ＡＲＰ协议分析及ＡＲＰ欺骗类病毒的防御-通信(2)

2013-07-07 01:44

导读：(3)从而使得AB 之间的通信形式变成ACB,实现了中间人攻击。在被动攻击中,攻击者C只在A或者B发送ARP请求数据包时,延时一段时间发送应答数据包,使得自己的

　　(3)从而使得A←→B 之间的通信形式变成A←→C←→B,实现了中间人攻击。
　　在被动攻击中,攻击者C只在A或者B发送ARP请求数据包时,延时一段时间发送应答数据包,使得自己的应答包在正确的应答包之后到达,防止自己修改的相应主机的ARP 列表被正确的应答包再次修改。
　　那么主机A发往网关B的报文都会被发往攻击主机C,造成主机A突然断网。如果攻击主机向网关B转发了来自主机A的报文,那么主机A能通过攻击主机C继续上网,但其上网质量完全取决于攻击主机C,通常表现为时断时续。
　　例如,网络上有3台主机,有如下的信息:
　　主机名 IP地址硬件地址
　　 A 202.206.208.1AA:AA
　　 B 202.206.208.2 BB:BB
　　 C 202.206.208.3 CC:CC
　　这三台主机中,C是一台被入侵者控制了的主机,而A信任B,入侵者的目的就是要伪装成B获得A的信任,以便获得一些无法直接获得的信息等。
　
　　四、 ARP欺骗防范和解决方案
　　
　　1.手动防御
　　防御ARP欺骗的简单方法是网络管理员分别在主机和路由器上静态绑定地址映射。这种方法非常有效,但仅适用于小规模的局域网,而且这种方法不适用于DHCP自动分配地址的情况,也不能适应网络的动态变化。对于大型动态IP的网络,建立DHCP服务器(建议建在网关上)。所有客户机的IP地址及其相应主机信息,只能由网关这里取得,网关开通DHCP服务,保持网内的机器IP/MAC一一对应的关系。在由DHCP服务器构成的动态分配主机IP的环境中,主机申请IP时的MAC地址和IP地址是一一配对的,也是唯一的,上述的攻击主机C也不能例外,不可能利用一个MAC地址申请到多个IP地址,更不可能申请到网关地址。同时,网关机器关闭ARP动态刷新的过程,使用静态路由,这样的话,即使犯罪嫌疑人使用ARP欺骗攻击网关的话,这样对网关也是没有用的,确保主机安全,即可防御冒充主机欺骗网关的ARP欺骗。中国大学排名
　　另一方面通过arp-s命令,在PC上绑定网关的MAC和IP地址,这样可以防御冒充网关欺骗主机的ARP欺骗。
　　另一种有效的手动防御方法是在局域网中增加VLAN的数目,减少VLAN中的主机数量。局域网管理员可以根据本单位的网络拓扑结构划分若干个VLAN,这样既能够在发生ARP攻击时减少所影响的网络范围,又能够在发生ARP攻击时便于定位出现的网段和具体的主机。缺点同样是增加了网络维护的复杂度,也无法自动适应网络的动态变化。
　　2.使用ARP服务器
　　在局域网内部的设置一台机器作为ASP服务器,专门保存并且维护网络内的所有主机的IP地址与MAC地址映射记录,使其他计算机的ARP配置只接受来自ARP服务器的ARP响应。当有ARP请求时该服务器通过查阅自己缓存的静态记录并以被查询主机的名义响应ARP局域网内部的请求,从而防止了ARP欺骗攻击的发生。但是这个方法也有不足,首先要保证ARP服务器不被攻击,确保ARP服务器的安全;其次要保证主机只接受指定ARP服务器的ARP响应报文。如何做到这一点,目前还是比较困难的。

　　3.ARP欺骗的解决措施
　　以上只是对ARP欺骗的防御手段,但对于局域网中已经有机器中了ARP欺骗木马,伪造网关,则可采用以下方法解决。
　　判断攻击机的IP地址
　　某计算机所处网段的路由IP地址为xx.xx.xx.1,本机地址为xx.xx.xx.8,在计算机上DOS命令行中运行arp-a后输出如下:
　　C:\Documents and Settings\Administrator>arp-a
　　Interface:xx.xx.xx.8---0x10003
　　Internet Address Physical AddressType
　　xx.xx.xx.100-01-02-03-04-05dynamic
　　其中,00-01-02-03-04-05就是路由器xx.xx.xx.1对应的MAC地址,类型为动态,因此可被改变。正常情况下,xx.xx.xx.1和00-01-02-03-04-05始终对应。被攻击后,重复使用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,而且攻击机器的MAC地址和真正的网关MAC地址会出现交替现象,如（科教范文网http://fw.ΝsΕΑc.com编辑）
　　C:\Documents and Settings\Administrator>arp-a
　　Interface:xx.xx.xx.8---0x10003
　　Internet Address Physical AddressType
　　xx.xx.xx.100-01-02-03-04-05dynamic
　　xx.xx.xx.600-01-02-03-04-05dynamic
　　由此可判断xx.xx.xx.6的计算机就是攻击机,接下来就要判断攻击机的MAC地址并对连接该主机端口进行定位,定位操作主要通过SNMP协议完成。最后关闭交换机上受病毒感染的端口并对通过端口查出的相应用户进行彻底查杀。当然也可以直接下载ARP欺骗检测工具,如ARP Checker可以有效的定位到发起ARP欺骗的主机。
　
　　五、结论
　　
　　通过以上几种方法来解决ARP病毒对于局域网的欺骗攻击是比较有效果的。但是由于ARP病毒版本在不断更新升级中,所以仍会给局域网用户带来新的冲击与危害。因此有必要提前做好局域网ARP病毒的防范工作,使得ARP病毒的危害减少到最小程度。当然,在网络安全领域,没有任何一种技术手段可以解决所有的问题,对于各种类型的网络攻击,经常查看当前的网络状态,对网络活动进行分析、监控、采取积极、主动的防御行动是保证网络安全和畅通的重要方法。网络管理员应当密切检查网络,不断提高自身的技术水平,确保网络安全的正常运行。
　　
　　参考文献:
　　[1]张胜伟:基于DAI的ARP欺骗深度防御[J].计算机安全, 2009,(01)
　　[2]李新:ARP欺骗防御技术的研究[J].商场现代化,2008(36)
　　[3]陈天洲陈纯谷小妮等:计算机安全策略[M].浙江大学学报,2004年

上一篇：浅议水情自动测报系统通信方式的选择-通信工程下一篇：没有了