网络安全arp欺骗原理及防御手段.doc

甘肃政法学院 本科学年论文（设计） 《网络安全》 题 目 ARP欺骗原理及防御手段 信息工程学院(系)信息管理与信息系统专业2014级本科班 学 号 201481020126 姓 名 马 腾 指导教师 师晶晶 成 绩 完成时间 2016 年 12 月 ARP攻击原理及防御手段 摘 要：ARP攻击是当前计算机网络面临的一大安全隐患一本文仄ARP协议的工作原理入手，分析研究了ARP欺骗攻击的原理，利用虚拟机技术构建虚拟实验平台，结合网络协议分析软件Wireshark，模拟并分析了ARP欺骗攻击的过程-在此基拙上，提出了相应的安全防范措施。 关键词：ARP攻击;地址解析协议;安全防范措施 Principle of ARP attack and defense In this paper: ARP attack is the current computer network faces a big security hidden a suppress the working principle of ARP protocol, this paper analyzed the principle of ARP spoofing attacks, build a virtual experimental platform using the virtual machine technology, combining with Wireshark network protocol analysis software, the simulation and analyses the process of ARP spoofing attacks-basic on this, puts forward the corresponding security measures. Key words: ARP attack; Address resolution protocol; Safety precautions. 目 录 第一章 引言 1 1.1研究背景 1 1.2研究方案 1 第二章 概述 1 2.1 ARP协议及工作原理 1 2.2 ARP欺骗攻击原理 2 2.3 ARP攻击实施 4 2.3.1实验原理 4 2.3.2实验步骤： 5 第三章 防御措施 8 3.1 ARP病毒的症状 8 3.2简单防范措施 8 3.3技术防范措施 8 3.4人员防范措施 9 3.5结束语 9 致谢 10 参考文献 10 第一章 引言 1.1研究背景 在局域网内部，ARP攻击是一种较为频繁发生的攻击。随着网络技术的发展，ARP攻击的手段也在不断变化，其攻击方式复杂多样，冲击力度大大增强。尤其是部分木马和病毒也开始和ARP攻击相结合，使ARP攻击具有更强的隐蔽性和攻击力。如何防御ARP攻击，降低这种攻击带来的危害，已经引起全社会网络专家和网络管理者的广泛关注，并成为目前网络安全界研究的热点问题，现在局域网中感染ARP病毒的情况比较多，清理和防范都很困难，给网络管理员造成了很多困扰。 用户在通过局域网上网过程中，有时会出现网络频繁的掉线或是由于本机的原因影响到其他用户上不了网的现象，这是由于ARP的欺骗攻击造成的。在严重情况下，受ARP欺骗攻击会导致用户信息的泄露、隐私会被窃取或发生干扰上网行为事件。由于ARP自身安全存在着脆弱性，所以造成了这样的问题。为了解决这个问题，有必要通过分析ARP的欺骗攻击原理做出应对的防范措施和对策，确保局域网上网得以通畅。因此我们了解ARP攻击原理是非常有必要的，这样我们就可以去针对性的去进行电脑预防，防止被攻击。 1.2研究方案 首先在对ARP协议相关的理论学习的基础上，重点分析ARP协议的运行机制以及其工作原理，其次分析ARP攻击欺骗原理，接下来以实例进行分析解读，然后说明电脑中ARP病毒症状，最后提出相应的应对措施。 第二章 概述 2.1 ARP协议及工作原理 ARP协议是地址解析协议(Address Resolution Protocol)的英文缩写，用于实现IP地址到网络接口硬件地址的映射。每一台主机都有一个ARP缓存表，表中记录了局域网内的所有主机的IP地址与MAC地址的对应关系。当源主机需要将一个数据包发送到目的主机时，会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址，如有,就直接将数据包发送到该MAC地址；如无，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址，此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到该ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个ARP口向应的数据包，告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP口向应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。 2.2 ARP欺骗攻击原理 ARP欺骗［1］是黑客常用的攻击手段之一，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。 ARP表是IP地址和MAC地址的映射关系表，任何实现了IP协议栈的设备，一般情况下都通过该表维护IP地址和MAC地址的对应关系，这是为了避免ARP解析而造成的广播数据报文对网络造成冲击。ARP表的建立一般情况下是通过二个途径： （1）主动解析:如果一台计算机想与另外一台不知道MAC地址的计算机通信，则该计算机主动发ARP请求，通过ARP协议建立(前提是这两台计算机位于同一个IP子网上)。 （2）被动请求:如果一台计算机接收到了一台计算机的ARP请求，则首先在本地建立请求计算机的IP地址和MAC地址的对应表。 因此，针对ARP表项，一个可能的攻击就是误导计算机建立正确的ARP表。根据ARP协议，如果一台计算机接收到了一个ARP请求报文，在满足下列两个条件的情况下，该计算机会用ARP请求报文中的源IP地址和源物理地址更新自己的ARP缓存： （1）如果发起该ARP请求的IP地址在自己本地的ARP缓存中； （2）请求的目标IP地址不是自己的。 可以举一个例子说明这个过程，假设有三台计算机A，B，C，其中B已经正确建立了A和C计算机的ARP表项。假设A是攻击者，此时，A发出一个ARP请求报文，该ARP请求报文这样构造： （1）源IP地址是C的IP地址，源物理地址是A的MAC地址； （2）请求的目标IP地址是B的IP地址。 这样计算机B在收到这个ARP请求报文后(ARP请求是广播报文，网络上所有设备都能收到)，发现B的ARP表项已经在自己的缓存中，但MAC地址与收到的请求的源物理地址不符，于是根据ARP协议，使用ARP请求的源物理地址(即A的MAC地址)更新自己的ARP表。 这样B的ARP缓存中就存在这样的错误ARP表项：C的IP地址跟A的MAC地址对应。这样的结果是，B发给C的数据都被计算机A接收到。 假设主机A (MAC: CCCCCCCCCC)已知B的IP地址，于是他暂时将自己的IP地址改为B的IP地址。当C想要向B发送数据时，假设目前他的ARP缓存中没有关于B的记录，那么他首先在局域网中广播包含B主机IP地址的ARP请求。但此时A具有与B相同的IP地址，于是分别来自B与A的响应报文将相继到达C。此时，A是否能欺骗成功取决于C的操作系统处理重复ARP响应报文机制。ARP协议处理机制是用后到达的ARP口向应中的地址对刷新缓存中的内容那么，如果A控制自己的ARP响应晚于B的ARP口向应到达C，就实现了ARP欺骗攻击。在这个记录过期之前，凡是C发送给B的数据实际上都发给了A，而C却毫不察觉。欺骗攻击流程如图1所示 更新ARP表B的MAC地址变为 CCCCCCCCCC A回答MAC CCCCCCCCCC 是 错误连接 CCCCCCCCCC 读取ARP表 否 B的MAC是否在ARP中 需要知道B的MAC C需要连接到B 发送ARP广播包 图1 ARP欺骗攻击流程图 2.3 ARP攻击实施 2.3.1实验原理 有三台计算机A，B，C，其中B已经正确建立了A和C计算机的ARP表项。假设A是攻击者，此时，A发出一个ARP请求报文，该ARP请求报文这样构造： （1）源IP地址是C的IP地址，源物理地址是A的MAC(Medium Access Control P80 媒体接入控制)地址； （2）请求的目标IP地址是B的IP地址。 这样计算机B在收到这个ARP请求报文后(ARP请求是广播报文，网络上所有设备都能收到)，发现B的ARP表项已经在自己的缓存中，但MAC地址与收到的请求的源物理地址不符，于是根据ARP协议，使用ARP请求的源物理地址(即A的MAC地址)更新自己的ARP表。 这样B的ARP缓存中就存在这样的错误ARP表项：C的IP地址跟A的MAC地址对应。这样的结果是，B发给C的数据都被计算机A接收到。 需要使用协议编辑软件进行数据包编辑并发送；IP地址分配参考如下表所示，此实验环境位计算机3台。 设备 IP地址 Mac地址后缀 GW 172.20.0.1 /16 00-22-46-07-d4-b8 主机A 172.20.0.3/16 00-22-46-04-60-ac 主机B 172.20.1.178/16 00-24-81-36-00-E8 设备连接如图21所示。 主机B 主机A 交换机 GW 图21设备连接图 2.3.2实验步骤： （1）启动windows实验台，Ping 网关。 （2）在HostBIP为172.20.1.178的主机上使用arp –a命令查看网关的arp的列表，如图22所示。 图22 ARP缓存表 通过上面命令可以看到真实网关的MAC地址为00-22-46-07-d4-b8，可以通过发送ARP数据包改变客户机的ARP列表，将网关的MAC地址改变00-22-46-04-60-ac。 （3）从工具箱中下载工具，编辑ARP数据包，模拟网关路由器发送ARP更新信息，改变主机IP为172.20.1.178的主机的arp列表。首先打开协议编辑软件(需要先安装Wireshark工具)，点击菜单栏“添加”，如下图所示。 图 23 （4）添加一个ARP协议模板，将时间差设置为3毫秒，点击确认添加，如下图所示。 图 24添加ARP模板 （5）修改协议模板的每个值 Ethernet II封装： l 目标物理地址：FF-FF-FF-FF-FF-FF l 源物理地址：00-24-81-36-00-E8 l 类型：0806 ARP封装： l 硬件类型：1 l 协议类型：800 l 硬件地址长度：6 l 协议地址长度：4 l 操作码：1 l 发送物理地址：00-22-46-04-60-AC l 发送IP地址：172.20.0.1 l 目的物理地址：00-24-81-36-00-E8 l 目的IP地址：172.20.1.178 （6）编辑完成并经过校验的数据包，如图25所示。 图25 编辑完成并经过校验的数据包 （7）编辑并校验完成后，点击 发送 按钮，如图26所示。 图26 发送 在HostB上使用命令arp –a命令来查看arp表项，如图27所示。 图27 ARP缓存表 此时，所有向外发送的数据包，都会被转发到攻击者的主机上，从而获得敏感信息。 第三章 防御措施 3.1 ARP病毒的症状 有时候无法正常上网，有时候又好了，包括访问网上邻居也是如此，拷贝文件无法完成，出现错误;局域网内的ARP包激增，使用ARP查询的时候会发现不正常的MAC地址，或者是错误的MAC地址对应，还有就是一个MAC地址对应多个IP的情况也会有出现。 3.2简单防范措施 事实上有一些ARP攻击只需要简单防范，就能够消除，这种消除措施要求不是很高，能够暂时消除故障，但是不能够持续多久，具体操作: （1）重新启动计算机，一旦重新启动了计算机就会让ARP攻击失去环境; （2）对网络设备进行复位，普遍做法就是恢复到出厂设置; （3）禁用网卡，切断目标地址 3.3技术防范措施 （1）对上网用户进行上网认证和地址绑定。在用户侧使用静态IP地址，在汇集交换机上进行IP-MAC对的绑定，同时开启账号+密码++IP+MAC+接入交涣机IP+交换机PORT的六元素绑定。由于将用户名、密码、用户端IP, MAC和接入交换机IP, PORT都对应起来，基本上杜绝了同一MAC对应多个IP和用户MAC对应网关IP的ARP欺骗。 （2）局域网划分ULAN。使用虚拟局域网(VLAN)技术对端口进行隔离，这样就能够将局域网中的逻辑地址划分成许多网段，进而实现了虚拟工作组技术。ARP报文是一种广播报文，它只能在一个广播域内传输，ULAN技术能够将ARP攻击产生出来的报文限制于同一个局域网，能够有效的抑制ARP攻击。 （3）安装ARP防护软件。在局域网内安装ARP防火墙或者是支持ARP过滤的防火墙(如瑞星防火墙、安全卫士360,AntiARP Sniffer等)，对里面的相关选项进行相应设置后，能在一定程度上阻止ARP病毒的传播，并在对外来ARP攻击提供有效保护的同时，能够阻止局域网内的ARP病毒对外造成威胁 （4）使用ARP月民务器。在本地网络中设立ARP月民务器，服务器中保存有本地网络中所有主机的IP地址和硬件地址的对应关系。当网络中的主机需要解析地址时，就向ARP月民务器发送请求，而不是向整个网络中广播ARP请求。服务器收到主机发送来的ARP请求后，就把目标主机的IP地址和硬件地址的对应关系发送给请求者。网络中的所有主机，只接受ARP月民务器发送来的ARP报文。这样，只需保证服务器的安全，就可以避兔本地网络中的ARP欺骗。 使用ARP月民务器不会增加硬件成本，只需在一台比较有安全保障的主机上运行ARP月民务器软件即可。 3.4人员防范措施 计算机用户要养成良好的上网习惯，提高自身的安全意识，不随便打开可疑的文件和程序，及时更新操作系统的补丁，定期对病毒库进行升级和进行全网扫描，这样能够有效防止病毒的泛滥。 3.5结束语 ARP病毒是利用ARP协议的漏洞进行攻击，我们只要了解ARP病毒的攻击原理，通过软硬结合，采用多种安全防范措施来预防ARP攻击，就会把ARP攻击的危害降到最低。如果要从根本上解决这一问题，最好的方法将是重新设计一种安全的地址解析协议。下一代网络协议IPV6针对IPV4不提供网络安全等问题进行了处理，增加了认证机制，使ARP攻击问题得到更好的解决。 致谢 本论文从开始到完成都是在师晶晶导师的悉心指导下，这次论文完成一直都离不开老师于同学的帮助，在这里请接受我诚挚的谢意！在此我向甘肃政法学院信息工程学院14信管班的所有老师表示衷心的感谢，感谢老师们在这3年的对我教诲。 在论文的写作过程中，也得到了许多同学的宝贵建议，同时还得到许多在工作过程中的老师支持和帮助，在此一并致以诚挚的谢意。 感谢所有关心、支持、帮助过我的良师益友。 最后，向在百忙中抽出时间对本文进行评审并提出宝贵意见的各位老师表示衷心地感谢！ 参考文献 ［1］刘建伟.王育民.网络安全—技术与实践［M］；北京；清华大学出版社，2005（6）：29 目 录 第一章 总 论 1 一、项目提要 1 二、可行性研究报告编制依据 2 三、综合评价和论证结论 3 四、存在问题与建议 4 第二章 项目背景及必要性 5 一、项目建设背景 5 二、项目区农业产业化经营发展现状 11 三、项目建设的必要性及目的意义 12 第三章 建设条件 15 一、项目区概况 15 二、项目实施的有利条件 17 第四章 建设单位基本情况 19 一、建设单位概况 19 二、研发能力 20 三、财务状况 20 第五章 市场分析与销售方案 21 一、市场分析 21 二、产品生产及销售方案 22 三、销售策略及营销模式 22 四、销售队伍和销售网络建设 23 第六章 项目建设方案 24 一、建设任务和规模 24 二、项目规划和布局 24 三、生产技术方案与工艺流程 25 四、项目建设标准和具体建设内容 26 五、项目实施进度安排 27 第七章 投资估算和资金筹措 28 一、投资估算依据 28 二、项目建设投资估算 28 三、资金来源 29 四、年度投资与资金偿还计划 29 第八章 财务评价 30 一、财务评价的原则 30 二、主要参数的选择 30 三、财务估算 31 四、盈利能力分析 32 五、不确定性分析 33 六、财务评价结论 34 第九章 环境影响评价 35 一、环境影响 35 二、环境保护与治理措施 35 三、环保部门意见 36 第十章 农业产业化经营与农民增收效果评价 37 一、产业化经营 37 二、农民增收 38 三、其它社会影响 38 第十一章 项目组织与管理 40 一、组织机构与职能划分 40 二、项目经营管理模式 42 三、技术培训 42 四、劳动保护与安全卫生 43 第十二章 可行性研究结论与建议 46 一、可行性研究结论 46 二、建议 47 13