本文关键词:ARP欺骗、攻击、防护
随着计算机网络的普及arp攻击源查找软件,互联网逐渐成为人们生活的重要组成部分,网络安全也越来越受到人们的关注。
然而,由于网络连接的开放性、共享性和多样性,管理变得越来越困难,任何一个小问题都可能影响网络的正常运行。
网络安全也是当今网络技术研究的一个重要课题。 它具有很强的实际应用背景。 在网络安全防范中,如何有效防范ARP欺骗攻击已成为一个重要的研究课题。
1.ARP欺骗攻击方法
类型1:窃取数据(嗅探)
这种情况就是典型的ARP欺骗。 欺骗主机向被欺骗主机发送大量伪造的ARP响应报文进行欺骗。 当通讯双方被欺骗成功后,他们就充当了“中间人”的角色。
此时,被欺骗的两台主机仍然可以正常通信,但在通信过程中却被欺骗者“窃听”。
第二种:IP地址冲突
主机可以发送修改后的ARP报文,将错误的MAC地址强行映射到目的主机的IP地址上,导致目的主机系统检测到两个不同的MAC地址对应着自己的IP地址,从而误认为其中的IP地址如果该地址已被其他主机使用,则报IP地址冲突,Windows系列操作系统会弹出警告对话框,导致网络中断。
第三种:基于ARP欺骗的DOS攻击
1)伪造主机或网关:攻击源伪造一个虚假的主机或网关,让被攻击的主机可以向其发送数据,但不能向真实的主机或网关发送数据,导致攻击者无法在两者之间进行通信或登录主机。 没有网络连接。
网络执法官、网络剪刀手等软件就是利用这种方法来断开目标主机与互联网的连接。
2)直接攻击内网网关:攻击者发送大量ARP报文,超出网关的处理能力,导致所有经过网关的通信中断,网络内的应用也会受到影响。
3)交换机的MAC Flooding:由于交换机CAM缓存可以容纳交换机并负责在两个节点之间建立“虚拟电路”,因此它必须维护交换机端口和MAC地址之间的映射表。 该映射表被放置在交换机存储器中。 然而,由于内存量有限,地址映射表中可以存储的映射条目的数量也有限。
如果恶意攻击者向交换机发送大量虚假MAC地址数据,一些交换机就会不堪重负,导致网络性能下降到网络拥塞或崩溃的地步,导致交换机像一个简单的交换机一样向所有端口发送数据。普通集线器。 通过广播数据,嗅探器可以利用窃听的机会。
4)DHCP服务器DOS攻击:为了方便管理,大多数企业网络都采用DHCP服务器进行IP地址分配管理,攻击者利用DHCP工作过程中缺乏认证机制的漏洞进行攻击。
DHCP 耗尽攻击通过使用伪造的 MAC 地址广播 DHCP 请求来进行。 使用 gobbler 等攻击工具可以轻松实现这一点。
如果发出足够多的请求,网络攻击者可以在一段时间内耗尽提供给 DHCP 服务器的地址空间。
因此,请求 DHCP IP 地址的合法用户也被拒绝访问网络。
DHCP 耗尽可以是纯粹的拒绝服务 (DoS) 机制,也可以与恶意假冒服务器攻击结合使用,将信息转发到准备拦截某些信息的恶意计算机。
当普通的 DHCP 服务器出现故障时,网络攻击者可以在自己的系统中设置一个假的 DHCP 服务器arp攻击源查找软件,以响应来自 LAN 上客户端的新 DHCP 请求。
入侵者可以使用 DNS 服务器或默认网关发布某个地址的信息,他们可以控制其信息的转发。
2、加工流程
由于ARP攻击主要利用ARP协议固有的漏洞,防御难度大,目前还没有完整的解决方案。 我们只能通过一些安全措施来提高网络的安全性。
1)划分VLAN
众所周知,ARP报文是通过广播发送的。 通过VLAN分类,缩小了广播域,一定程度上减少了ARP攻击的范围。
2)静态ARP绑定
ARP协议攻击最根本的原理就是改变IP地址和MAC地址的正确对应关系。 因此,可以使用静态ARP表来防止这种情况,即在目标主机的ARP缓存中设置一条静态地址映射记录。
这样,当主机A向主机B发送数据时,就不需要向局域网广播ARP请求来获取B的MAC地址。 它会直接查询ARP静态记录表来获取B的MAC地址。
攻击者没有机会向 A 发送 ARP 回复。但是,如果攻击者在没有收到 ARP 请求的情况下仍然凭空伪造 ARP 响应并将其发送给 A,A 将拒绝更新 ARP 缓存中的静态记录与伪造的数据。
这种方法的缺点是显而易见的。 在IP地址频繁变化的局域网环境中,由于每台主机都使用ARP静态记录,手动维护非常繁琐,需要大量工作。 这种方法在实际应用中很少使用。 。
3)监控网络并定期广播
为了解决上述方法中维护静态记录工作分散的缺点,可以指定局域网内的一台机器作为ARP服务器进行集中管理,具体是保存和维护一个局域网内所有主机的IP-MAC地址。相对值得信赖的局域网环境。 测绘记录。
服务器通过查询其自己的 ARP 缓存中的静态记录以及所查询主机的名称来响应 LAN 内的 ARP 请求。 以一定的时间间隔广播该网段内所有正确的IP-MAC地址表。
4)DHCP嗅探和动态ARP检测技术
DHCP SNOOPING(DHCP嗅探)是交换机捕获经过它的DHCP响应报文,然后创建一个包含用户MAC地址、IP地址、租期、VLAN ID、交换机端口等信息的表,并添加交换机的端口分为可信端口和不可信端口。
交换机直接丢弃在不可信端口上从 DHCP 服务器收到的数据包的技术。 交换机会在信任端口上直接转发从 DHCP 服务器收到的响应报文,不会丢弃这些报文。 该技术可以有效防御DHCP服务器的DOS攻击。
DAI(Dynamic Arp Inspection)是一种从交换机中的 ARP 报文中提取发送者的 IP 地址和 MAC 地址,然后与 DHCP SNOOPING 生成的表进行比较的方法:
对于二层交换机,如果匹配,则转发ARP包; 如果不匹配,则丢弃该ARP数据包;
对于三层交换机,如果匹配则更新ARP表,如果不匹配则不更新ARP表。
并且可以设置交换机接收ARP报文的PPS(每秒接收的ARP报文数),以防止ARP攻击者发送大量ARP报文。
同时使用这两种技术可以有效防止交换机不同接口之间的ARP欺骗,同时防止DHCP服务器的DOS攻击。
5)增强网络安全意识
不轻易下载、使用有安全风险的盗版软件,或浏览缺乏可信度的网站(网页); 不要打开来历不明的电子邮件,尤其是电子邮件附件;
不要随意共享文件和文件夹。 即使要共享,也必须设置权限。 一般可以指定特定的账户或特定的机器进行访问。 另外,不建议设置为可写或可控,以免个人电脑被木马病毒入侵,影响局域网的安全。 带来隐患。
6)主机应及时更新补丁并安装防病毒软件
有些ARP攻击不是人为造成的,而是由于主机系统缺陷,感染了ARP木马病毒造成的。 因此,经常更新系统补丁、安装和升级防病毒软件是保证网络和计算机安全最重要的步骤。
3、故障原因分析
ARP是整个IP网络的基础之一。 随着网络的不断发展,其安全性必然受到越来越多的关注。
ARP协议的安全漏洞来自于协议设计的缺陷。 ARP协议被设计为一个值得信赖的协议,缺乏合法性验证方法。
上述防御措施也有其自身的局限性。 一般情况下,多种解决方案一起实施,以最大程度地防止ARP攻击的发生。
但很难从根本上解决ARP攻击问题。 最根本的解决办法是重新设计安全地址解析协议。 在IPv6中,人们考虑到了这个问题,不再使用ARP和RARP协议。 相反,他们使用更安全的邻居发现协议(NDP)来防止来自低级攻击的攻击。
四、经验总结
