络安全问题日益严重,关于网络安全的报道层出不穷,造成的经济损失越来越大。黑客往往通过网络入侵的手段达到窃取敏感信息的目的,也有人通过网络攻击达到不可告人的目的。ARP 协议是一个位于TCP/IP 协议栈中网络层的协议,负责将IP 地址解析成对应的MAC 地址。由于网
6、络通信是按照MAC 地址进行传输的,因此,对于局域网而言,ARP 协议是网络正常通信的基础。但基于历史原因,ARP 协议在设计之初,考虑到传输效率的问题,缺乏必要的身份认证和鉴别机制,导致安全性能弱不禁风。ARP 欺骗攻击是一种利用TCP/IP 协议中ARP 协议本身漏洞3( 即为了提高效率,不对发送来的ARP 应答包进行验证,直接更新ARP 地址缓存表)进行攻击的。它通过发送ARP 应答包给目标主机,让目标主机更新自己的ARP地址缓存表,使本应该发送给被冒充机器的数据包发送给了自己,达到了欺骗信息的作用。因此,制定出一套高效的 ARP 欺骗攻击防御策略具有很大的现实意义。1.2 国内外研究现
7、状ARP 欺骗攻击的核心思想就是向目标主机发送伪造ARP 应答, 并使目标主机接收应答中伪造的IP 地址与MAC 地址之间的映射对, 以此来更新目标主机的ARP 缓存。ARP 欺骗的原理已经十分明了,但对ARP 欺骗的防范措施却并不十分有效。目前国内外还没有功能很强的软件能够很好的防御网络中的ARP欺骗。因此,如何防御ARP 欺骗攻击及怎样降低这种攻击所带来的后果引起了全社会网络专家们的广泛关注,并成为目前网络安全界研究的热点问题。ARP 欺骗攻击主要是利用了ARP 协议的安全缺陷,体现在如下几点:(1)ARP请求均以广播方式进行:当源主机要和目的主机通信而没有目的主机的MAC 地址时, 便会
8、向整个局域网广播ARP请求数据包。这使得攻击者可以伪装ARP应答, 与真正的目的主机展开竞争, 并由此确定子网内机器什么时候刷新ARP缓存, 以实现最大限度的假冒和欺骗。(2)ARP 地址转换表自我动态更新:这种机制的动态更新方式较为灵活,但同时也带来了安全隐患。由于正常的ARP 地址转换表都是有时间限制的,这使得假冒者如果在下次交换之前成功修改了源主机的地址,就可以毫无阻拦的进行ARP 欺骗行为。(3)ARP 响应无控制且无认证:ARP 协议设计之初,为了获得较高的传输效率,在数据链路层没有做安全上的防范,在使用ARP 协议时无需认证,使用ARP协议的局域网假设通信双方是相互信任和相互独立的
9、。ARP 欺骗的攻击方法主要有以下几种:(1)中间人攻击:中间人攻击就是攻击者将自己插入两个目标主机通信路径之间,使它如同两个目标主机通信路径上的一个中继,这样攻击者就可以监听两个目标主机之间的通信。(2)IP 地址冲突:主机发送更改的ARP 报文,将伪装的MAC 地址映射到目标主机的IP 地址,系统检测到两个不同的MAC 地址对应同一个IP 地址,因此表现为IP 地址冲突。(3)拒绝服务攻击:拒绝服务攻击就是使目标主机不能正常响应外部请求,从而不能对外提供服务的攻击方式。(4)克隆攻击:通过修改网络接口的MAC 地址,攻击者首先对目标主机实施拒绝服务攻击,使其不能对外部做出任何反应。然后攻击
10、者就可以将自己的IP地址与MAC 地址分别改为目标主机的IP 地址与MAC 地址,这样攻击者就可以对目标主机进一步实施各种非法攻击,窃取各种通信数据。(5)ARP 应答畸形包攻击:正常的ARP 报文至少是46 个字节,但是如果我们自己精心构造一个只有30 个字节长的ARP 应答报文,由于目前的网络交换设备没有充分考虑到这种情况的出现,当网络上连续出现这种畸形报文达到一定数量的时候,交换机的MAC 缓存表就无法正常刷新,其严重后果就是整个局域网瘫痪。针对以上的 ARP 欺骗攻击手段,已经制定出如下的防御措施6,7,8:(1)制定静态ARP 缓存表:ARP 协议攻击最根本的原理就是改变IP 地址与
11、MAC 地址的正确对应关系。因此可以在目标主机的ARP 缓存中设置静态地址映射记录来防止ARP 欺骗攻击。但该方法的缺点是如果网络上节点较多或者节点经常发生变化则不易进行管理。(2)设置ARP 服务器:为了解决静态ARP 缓存表中维护静态记录的工作分散的缺点,可以采用在局域网内部指定一台机器作为ARP 服务器来集中保存和维护一个相对可信的局域网环境下所有主机的IP-MAC 地址映射记录。但该方法首先要保证ARP 服务器的网络安全,如果一旦该主机瘫痪,ARP 缓存表将无法维护,整个网络系统会受到影响。(3)数据加密传输:例如采用SSH 替代telnet,采用sftp 替代传统的ftp,即使连接被截获,也不可能被轻易伪造数据。该方法的缺点是加密和解密过程相对来说比较消耗系统资源。(4)交换
