浅谈局域网ARP攻击的危害及防范方法(图)

浅谈局域网ARP攻击的危害及防范方法(图)

 
作者:冰盾防火墙 网站:www.bingdun.com 日期:2015-03-03
 

自 去年5月份开始出现的校内局域网频繁掉线等问题,对正常的教育教学带来了极大的不便,可以说是谈“掉”色变,造成这种现象的情况有很多,但目前最常见的是 ARP攻击了。本文介绍了 ARP攻击的原理以及由此引发的网络安全问题,并且结合实际情况,提出在校园网中实施多层次的防范方法,以解决因ARP攻击而引发的网络安全问题,最后介 绍了一些实用性较强且操作简单的检测和抵御攻击的有效方法。

您是否遇到局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常?您的网速是否时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常?您是否时常听到教职工的网上银行、游戏及QQ账号频繁丢失的消息?……

这些问题的出现有很大一部分要归功于ARP攻击,我校局域网自去年5月份开始ARP攻击频频出现,目前校园网内已发现的“ARP攻击”系列病毒已经有了几十个变种。据检测数据显示,APR攻击从未停止过,为此有效的防范ARP形式的网络攻击已成为确保网络畅通必要条件。

一、ARP的基本知识

1、什么是ARP?

ARP 协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个 主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。

所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。

在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的,ARP协议对网络安全具有重要的意义。

2、ARP协议的工作原理

正 常情况下,每台主机都会在自己的ARP缓冲区中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC地址;

如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。

如 果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆 盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的 ARP列表中,并利用此信息开始数据的传输。
如图:

1. 要发送网络包给192.168.1.1,但不知MAC地址?

2. 在局域网发出广播包“192.168.1.1的MAC地址是什么?”

3. 其他机器不回应,只有192.168.1.1回应“192.168.1.1的MAC地址是00-aa-00-62-c6-09”

从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。更何况ARP协议是工作在更低于IP协议的协议层,因此它的危害就更加隐蔽。

二、ARP欺骗的原理

ARP类型的攻击最早用于盗取密码之用,网内中毒电脑可以伪装成路由器,盗取用户的密码, 后来发展成内藏于软件,扰乱其他局域网用户正常的网络通信,下面我们简要阐述ARP欺骗的原理:假设这样一个网络,一个交换机连接了3台机器,依次是计算机A,B,C

A的地址为:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AA

B的地址为:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB

C的地址为:IP:192.168.1.3 MAC: CC-CC-CC-CC-CC-CC

第二步:正常情况下在A计算机上运行ARP -A查询ARP缓存表应该出现如下信息。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 CC-CC-CC-CC-CC-CC dynamic

第三步:在计算机B上运行ARP欺骗程序,来发送ARP欺骗包。

B
向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-
DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP
缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的,A这里只有192.168.10.3(C的IP地址)和无效的DD-DD-DD-DD-
DD-DD MAC地址。

第四步:欺骗完毕我们在A计算机上运行ARP -A来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 DD-DD-DD-DD-DD-DD dynamic

上面例子中在计算机A上的关于计算机C的MAC地址已经错误了,所以即使以后从A计算机访问C计算机这个192.168.1.3这个地址也会被ARP协议错误的解析成MAC地址为DD-DD-DD-DD-DD-DD的。

当局域网中一台机器,反复向其他机器,特别是向网关,发送这样无效假冒的ARP应答信息包时,严重的网络堵塞就会开始。由于网关MAC地址错误,所以从网络中计算机发来的数据无法正常发到网关,自然无法正常上网。

这就造成了无法访问外网的问题,另外由于很多时候网关还控制着我们的局域网LAN上网,所以这时我们的LAN访问也就出现问题了。下图更直观的展示了ARP欺骗攻击的情况:

三、ARP欺骗的危害

ARP
类型的攻击在校园网中最早出现在去年5月份,目前校园网内的计算机所感染的“ARP欺骗”系列病毒已经有了几十个变种。根据这些变种的工作特点和外部特性
大概可以分为三大类,其中“ARP欺骗”和“恶意窃听”两类对学校局域网的正常运行和网络用户的信息安全的威胁最大。

ARP攻击只要一开始就造成局域网内计算机无法和其他计算机进行通讯,而且网络对此种病毒没有任何耐受度,只要局域网中存在一台感染“ARP欺骗”病毒的计算机将会造成整个局域网通讯中断。

“恶
意窃听”病毒是“ARP欺骗”系列病毒中影响和危害最为恶劣的。它不会造成局域网的中断,仅仅会使网络产生较大的延时,但是中毒主机会截取局域网内所有的
通讯数据,并向特定的外网用户发送所截获的数据,对局域网用户的网络使用造成非常非常严重的影响,直接威胁着局域网用户自身的信息安全。

四、出现ARP攻击的原因及特征

一个正常运行的局域网是不应该出现ARP攻击的,经过长时间的观测,发现ARP攻击的出现主要是由以下几个原因造成的:

1、人为破坏

主要是内网有人安装了P2P监控软件,如P2P终结者,网络执法官,聚生网管,QQ第六感等,恶意监控其他机器,限制流量,或者进行内网DDOS攻击。

2、木马病毒

传奇、跑跑卡丁车、劲舞团等游戏外挂,如:及时雨PK版,跑跑牛车,劲舞小生等,他内含一些木马程序,也会引起ARP欺骗。

其实真正有人恶意捣乱的是很少的,一次两次捣乱,次数多了自己也就腻了,更何况事后网管肯定会找到捣乱的主机,所以说人为破坏是比较好解决的。最麻烦的就是使用带木马的游戏外挂和浏览带有恶意代码的网页。


出现ARP攻击后最明显的特征是网络频繁掉线,速度变慢,查看进程你会发现增加了 down.exe 1.exe cmd.exe
9sy.exe中的任意一个或多个,严重的还能自动还下载威金病毒,logo_1.exe.rundl132.exe,感染可执行文件,图标变花还。

五、常用的防范方法

目前ARP系列的攻击方式和手段多种多样,因此还没有一个绝对全面有效的防范方法。从实践经验看最为有效的防范方法即打全Windows的补丁、正确配置和使用网络防火墙、安装防病毒软件并及时更新病毒库。

对于Windows补丁不仅仅打到SP2(XP)或SP4(2000),其后出现的所有安全更新也都必须及时打全才能最大限度的防范病毒和木马的袭击。此外,正确使用U盘等移动存储设备,防止通过校外计算机传播病毒和木马。

下面介绍防范ARP攻击的几种常用方法:

1、静态绑定

将IP和MAC静态绑定,在网内把主机和网关都做IP和MAC绑定。


骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC的静态绑定,这
样双向绑定才比较保险。缺点是每台电脑需绑定,且重启后任需绑定,工作量较大,虽说绑定可以通过批处理文件来实现,但也比较麻烦。

2、使用防护软件

目前关于ARP类的防护软件出的比较多了,我校常用的一款软件是彩影软件的ARP防火墙.

ARP防火墙采用系统内核层拦截技术和主动防御技术,包含六大功能模块可解决大部分欺骗、ARP攻击带来的问题,从而保证通讯安全(保障通讯数据不被网管软件/恶意软件监听和控制)、保证网络畅通。

3、具有ARP防护功能的网络设备


于ARP形式的攻击而引发的网络问题是目前网络管理,特别是局域网管理中最让人头疼的攻击,他的攻击技术含量低,随便一个人都可以通过攻击软件来完成
ARP欺骗攻击,同时防范ARP形式的攻击也没有什么特别有效的方法。目前只能通过被动的亡羊补牢形式的措施了,本文介绍的方法希望对大家有所帮助。

时间: 2024-10-26 04:48:58

浅谈局域网ARP攻击的危害及防范方法(图)的相关文章

局域网ARP攻击和防护

1?????? ARP攻击原理介绍 1)???????? ARP协议的缺陷 ARP协议是建立在信任局域网内所有节点的基础上的,他的效率很高.但是不安全.它是无状态的协议.他不会检查自己是否发过请求包,也不知道自己是否发过请求包.他也不管是否合法的应答,只要收到目标mac地址是自己的ARP reply或者ARP广播包(包括ARP reply和ARP request),都会接受并缓存. 2)???????? ARP攻击原理 ARP欺骗攻击建立在局域网主机间相互信任的基础上的当A发广播询问:我想知道I

浅谈小网站SEO的几点建设方法

现在很多小企业也开始建站,那该怎样做好小企业的seo呢? 1.通过seo树立品牌 对于小企业来说,当然不能做到像大型企业一样品牌人人皆知.但是与其他同等小企业.竞争对手相比,如果能够在搜索引擎结果中表现良好,就可以树立 良好的形象.所谓"排名第一就是品牌",在搜索引擎中排名第一就能让客户感觉到企业是一个充满活力.办事认真.积极上进的组织,客户第一面就打上了良 好的印象分.排名第一带来的客户在互联网真是数不甚数.那么如何通过seo树立品牌呢?第一,要使自己的企业名.地区行业关键字排名第一

记一次 Ubuntu 使用 arptables 抵御局域网 ARP 攻击

. . . . . 前段时间大概有一个月左右,租房的网络每天都断一次,每次断大概一两分钟左右就恢复了,所以没太在意.直到有一天晚上,LZ 正在写博客,但是网络频繁中断又重新连上再中断.待 LZ 好不容易找了个连上网的空隙把没写完的博文暂存了一下,然后就开始着手排查问题. 通过 arp(1) 命令发现网关的 mac 地址不是房东路由器的地址,于是第一反应便是内网发生了 ARP 攻击. 于是 LZ 打开 Wireshark 开始抓包,发现内网 192.168.1.129 这台主机向内网频繁的发送 A

IIS短文件名泄露漏洞危害及防范方法(转)

攻击方法(转自http://blog.sina.com.cn/s/blog_64a3795a01017xqt.html) 一直在寻找一种方法,如果我可以使用通配符"*" 和 "?"发送一个请求到iis,我意识到当IIS接收到一个文件路径中包含"~"的请求时,它的反应是不同的.基于这个特点,我们可以根据http的响应区分一个可用或者不可用的文件.在以下的表中,文件validxxx.xxx是存在于网站服务器根目录的.(备注:xxx.xxx是指不确定,

浅谈JavaScript DDOS 攻击原理与防御

前言 DDoS(又名"分布式拒绝服务")攻击历史由来已久,但却被黑客广泛应用.我们可以这样定义典型的DDoS攻击:攻击者指使大量主机向服务器发送数据,直到超出处理能力进而无暇处理正常用户的合法请求,最终导致用户无法正常访问网站. 近年来,DDoS攻击手段已日趋多元化——攻击者通过各种奇技淫巧诱使不知情主机参加攻击.比如,[注1]历史上数据量最大(超过400Gbps)的DDoS攻击就是通过[注2]NTP反射完成的.时至今日,我们已经发现一个令人不安的趋势:攻击者通过恶意的JavaScri

浅谈中途相遇攻击--meet-in-the-middle attack

貌似挖的坑也够多了....好多都没填,这篇最后会不会TJ还得看心情TUT 看过大白书的人应该都会发现一种神奇的算法:中途相遇法.(在第58页)这种算法将以空间换时间的思路运用到了极致,但事实上它在密码学中的作用更大 DES在过去的很长时间里都是作为标准出现的,人们花了很多力气都没有发现它有什么唯密文攻击的方法(当然,当密钥恰巧为很少的几个弱密钥时是可行的TUT 不过我们不考虑这种情况),只有暴力破解这一条道.你如果去自习查看下它S-box的构造,肯定为赞赞叹它算法的精妙 DES一共有64bit密

浅谈JSON HiJacking攻击

JSON HiJacking攻击: JSON劫持类似于CSRF攻击,为了了解这种攻击方式,我们先看一下Web开发中一种常用的跨域获取数据的方式:JSONP. 先说一下JSON吧,JSON是一种数据格式,主要由字典(键值对)和列表两种存在形式,并且这两种形式也可以互相嵌套,非常多的应用于数据传输的过程中.由于JSON的可读性强,并且很适合JavaScript这样的语言处理,已经取代XML格式成为主流. JSONP(JSON with Padding)是一个非官方的协议,是Web前端的JavaScr

浅谈跨域攻击及预防

一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求.CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全. 三.CSRF漏洞现状 CSRF这种

浅谈换回Win7系统的 及安装方法

目前很多笔记本新出厂的时候自带的都是Win8系统,但是大多数用户在使用电脑过程中,总觉得很不习惯,毕竟一直都是在用Win7系统,现在一下子换了一个系统,自然不习惯了.Windows 8可以在大部分运行Windows 7的电脑上平稳运行.Windows 8支持个人电脑(X64构架,X86构架)及平板电脑(ARM架构 ).但很多朋友还是比较喜欢win7. 若您确定要将您笔记本预装的Windows 8系统改装为Windows 7系统,安全管家提示你需要注意重要事项: 1.由于您笔记本预装的Window