本栏目责任编辑:冯蕾 ・ ・・・・网络通讯与安全・ ARP攻击及防御策略 仇多利 (安徽淮北煤炭师范学院计算机科学与技术系,安徽淮北235000) 摘要:ARP协议主要实现了网络层地址到数据链路层地址的动态映射,并且ARP协议具有无序性、无确认性、动态性、无安全机制 等特性 利用这些特性.攻击者可以较容易的实现在局域网内的ARP欺骗攻击,本文详细描述了利用ARP协议的特性进行欺骗攻击的 原理和过程.包括主动攻击和被动攻击,表现形式有伪造ARP应答包和克隆主机。最后,提出了针对攻击可以采取的一些策略。 关键词:ARP;网络攻击;网络防御 中图分类号:TP393 文献标识码:A 文章编号:1009—3044(2007)17—31261—01 ARP A ̄ack and Defense Strategies QIU Duo—h (Depa ̄ment of Computer Science&Technology of HuaiBei Coal Industry Teachers Conege,Huaibei 235000,China) Abstract:ARP protocol mainly implements dynamic mapping from network—layer S address tO datalink—layer S address,however it has many characteristics like no sequence,no confirmation,dynamism,no safe mechanism.Therefore,attackers can easily cheat and attack in LAN by using ARP protoco1.This text in detail describes the principle and the process of cheating and attacking by using ARP protocol,including ac— ifve attack and passive attack.Finally,this text puts forward some measures tO prevent the above cheat and attack. Key wordS'ARP;Network attack;Network defense 1引言 源MAC地址:发送端MAC地址。 随着计算机网络的发展.网络安全问题显得越来越重要.各 源IP地址:发送端协议地址,如果在协议类型中设定为 种网络安全问题也层出不穷 现在人们普通采用防火墙和将业务 0800,即为IP地址。 网与互联网隔离的方法来保证局域网的安全.但是对于来自内网 目的MAC地址:目的端MAC地址,在请求报文中,全为O。 的攻击和欺骗以及利用一些局域网协议的漏洞进行的攻击和欺 目的IP地址:接收端协议地址.IP地址。 。 骗则没有很好的对策.也容易被网络管理者忽视 本文针对目前 ARP应答协议报文和ARP请求协议报文基本相同.把请求 比较常见的ARP欺骗进行了较深入的分析并提出了解决对策 报文的源IP和源MAC地址分别填人目的IP和目的MAC.将自 2 ARP原理 己的IP和MAC地址填人源IP和源MAC。同时.置操作类型1.并 ARP:Address Resolution Protocol。全称是地址解析协议。在 由Ethernet帧发送。 TCP/IP协议簇中.运行于网络层.封装在数据链路层协议帧中进 当在局域网中一台主机希望与另一台主机(可以是本局域 行传输.功能是动态地提供IP地址与MAC地址的映射关系.动 网.也可以是外网中的某一台.这时候就需要填入网关的MAC地 态是指这种映射关系在主机中有一个存在时间.如果在一段时间 址.由网关再进行路由解析发送。当使用网关互联网络的时候,主 内某一条目没有被使用或者更新.则删除此映射.需要在一次访 机中存储的并不是目的IP和MAC的映射条目.而是网关的IP和 问时重新建立 WindOWs操作系统的主机上.可以在命令提示符下 MAC映射条目 例当访问新浪网的时候.在主机中只会存储网关 使用arla—a来查看本机的IP地址和MAC地址映射表.如图1。 的IP和MAC映射.而不会存储新浪的IP和MAC映射)进行通 信.它首先查找自己的IPfMAC地址映射表.如果表中存在对应地 址,则直接填人Ethemet帧目的MAC字段,如果没有,则发送 ARP请求.并置Ethemet帧的目的MAC地址为广播地址.置ARP 请求报文的目的MAC地址为全O.这时.本网络中的所有主机都 会接收到这一请求.上交至网络层.只有网络层为请求报文中目 图1 的IP地址的主机才对此进行响应.发送一个应答报文 源主机接 ARP协议报文分为两种:请求报文和应答报文.请求报文用 收应答报文之后.将对应的目的IP地址和MAC地址作为一个新 于向网络中发送广播请求以得到发送者目前的IP和MAC地址 的条目加入到本主机的ARP高速缓存表中 最后将目的MAC填 映射表中没有的目的主机的MAC地址 应答报文即工作站收到 人Ethernet帧目的MAC中进行发送 目的IP地址为自己的请求ARP报文后向请求者回送自己的 通过以上分析的可知.ARP工作的原理不需要通过双方的验 MAC地址以完成解析过程 ARP协议包封装在Ethemet V2.0中 证.也即是建立在双方互相信任的基础上.另外映射关系不是持 的简要报文格式如图2 久的.是有存在时间的.而且不去记忆是否有发送过请求报文。因 目的M^c I i囔M^c l协议粪I摄作类l撅MAC地址l i囔IP地址I目的MAC地址l目的IP地址 此ARP协议具有动态性,无序性、无记忆性、无安全管理等特性, 【6B)f(6B)f型(船)f型(2B{f (6B) f(4B)i (6B) } (4B) 这也是ARP攻击的基础 Eth ̄met帧头部 ARP数据包 3 ARP攻击 图2 ARP协议本身的缺陷导致了ARP攻击的可能 在所有的 Ethemet帧头部中的目的MAC地址在帧中承载的是ARP请 ARP攻击中.主要分为两类:一类是局域网内过行攻击.另外一类 求报文时,为广播地址,全为1,协议类型指明上层是ARP协议。 是经过有路由的网络进行攻击 其中又以局域网内的攻击为主。 ARP数据包各字段的含义如下: 当在局域网内时.可以有主动攻击和被动攻击.攻击的形式 操作类型:代表ARP数据包类型。O表示ARP请求报文,1表 为伪造ARP应答和克隆主机攻击.以下图为例: 示ARP应答报文。 f下转第1273页1 维普资讯 http://www.cqvip.com 本栏目责任编辑:冯蕾 用对El令进行加密.通过使用公共密钥和对称性加密提供非公开 通信、身份验证等 这样来保护通信的安全性.避免客户和Web 服务器进行通信时被窃听等 例如在一个考勤系统中如果有用户 想要查询出勤情况数据.那么他必须拥有数据库中的用户表中的 一网络通讯与安全. 易行。 f21应用程序操作员的授权:在应用程序设计时.根据需求分 析和概要设计.可以将整个软件划分为许多功能模块.并对其进 行编号及功能描述。同时,根据需要.在数据库中建立若干角色 组.并为每个角色组指定可以操作的功能模块及操作这些模块所 个用户名和该用户名的密码才能进人该系统的网页.同样对于 用户表中的密码采用MD5进行密码的加密处理 这样即保证了 用户密码在传送过程中的安全.又保证了用户表中的密码的安 全。 4.2预防IP欺骗 需的数据库访问许可。根据业务部门的需要.使每个操作员属于 相应的角色组。总之,只要调整好这些程序功能模块、角色组、操 作员三者之间的关系.就可以完成对操作员的授权管理 5结论 Intemet的飞速发展.使得网络不再是单纯的信使.而是一个 交互的平台.使得很多像电子商务等的功能越来越频繁.因此网 络数据库的安全越来越重要。多用户、高可靠性、频繁的更新和大 IP欺骗就是黑客盗用或伪造网上其他主机的IP地址.通过 IP地址的伪装使得某台主机能够装扮成另外的一台主机.而这台 主机往往具有某种特权或被另外的主机所信任.如果盗用的是另 一个网段的一台主机IP地址.一般是不行的.因为在正常通信 时.将收不到从对方返回的IP包.因此.盗用IP地址应该只能盗 用本网段的IP地址 防止本网段内的IP地址被盗用可采用绑定 IP地址和MAC地址的方法 『4]例如在一个考勤系统中,通过应用 文件是数据库的特性.这必然使得数据库的建设和维护显得非常 困难和繁琐.同时这也使攻击者有机可乘.利用数据库的一些不 易觉察的漏洞.进行非法操作。本文通过总结网络数据库总体安 全策略.通过简单例子得出B/W/D三层结构的网络数据库的安全 措施。 专门的设备和技术.将访问系统的特定主机的IP地址和MAC地 址绑定到一起.这是对IP欺骗非常有效的方法 参考文献: f11陈黎.我国网络数据库发展现状『J].中国信息导报,2004. 4-3操作员授权管理 对操作员访问数据库的授权可以通过两种途径了完成:一是 直接对操作员授权.一种是通过操作员所属角色进行授权 f11操作员角色的基本概念:角色是数据库访问许可的管理单 位.其成员继承角色所拥有的访问许可。例如在考勤系统中应用 的是SQL Senrer数据库.如同许多应用软件中 被赋予相同权限 的操作员往往有一个以上,因此.大多数情况下.对操作员的授权 【2]姜启涛.网络数据库的安全及优化『J1.计算机与信息技术, 2006,(1 0):20-28. f3]王岩明,冼沛勇.建立数据安全系统-维护企业信息安全fJ1. 计算机与网络.2003(24):51-52. f41李宇.网络数据库的安全性与构建『J].周El师范学院学报. 2005.22(2):78—86. 管理通过操作员所属角色进行授权要比直接对操作员授权简单 (上接第1261页) 自己的路由表,C就可以伪装成B进行通信 4防御策略 ‘ f11使用静态缓存,在Windows操作系统中,设置ARP静态映 B l92 l68 l 2 22.22.22.22.22 射的命令是arp—s.可以在网络中的所有主机上编辑批处理命令 手动添加主机的静态缓存.设置静态ARP缓存表只能防范ARP 请求欺骗.无法防范ARP应答欺骗。而且.缺点是当网络中的主 机数目较多时工作量大.而且当某一主机拥有的物理地址更换的 当C想获取A和B的通信内容.C可以在接收到A和B对 对方的ARP请求的时候.延迟时间使用Snif或者其它软件分别 向A和B发送一个伪造的ARP应答包.或者可以主动的持续向 时候.需要全部重新定义静态缓存 f21交换机端El绑定,每个端El和一个固定的MAC地址绑定, 优点基本同使用静态缓存.但是只是具有网管功能的交换机才可 以.工作量也较大 f3)使用ARP代理服务器,在服务器上配置所有MAC地址和 A和B发送伪造的ARP应答包.在伪造的ARP应答包中.分别将 自己的MAC地址和A以及B的对应条目添加到B和A主机中. 同时打开C的IP包转发功能并持续向A和B发送伪造的ARP 应答包,这样通信模式就变成了A C B,C可以完全截取A和B 的通信数据 另外一种是克隆主机攻击 与伪造ARP应答不同的是.当C IP的映射表.同时将其它主机的ARP响应设置为只响应来自 ARP代理服务器的应答 f4)可以使用anti arp等防御ARP攻击的软件.简单易用。 想截获A和B通信的数据时.首先要使B无法与外界联系.这时 C即可冒充B与A进行通信 使得B主机无法与外界通信.一是 可以使用洪水攻击.二是C可以持续的依次伪造局域网中每个主 机的ARP应答包并且在包中应答的MAC地址为不存在向B发 f5)可以通过防火墙和修改系统的IP策略.拒收ICMP重定 向报文。 f6)建立虚拟局域网。在交换机上设置虚拟局域网.在虚拟局 域网的端口上设置广播隔离来防止ARP攻击 f71采用新的地址解析协议或者对原有的ARP协议进行完 送。这样B与外界的通信就完全隔离.无法提供服务 此时C可以 修改自己的IP地址为B和IP并向A发送一个ARP应答.告诉A 更新192.168.1.2对应的MAC地址为33—33—33—33—33—33.C就 善.使之成为一种基于信任关系的地址解析协议 参考文献: 『11吴功宜.计算机网络『M1.第2版.北京:清华大学出版社,2007. 『21刘远生.算机网络安全『M1.第1版.北京:清华大学出版社, 2o06. 伪装成了B 上面的论述是基于在一个局网内.如果是经过路由分段将无 法获得成功.因为即使使用洪水攻击或者伪造包使得B无法提供 服务.失去连接.局域网中的主机也只是在局域网中找B而根本 f31任侠,吕述望.ARP协议欺骗原理分析与抵御方法lJ1.计算 机工程,2003.29f91:127—128. 就不会与C通信.因为主机路由表到B的路由是直接交付而不是 经过网关交付.这时需要再伪造一个ICMP重定向报文广播包.告 诉B所在的局域网中的所有主机:到达B的最短路径不是直接交 付.而是路由.请重定向。这样所有主机在接收重定向报文后更新 『4]RICHARD STEVENS W1 TCP/IP详解(卷1:协议)『M1.北京: 机械工业出版社.20001. 1273
因篇幅问题不能全部显示,请点此查看更多更全内容