内网ARP攻击的危害及防范方法

   本文介绍了ARP攻击的原理以及由此引发的网络安全问题,并且结合实际情况,提出在校园网中实施多层次的防范方法,以解决因ARP攻击而引发的网络安全问题,最后介绍了一些实用性较强且操作简单的检测和抵御攻击的有效方法。

  您是否遇到局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常?您的网速是否时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常?您是否时常听到教职工的网上银行、游戏及QQ账号频繁丢失的消息?

  这些问题的出现有很大一部分要归功于ARP攻击,我校局域网自去年5月份开始ARP攻击频频出现,目前校园网内已发现的“ARP攻击”系列病毒已经有了几十个变种。据检测数据显示,APR攻击从未停止过,为此有效的防范ARP形式的网络攻击已成为确保网络畅通必要条件。

  一、ARP的基本知识

  1、什么是ARP?

  ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。

  所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。

  在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的,ARP协议对网络安全具有重要的意义。

  2、ARP协议的工作原理

  正常情况下,每台主机都会在自己的ARP缓冲区中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC地址;

  如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。

  如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的 ARP列表中,并利用此信息开始数据的传输。

  1. 要发送网络包给192.168.1.1,但不知MAC地址?

  2. 在局域网发出广播包“192.168.1.1的MAC地址是什么?”

  3. 其他机器不回应,只有192.168.1.1回应“192.168.1.1的MAC地址是00-aa-00-62-c6-09”

  从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。更何况ARP协议是工作在更低于IP协议的协议层,因此它的危害就更加隐蔽。

  二、ARP欺骗的原理

  ARP类型的攻击最早用于盗取密码之用,网内中毒电脑可以伪装成路由器,盗取用户的密码, 后来发展成内藏于软件,扰乱其他局域网用户正常的网络通信,下面我们简要阐述ARP欺骗的原理:假设这样一个网络,一个交换机连接了3台机器,依次是计算机A,B,C

  A的地址为:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AA

  B的地址为:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB

  C的地址为:IP:192.168.1.3 MAC: CC-CC-CC-CC-CC-CC

  第二步:正常情况下在A计算机上运行ARP -A查询ARP缓存表应该出现如下信息。

  Interface: 192.168.1.1 on Interface 0x1000003

  Internet Address Physical Address Type

  192.168.1.3 CC-CC-CC-CC-CC-CC dynamic

  第三步:在计算机B上运行ARP欺骗程序,来发送ARP欺骗包。

  B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD- DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的,A这里只有192.168.10.3(C的IP地址)和无效的DD-DD- DD-DD-DD-DD MAC地址。

  第四步:欺骗完毕我们在A计算机上运行ARP -A来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。

  Interface: 192.168.1.1 on Interface 0x1000003

  Internet Address Physical Address Type

  192.168.1.3 DD-DD-DD-DD-DD-DD dynamic

  上面例子中在计算机A上的关于计算机C的MAC地址已经错误了,所以即使以后从A计算机访问C计算机这个192.168.1.3这个地址也会被 ARP协议错误的解析成MAC地址为DD-DD-DD-DD-DD-DD的。

  当局域网中一台机器,反复向其他机器,特别是向网关,发送这样无效假冒的ARP应答信息包时,严重的网络堵塞就会开始。由于网关MAC地址错误,所以从网络中计算机发来的数据无法正常发到网关,自然无法正常上网。

  这就造成了无法访问外网的问题,另外由于很多时候网关还控制着我们的局域网LAN上网,所以这时我们的LAN访问也就出现问题了。下图更直观的展示了ARP欺骗攻击的情况:

时间: 2024-10-31 22:20:56

内网ARP攻击的危害及防范方法的相关文章

局域网中ARP攻击的查找与防范(Linux环境)

ARP是什么? Address Resolution Protocol是指当知道一个宿主的网络层地址(IP)去寻找对应的链路层地址(hardware address)的一个方法.这个协议在RFC826中有明确的规定.ARP协议已经被实现在各种各样的网络上,它不仅仅是一种IP专用或者局域网专用的协议,它能够映射不同类型的网络层协议地址到实际的物理地址上,但是目前的网络环境下,ARP更多的用来解析IP地址和Mac地址的对应关系.ARP也被用在令牌网络.FDDI.IEEE 802.11和ATM中.在下

局域网内网速度慢的原因及解决方法

1.小编以前和邻居合作过以前签一条网线,这样一条网线的价钱就可以平摊了.可以省下一笔钱.局域网联网网速慢的原因首先可能是本身牵的网线带宽就很小,比如2M的宽带3个人或者3个人以上使用的话那肯定是快不起来的.必须增加带宽即可解决网速慢. 2.如果宽带够的话,那么如果别的用户在下载文件或者在在线观看电影的话,那么同样是严重拖累网速的.这样只要没有人下载占用网速的话是可以恢复正常的. 3.查看电脑是否被中毒了,导致后台有未知程序在运行,这样的话将一些未知进程和未知程序给关掉掉,然后用杀毒软件查杀下即可

内网ssh/mysql登录缓慢的解决方法_Mysql

常公司的开发环境都会布置在内网,然后会有公共的服务器让大家在上面进行开发,测试,所以经常会有ssh连接服务器,或者本地mysql client连接服务器的需求,我个人经历过的公司经常会发生ssh/mysql连接公共服务器非常慢的现象,这是由于ssh服务和mysql服务默认都会在登录时进行DNS反向解析的过程,而内网通常我们没有配备DNS服务,那么这时就只能等这些服务自己超时,然后才能允许我们的登录通过,解决方案也很简单,只要关闭相应服务的解析就行了. 首先是ssh,如下: /etc/ssh/ss

内网安全产品新型阻断方式初探

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 (北京/联合电讯社)--目前大多数内网安全产品在防止非法接入时主要使用ARP欺骗的阻断方式,但ARP欺骗阻断存在很多不足,启明星辰公司对此提出了新的思路,天珣内网安全系统采用多种阻断方式实现主动防御.合规管理. 随着内网安全管理产品在市场上的热销,各种理念的产品层出不穷,但产品同质化趋势明显,尤其是针对终端非法接入内网的阻断方面,手段普遍单一

ARP攻击原理简析及防御措施

0x1  简介 网络欺骗攻击作为一种非常专业化的攻击手段,给网络安全管理者,带来严峻的考验.网络安全的战场已经从互联网蔓延到用户内部的网络,特别是局域网.目前利用ARP欺骗的木马病毒在局域网中广泛传播,导致网络随机掉线甚至整体瘫痪,通讯被窃听,信息被篡改等严重后果. 0x2  ARP协议概述 ARP协议(address resolution protocol)地址解析协议 一台主机和另一台主机通信,要知道目标的IP地址,但是在局域网中传输数据的网卡却不能直接识别IP地址,所以用ARP解析协议将I

利用被入侵的路由器迈入内网

去年开始利用路由器对目标内网进行渗透的方式方法开始研究,测试了一阵了.看到乌云之前有一篇翻译外国人的文章,讲路由器流量劫持的,利用条件苛刻,成效也不大.所以决定写一篇自己实测的例子. 0x01 控制路由器 现在只搞cisco的路由器,但是方法不限于cisco,华为,juniper什么的都可以. 这一步没有什么好的办法,我们利用分布式扫描抓到了一些路由器,再加上其他的漏洞,有了一定数量作为测试保证. 选择一台 cisco c800系列的小企业路由器(很老了) 图1 router version 进

服务器ARP攻击与防范方法总结

ARP欺骗原理: 在局域网中,通信前必须通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址).ARP协议对网络安全具有重要的意义,但是当初ARP方式的设计没有考虑到过多的安全问题,给ARP留下很多的隐患,ARP欺骗就是其中一个例子.而ARP欺骗攻击就是利用该协议漏洞,通过伪造MAC地址实现ARP欺骗的攻击技术. 在同一局域网内的电脑都是通过MAC地址进行通讯的.方法为,PC和另一台设备通讯,PC会先寻找对方的IP地址,然后在通过ARP表(ARP表里面有所以可以通讯IP和IP所对应的M

瑞星支招:让企业网络远离ARP攻击

瑞星支招:让企业网络远离ARP攻击 近年来,很多中小型企业都经常会遭受这样的现象:网络时断时续,而且每隔几分钟就会断一次,但找宽带服务商又无法解决问题,让员工苦不堪言.经常性的断网,使得企业中那些需要进行网络沟通.传输文件的工作根本无法正常进行.同时,这还给企业带来了机密文件被盗的风险.    根据瑞星安全专家解释,其实这就是典型的ARP断网攻击.ARP攻击的主要表现形式就是网络瘫痪,即便马上进行修复,短时间内还会再度爆发.而经过瑞星反病毒实验室分析,ARP攻击多数来自于ARP病毒,这些病毒一般

ARP攻击和浏览器挟持的解决

  在局域网中,通过ARP协议来进行IP地址(第三层)与第二层物理地址(即MAC地址)的相互转换.网吧中的一些设备如路由器.装有TCP/IP协议的电脑等都提供ARP缓存表,以提高通信速度.目前很多带有ARP欺骗功能的攻击软件都是利用ARP协议的这个特点来对网络设备进行攻击,通过伪造的MAC与局域网内的IP地址对应,并修改路由器或电脑的ARP缓存表,使得具有合法MAC的电脑无法与IP对应,从而无法通过路由器上网. 在掉线重启路由器后,ARP缓存表会刷新,网络会在短时间内恢复正常,待ARP攻击启动后