ARP欺骗攻击的检测及防御技术研究
邢金阁1,刘 扬2
【摘 要】局域网中攻击者利用ARP欺骗对网段内主机进行攻击,严重威胁着局域网的安全。本文通过对攻击者常使用的监听、截获和恶意攻击等ARP欺骗方法的分析,对基于ARP欺骗原理的匹配IP法、数据帧检测法、Echo时间法、ARP应答分析法和工具软件检测法等检测方法进行总结,提出制定ARP缓存更新策略、利用交换设备进行控制等多种防范ARP欺骗的策略,并提出了一种新的防范ARP欺骗算法,从而达到拒绝ARP欺骗、保护网络安全目的。 【期刊名称】东北农业大学学报 【年(卷),期】2012(043)008 【总页数】4
【关键词】ARP欺骗;嗅探;监听;算法;MAC
在局域网中,两台计算机收发数据是根据接收方MAC地址进行寻址,由于物理地址(MAC)是平面地址,考虑到规模化及管理问题,目前采用根据IP寻址方式。如果发送方主机仅知道IP地址,不知道接收方主机MAC地址,在数据包发送前就需得到接收方主机MAC地址[1]。ARP协议工作在局域网的数据链路层,完成32位IP地址到48位MAC地址映射,实现对接收方主机进行物理寻址。网络攻击者通过ARP协议自身漏洞,采用ARP欺骗方式对这种映射关系进行更改,从而破坏正常网络传输。
1 A RP欺骗原理
在以太网中,数据包传输依靠MAC地址,IP地址与MAC对应关系依靠动态生成ARP表。ARP的缓存表能有效保证数据传输。ARP表实现机制不完善,
当主机收到ARP的应答包后,它并不会主动验证这个应答包真实性,而将应答包里MAC地址与IP映射关系替换掉原有的ARP缓存表里映射信息。由于ARP请求是以广播方式进行(目的MAC为FFFFFF),局域网内任意一台主机如未接到地址解析请求,它会向接收主机发送ARP应答包,从而增大ARP欺骗的可行性,为ARP欺骗提供条件[2]。常见ARP欺骗方式主要有监听、恶意攻击和截取等。 1.1 监听
监听是比较常用的一种攻击方式,发动攻击的主机插入到两个正常通信主机之间,用这种方式得到通信双方通信信息,为了更好获取通信信息,监听者需向两个通信主机转发信息从而保证使双方通信能够继续。目前有外网监听和内网监听。
1.1.1 外网监听
假设在同一网段内的主机A与主机B进行通信,主机C为攻击者并处于外网中,要监听A与B主机通信内容,具体示意图如图1所示。
主机C通过网关(或者路由器)监听A和B的通信信息,考虑到信息从内网到外网存活时间(TTL),攻击者通过修改IP分组TTL,从而给发出欺骗包预留足够时间。C发送给A的ARP应答包中源IP地址为192.168.1.20、源物理地址为AB-AB-AB-AB-AB-AB。主要工作原理为:A接收ARP应答包后,更新网络缓存,将信息发送给B主机时寻址方式是按攻击者主机C物理地址,由于ARP协议作用范围只能限制在局域网中,而C主机在局域网外部,这时C主机利用ICMP协议查找并更新A主机所在路由器路由表,本来是要发给B主机信息,先经过路由器,由路由器转发给攻击者。发送给B信息转移到C主机,实
现攻击者对A主机监听。根据同样的道理,攻击者同时实现对B主机监听。 1.1.2 内网监听
在同一局域网内有A、B、C主机,假设C为攻击者且监听A和B主机间通信信息。具体攻击见图2。
内网监听的主要工作原理:C主机首先获取到A和B主机IP地址,通过多种方法获知A和B主机物理地址,例如通过ARP请求、响应信息或通过ping命令等[3]。然后C主机将网卡功能扩展,使之具有转发功能,该模式被称为混杂模式,C主机构造ARP应答包发送给A主机,其中源IP地址192.168.1.20、源物理地址AB-AB-AB-AB-ABAB。
ARP协议就有漏洞,攻击者伪造ARP包,将该包发送给A主机,A主机在接收到攻击者ARP应答包后,开始更新网络缓存,与此同时,攻击者继续用同样的方式向主机B发送ARP应答包,其中源IP地址为192.168.1.10、源物理地址为AB-AB-ABAB-AB-AB,从而完成ARP欺骗过程。 1.2 恶意攻击
在信息安全等相关的技术中,恶意攻击是指网络内部人员有计划地窃听、偷窃和损坏信息,或拒绝其他授权用户的访问。局域网内的攻击者一般采用持续对网内所有的ARP请求采取应答的手段,恶意填入不存在MAC地址,导致主机在更新ARP缓存时,无法正确连接到目标主机,导致通讯中断。另一方面,目标主机持续接收到大量垃圾信息,目标主机丢掉其他源主机发送信息,导致大量数据发送至网关,使网关的负荷增加,出现网络阻塞,无法维持正常通信[4]。恶意攻击是一种比较常见网络攻击方式。 1.3 截取
ARP欺骗攻击的检测及防御技术研究
