毕业设计论文-arp攻击和防范原理及示例

毕业设计论文-arp攻击和防范原理及示例内容摘要：

Access Control）地址，意译为媒体访问控制，或称为物理地址、硬件地址，用来定义网络设备的位置。 在 OSI 模型中，第三层网络层负责 IP 地址，第二层数据链路层则负责 MAC 地址。 因此一个主机会有一个 MAC 地址，而每个网络位置会有一个专属于它的 IP 地址。 9 Protocol”（地址解析协议）的缩写。 位于 OSI网络七层模型中的第二层 —数据链路层。 在数据链路层中网络中实际传输的封装数据包为数据 “帧 ”， 帧的传播寻址方法是依 靠 目标主机的 MAC地址。 在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的 MAC地址。 这个目标 MAC地址是通过地址解析协议获得的。 Inter上常用到 DNS域名解析是将 IP地址与域名对应起来，而数据链接层的 “ MAC地址解析 ” 原理与 DNS相似，其实就是将网卡的 MAC硬件地址与 IP地址对应，整个“ MAC地址解析 ” 的过程其实就是主机在发送帧前将目标 IP地址转换成目标 MAC地址的过程。 而 ARP协议的基本功能就是通过目标设备的 IP地址， 查询目标设备的 MAC地址，以保证通信的顺利进行。 图 23 互联网名字解析协议原理 在图 23所示的互联网名字解析方法中，每台使用 TCP/IP协议上网的电脑内部都有一个 ARP缓存表，表里的 IP地址与 MAC地址是一一对应的。 这个高速缓存存放了最近 Inter地址 到硬件地址之间的映射记录。 高速缓存中每一项的生存时间一般默认为 2 0分钟（可通过注册表修改），缓存的起始时间从被创建时开始算起。 ARP缓存表 下 图所示。 图 24 ARP缓存表 10 更新 ARP 表 回答MAC:bbbbbbbbbbbb 发送广播包 需要知道 B 的 MAC A 需要连接 B B的 MAC 地址是否在 ARP 表中 连接bbbbbbbbbbbb 读取 ARP 表 举例说明 IPMAC地址表转换工作原理。 在 ，每台主机都会存一张 IPMAC地址对照关系如表 21。 主机 IP地址 MAC地址 A aaaaaaaaaaaa B bbbbbbbbbbbb C cccccccccccc D dddddddddddd 表 21 IP地址与 MAC地址对应表 根据表 21的配置，以主机 A（ ）向主机 B（ ）发送数据为例 ， 整个 ARP查询过程如图 25所示。 否 是 图 25 ARP查询过程图 ARP缓存表采用了老化机制 4，在一段时间内 如果表中的某一行没有使用，就会被删除，这样可以大大减少 ARP缓存表的长度，加快查询速度。 从图 25中可以发现， ARP协议存在一个重大的缺陷：每台主机的 ARP表的更新是信任广播域内所有机器的回应包，也就是在说在 ARP协议中，接受回应帧的主机无法验证回应包的真伪。 所以，在 ARP协议中就很容易实现在以太网中的 ARP欺骗。 4 11 更新 ARP 表 回答： MAC:cccccccccccc 发送广播包 需要知道 B 的 MAC A 需要连接 B B的 MAC 地址是否在ARP 表中 连接 :cccccccccccc bbbbbbbbbbbb 读取 ARP 表 在表 25所示环境，对目标 A进行欺骗。 C发出 ARP回应数据帧到 A，告诉 A“ B的MAC地址是 “ cccccccccccc” ， A接受了假回应包，但是无法验证，于是就将自己的缓存更新了。 结果 ， A去 Ping主机Ｂ却发送到了 “ cccccccccccc” 这个地址上。 如果进行欺骗的时候，把 B的 MAC地址欺骗为 “ cccccccccccc” ，于是A发送到 B上的数据包都变成发送给 C的了。 如此一来 C能够接收到 A发送的数据桢，数据桢的截获成功。 由于 ARP 缓存表项是动态更新的，其生命周期默认是两分钟，如果再没有新的信息更新， ARP 映射项将会自动去除。 所以，如果要保持 A上的错误信息， C接下来要做的就是一直连续不断地向 A和 B发送虚假的 ARP 响应数据帧，让 A的 ARP缓存中保持被篡改了的 映射表项。 否 是 图 26ARP欺骗过程图 图 26 演示了如何运用 ARP 协议固有的缺陷对其进行欺骗，但是仅仅这种欺骗并不能完成对 A 与 B 之间数据交换的窃听与篡改，原因是，光有第二层的欺骗是不够的，在建立起数据连接层欺骗后，虽然 A 对这个变化一点都没有意识到，但是接下来在进行网络层 TCP/IP 握手以及应用层会话建立时由于 C 上并没有能模仿 B 的应用端口监听，所以 A 和 C 是无法建立连续连接的，通常当 TCP/IP 三次握手不成功时， A与 C 的接将断开， C 对接收到 A 发送给 B 的数据包可没有转交给 B。 这种攻击最多也 12 就造成 A 与 B 之间连接中断，无法造成更大危害。 本章介绍数据链接层协议中 ARP协议的先 天缺陷，也是整个 ARP 欺骗攻击的突破口。 ARP攻击程序结构 [12] 随着互联网的发展， ARP 攻击已经从早期简单模式，即发送 ARP 回应包使收欺骗机器无法上网发展到不只是对 ARP 协议层的攻击。 攻击者利用 ARP 信任局域的重大缺陷作为突破口，并通过一系列数据包转发的方法模拟出正常的通讯手段来 欺骗数据收发双方，然后作为一个透明的网关在当中进行监听与数据伪装的方法。 图 27 ARP 攻击的结构框架图 整个攻击的结构如图 27 所示，所有 ARP 类攻击的核心原理是 ARP 协议 MAC地址欺骗。 在数据链接层 MAC 地址欺骗基础上使用类似于路由器的数据包转发技术可形成对攻击目标的网络数据侦听。 然后便可以与各种攻击方式相互结合，达到数据篡改、数据监听、停止服务攻击，以及病毒挂载的目的。 第三章 ARP 攻击类型 [14] 从第二章内容可以看出： ARP 原理存在缺陷，攻击者可以利用缺陷通过 ARP 欺骗对局域网内其它主机进行攻击，目前 ARP 攻击根据其特点可以分为以下三类： 仿冒网关攻击 如 图 31 所示，因为主机 A 仿冒网关向主机 B 发送了伪造的网关 ARP 报文，导致主机 B 的 ARP 表中记录了错误的网关地址映射关系，从而正常的数据不能被网关接收。 13 图 31 仿冒 网关攻击示意图 仿冒网关攻击是一种比较常见的攻击方式，如果攻击源发送的是广播 ARP 报文，或者根据其自身所掌握的局域网内主机的信息依次地发送攻击报文，就可能会导致整个局域网通信的中断，是 ARP 攻击中影响较为严重的一种。 仿冒用户攻击 (1) 欺骗网关 如图 32 所示，主机 A 仿冒主机 B 向网关发送了伪造的 ARP 报文，导致网关的ARP 表中记录了错误的主机 B 地址映射关系，从而正常的数据报文不能正确地被主机 B 接收。 图 32 欺骗网关攻击 14 (2) 欺骗其他用户 如图 33 所示，主机 A 仿冒主机 B 向主机 C 发送了伪造的 ARP 报文，导致主机C 的 ARP 表中记录了错误的主机 B 地址映射关系，从而正常的数据报文不能正确地被主机 B 接收。 图 33 欺骗其他用户攻击示意图 ARP 泛洪 5攻击 网络设备在处理 ARP 报文时需要占用系统资源，同时因为系统内存和查找 ARP表效率的要求，一般网络设备会限制 ARP 表的大小。 攻击者就利用这一点，通过伪造大量源 IP 地址变化的 ARP 报文，使设备 ARP 表溢出，合法用户的 ARP 报文不能生成有效的 ARP 表项，导致正常通信中断。 另外，通过向设备发送大量目标 IP 地址不能解析的 IP 报文，使设备反复地对目标 IP 地址进行解析，导致 CPU 负荷过重，也是泛洪攻击的一种。 ARP攻击的危害 [15] ARP 欺骗不同于通常攻击可造成的巨大破坏。 ARP 欺骗可以造成内部网络的混乱，某些 被欺骗的计算机无法正常访问内外网，让网关无法和客户端正常通信。 实际上他的危害还不仅仅如此，一般来说 IP 地址的冲突我们可以通过多种方法和手段来避免，而 ARP 协议工作在更低层，隐蔽性更高。 系统并不会判断 ARP 缓存的正确与否，无法像 IP 地址冲突那样给出提示。 而且很多黑客工具，可以随时发送 ARP 欺骗数据包和 ARP 恢复数据包，这样就可以实现在一台普通计算机上通过发送 ARP 数据包的方法来控制网络中任何一台计算机的网络连接截获其通讯数据并可做篡改以加。