admin管理员组文章数量:1558098
2024年5月20日发(作者:)
信息
麟麓
科学
浅谈ARP病毒攻击的原理和防治策略
刘士贤
(辽宁职业学院计算机科学系辽宁铁岭l12001)
摘要: 自去年9月份以来,我院出现局域网频繁掉线的问题,给正常的教育教学带来极大的不便,造成这种现象的原因有很多,但主要是ARP攻击造成的。
ARP协议存在着很多缺陷,攻击者正是利用这些漏洞实施ARP地址欺骗,对局域网的通信造成威胁。因此,通过对ARP协议的工作过程以及ARP欺骗原理进行分析,找
到防治ARP攻击的方法,借此来达到维护局域网络安全的目的。
关键词:ARP协议;ARP欺骗;ARP攻击:ARP防治
中图分类号:TP393.08文献标识码:A文章编号:1671--7597(2010)0220047--02
1 ARP病毒攻击的原理
1.1 ARP协议
次是计算机A,B,C。其中A的地址为:IP:192.168.1.1 MAC:AA一从一AA—
AA—AA一从:B的地址为:IP:192.168.1.2 MAC:BB—BB一踮一BB—BB-BB:C的
地址为:IP:192.168.1.3 MAC:CC—CC—CC—CC—CC-CC。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩
写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的
MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要
知道目标主机的MAC地址。但这个目标MAC地址是如何获得的昵?它就是通
过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标
IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备
的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即
AC地址)的,ARP协议对网络安全具有重要的意义。M
正常情况下,每台主机都会在自己的ARP缓冲区中建立一个ARP列表,
以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到
目的主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAc地
址,如果有,就直接将数据包发送到这个MAC地址;如果没有,就向本地网
段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求
数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络
中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的
IP地址一致。如果不相同就忽略此数据包 如果相同,该主机首先将发送
端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该
IP的信息,则将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方
自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到
的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开
始数据的传输。
从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么
就很容易实现在以太网上的ARP欺骗。更何况ARP协议是工作在更低于IP协
议的协议层,因此它的危害就更加隐蔽。
I.2 ARP协议的缺陷
第二步:正常情况下,在A计算机上运行>ARP—a查询ARP缓存表应该
出现如下信息:Interface:192.168.1.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.3 CC—CC—CC—CC—CC-CC dynamic
第三步:在计算机B上运行ARP欺骗程序,来发送ARP欺骗包。B向A发
送一个自己改写的ARP应答,而这个应答中的数据标识为发送方IP地址:
192.168.10.3(C的IP地址),MAC地址是DD—DD一叻一DD-DD—DD(C的MAC地址
本来应该是CC-CC-CC—CC—CC—CC,这里被伪造了)。当A接收到B伪造的
ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。而且A不知道
其实是从B发送过来的,A这里只有192.168.10.3(C的IP地址)和无效的
∞一DD—DD一肋一肋一DD mac地址。
第四步:欺骗完毕后,我们再在A计算机上运行>ARP—a来查询ARP缓存
信息。你会发现原来正确的信息现在已经出现了错误。
Interface:192.168.1.1 on Interface Ox1000003
Internet Address Physical AddresS Type
192.168.1.3 DD—DD—DD—DD-DD-DD dynamic
在上面例子中,计算机A上的关于计算机C的MAC地址已经错误了,所
以以后从A计算机访问C计算机192.168.1.3这个地址也会被ARP协议错误的
解析成MAC地址为DD一叻一DD-DD—DD—DD的。这样,A与C之间就永远无法建立
连接。当局域网中一台机器,反复向其他机器,特别是向网关、发送这样
无效假冒的ARP应答信息包时,严重的网络堵塞就会开始。由于网关MAC地
址错误,所以从网络中计算机发来的数据无法正常发到网关,自然也就无
法正常上网,这就造成了无法访问外网的问题,另外由于很多时候网关还
控制着我们的局域网LAN上网,所以这时我们的LAN访问也就出现问题了。
2 ARP痨毒攻击的防治策略
2.1常见ARP欺骗形式
常见的ARP欺骗有以下五种形式:
1)假冒ARP reply包(单播)
xxx.xxx.XXX.XXX,I have IP YYY.YYY.YYY.YYY and my MAC is ZZ—
ZZ—ZZ—ZZ—ZZ—ZZ.
ARP协议是建立在信任局域网内所有结点的基础上的,它很高效,但
却不安全。它是无状态的协议,不会检查自己是否发过请求包,也不管
(其实也不知道)应答是否合法,只要收到目标MAC是自己的ARP reply包
或arp广播包(包括ARP request和ARP reply),都会接受并出入缓存表
[2]。这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文从而影
响网内结点的通信,甚至可以做“中间人”。
2)假冒ARP reply包(广播)
Hello everyone! I have IP YYY.YYY.YYY.YYY and my MAC is ZZ—
ZZ—ZZ—ZZ—ZZ-ZZ.
1.3 ARP病毒攻击的原理
既然ARP存在缺陷,就必定会被人所利用:首先我们可以肯定一点的
就是发送ARP欺骗包是通过一个恶毒的程序自动发送的,正常的TCP/IP网络
是不会有这样的错误包发送的,而人工发送又比较麻烦。也就是说当黑客
如果没有运行这个恶毒程序的话,网络上通信应该是一切正常的,保留在
向所有人散布虚假的IP/MAC
3)假冒ARP request(广播)
I have IP XXX.XXX.XXX.XXX and my h【AC is YY—YY—YY—YY—YY—YY.
Who has IP ZZZ.ZZZ.ZZZ.ZZZ?tell me please!
各个计算机上的AP2缓存表也应该是正确的,只有程序启动,开始发送错误
ARP信息以及ARP欺骗包后才会让某些计算机访问网络出现问题。接下来我
们来阐述ARP病毒攻击的原理。
第一步:假设有这样一个网络,一个Hub或交换机连接了3台机器,依
表面为找IP ZZZ.ZZZ.ZZZ.ZZZ的MAC,实际是广播虚假的IP、MAC映射
(XXX,YYY).
4)假冒ARP request(单播)
信息
科学
VA 嚣
5)使用代理IP的传输。
已知IP ZZZ.ZZZ.ZZZ.ZZZ的MAC
Hell0 IP ZZZ.ZZZ,ZZZ.ZZZ! I have IP XXX。XXX,Xxx.XXX and my
AC iS YY—YY—YY—YY—YY-YY.M
6)硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路
径。
5)假冒中间人
欺骗主机(MAC为 )上启用包转发,向主机bah发假冒ARP Reply:
AAA.AAA.AAA.AAA,I have IP BBB.BBB.BBB.BBB and my MAC is删一
m卜MM—mf_MM一删.
7)定期用响应的IP包中获得一个RARP请求,然后检查ARP响应的真实
性。
8)管理员定期检查主机上的ARP缓存表是否异常。
9)使用防火墙连续监控网络。
通过以上几种综合的方法来解决ARP病毒攻击是行之有效的,虽然 向主机BBB发假冒ARP Reply:
BBB.BBB.BBB.8BB,I have IP AAA.A从.AAA.AAA and my MAC is删一
ARP病毒版本不断更新、不断升级,但是如果能够提前做好防治工作,相信
ARP的危害会减少到最小的程度。
3结束语
由于ARP是一种存在缺陷的协议,所有它成为了网络攻击的对象。近
删一MM一删一删一姗.
由于ARP Cache的老化机制,有时还需要做周期性连续欺骗。局域网
内的主机想访问外部主机,就必须经过网关。将网关的IP与错误的姒c地址
对应,就成了大部分ARP欺骗行为所选择的做法。利用网关的IP地址进行的
ARP欺骗,其危险之处在于攻击者可以借此控制用户主机的网络数据流向,
即可以指定用户主机向哪个MAC发送数据。这样整个的网络便被攻击者利用
了,而整个网络中的主机也随之失去了无安全保障,当攻击者抓到了一些
重要的包文的时候,用户的隐藏信息,如密码,帐号,银行卡信息就可能
被攻击者窃取。
2 2 ARP病毒攻击的防治策略
1)不要把网络安全信任关系建立在IP基础上或MAC基础上, (RARP同
年来,ARP病毒攻击一直很猖獗,给用户带来了极大的损失。但是只要我们
了解它,进行更加有效的防范,就能减少ARP攻击的危害。同时我们还要积
极探索网络安全技术,维护网络安全,促进信息社会的健康有序发展。
参考文献:
[1]袁家政,计算机网络安全与应用技术[枷.北京:清华大学出版社
2006.
样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
2)设置静态的MAc—MP对应表,不要让主机刷新你设定好的转换
表。
[2]Stevens W R.TCP/IP详解(卷1)协议[M].北京:机械工业出版社
2008.
[3]赵均、陈克非,ARP协议安全漏洞分析及其防御方法[J].信息安全与通
3)除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对
应表中。
4)使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他
机器的ARP广播。
信保密,2006.
作者简介:
刘士贤(1966一),男,汉族,辽宁铁岭人,工学学士,副教授,主要研
究方向:计算机网络技术
(上接第22页)
B开关保护上的配合,虽然B开关的过流I段定值远小于A开关的过流I段定
值,但是一旦B站末端发生三相短路,故障电流势必能同时满足A开关及
B开关的动作电流值及时限,造成了保护无选择性动作,扩大了停电范
围,酿成事故 问题二,其次A开关的过流Ⅱ段取值过大,这样不但不满
足本线路末端两相故障时有1.5倍的灵敏度,甚至根本就无法保护到线路
末端的两相短路,造成了A开关的过流II段的保护死区,所以B开关的过流
I段与之配合也就成了无稽之谈,同时,一旦A站线路末端两相故障时,只
有靠A开关的过流Ⅲ段来切除故障电流,加大了对主设备的损害程度,同
时因为A站主变中后备动作电流整定较小,时限为1.5s,所以和A开关的过
3对策墨建议
1)定值计算是决定保护装置正确动作的关键环节。高度的工作责任
心是定值计算人员应具备的,其次整定计算工作应严格遵守整定计算基本
原则或本公司制定的继电保护整定方案及运行说明,局部问题自行消化,
满足继电保护和安全自动装置可靠性、选择性、灵敏性、速动性的要求,
在不满足时应合理取舍。
2)定值单的执行,必须有正式的定值单为凭证,保护投入前必须由
当值调度员与现场人员进行核对,确认无误。因大部分运行人员对装置内
部不熟悉,建议保护定值放置后核对由继电保护部门执行,多一层把关;
应建立继电保护定值单的闭环管理措施,建立定值单执行签转制度。参与
定值单执行的各部门人员应严肃定值单执行工作。
4结束语
流III段仅靠0.3s的时限来配合,这样对系统来说也是一大隐患。
解决方案:针对A开关和B开关过流I段可能会同时动作的情况,我建
议有两种方法改进:①A开关的过流I段整定细则2应改为按躲过B站
35kV母线故障来整定,缩小A开关的过流I段的保护范围;②停用B站B开
关重合闸,这样就满足前面本公司继电保护整定方案及运行说明的第一
条,很好的解决了其配合问题。针对以上问题二,建议A站A开关的过流lI
保护定值的整定计算一定要按原则执行,每一条每一步都要有其存在
的依据,在不违背上级保护要求的情况下,可以根据本级电网的运行方式
及负荷性质,灵活的处理好继电保护的四要素之间的关系:灵敏性、选择
段整定值去小一点,如果不考虑1.5倍灵敏度的因素,本线路末端两相故
障理论动作值大约1825A,我们可以取1600A,这样我们就可以保证过流II
段没有死区,这样的话保护同样伸进B站lOkV母线,但是通过重合闸的补
救,依然满足要求。
性、可靠性、快速性,千万不能存在保护的死区或是导致保护越级动作。
保护定值的执行与管理也很重要,任何疏忽都是事故的源泉。以上分析希
望大家给以指导,互相交流,共同解决问题。
案例3:某35kV变电所lOkV线路在几天内的同一时间段内均出现过流
保护动作,重合不成功,且通知供电所巡线后均汇报查无异常,然后试送
成功的情况,于是安排变电人员检查变电设备,变电人员汇报变电设备查
无异常,所以怀疑保护定值整定存在问题,于是检查该线路的整定方案,
并未发现异常。最后再次安排变电人员检查变电设备后发现问题所在,该
线路的保护动作值根本就没有达到定值单下达的动作值,立即通知现场检
查保护装置定值放置情况,结果发现该装置定值放置错误,发生误整定事
故。即通知将定值恢复正常,随后类似情况不再发生。
作者简介:
参考文献:
[13射阳供电公司,继电保护整定方案及运行说明,2007年
董永念(1979一),男,本科,助理工程师,主要从事电力调度兼公司运
方专职。
版权声明:本文标题:浅谈ARP病毒攻击的原理和防治策略 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1716168770a489663.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论