浅谈校园网ＡＲＰ欺骗及攻击和安全防范措施

《浅谈校园网ＡＲＰ欺骗及攻击和安全防范措施》由会员分享，可在线阅读，更多相关《浅谈校园网ＡＲＰ欺骗及攻击和安全防范措施（4页珍藏版）》请在装配图网上搜索。

1、浅谈校园网欺骗及攻击和平安防范措施【摘要】本文首先介绍了arp协议的概念和工作原理,接着分析了当前arp病毒的主要类型和特点,最后提出了一些详细的防范措施,来应对arp的欺骗和攻击。本文笔者结合自己的一些网络管理经历,对arp病毒进展了分析和总结,并提出了相应的防范措施。【关键词】apr病毒攻击防范措施一、arp协议及工作原理1.arp协议简介arp协议是addressreslutinprtl地址解析协议的缩写,在局域网中以帧的方式进展传输数据,并且根据帧中目的主机的a地址来进展寻址。在以太网中,一台主机要和另一台主机进展直接通信,就必需要知道目的主机的a地址,这个目的a地址就是通过arp协议

2、获取的,地址解析就是主机在发送帧前将目的主机的ip地址转换成目的主机a地址的过程,这样才能保证局域网内各主机间可靠快速的通信。2.arp协议的工作原理a.在同一个网段内假设主机a和b在同一个网段,主机a要向主机b发送信息。详细的地址解析过程如下。(1)主机a首先查看自己的arp缓存表,确定其中是否包含有主机b对应的arp表项。假如找到了主机b对应的a地址,那么主机a直接利用arp表中的a地址,对ip数据包进展帧封装,并将数据包发送给主机b。(2)假如主机a在arp缓存表中找不到对应的a地址,那么将缓存该数据报文,然后以播送方式发送一个arp恳求报文。由于arp恳求报文以播送方式发送,该网段上的

3、所有主机都可以接收到该恳求,但只有被恳求的主机b会对该恳求进展处理。(3)主机b比拟自己的ip地址和arp恳求报文中的目的ip地址,假如一样那么将arp恳求报文中的发送端主机a的ip地址和a地址存入自己的arp表中。之后以单播方式发送arp响应报文给主机a。(4)主机a收到arp响应报文后,将主机b的a地址参加到自己的arp缓存表中以用于后续报文的转发,同时将ip数据包进展封装后发送出去。b.在不同网段间当主机a和主机b不在同一网段时,主机a就会先向网关发出arp恳求报文。当主机a从收到的响应报文中获得网关的a地址后,将报文封装并发给网关。假如网关没有主机b的arp表项,网关会播送arp恳求,

4、目的ip地址为主机b的ip地址,当网关从收到的响应报文中获得主机b的a地址后,就可以将报文发给主机b;假如网关已经有主机b的arp表项,网关直接把报文发给主机b。二、arp的主要欺骗及攻击方式1.arp欺骗网络欺骗是黑客常用的攻击手段之一,网络arp欺骗分为两种,一种是对路由器arp表的欺骗,另一种是对内网主机的网关欺骗。前一种欺骗的原理是攻击者通过截获分析网关数据,并通知路由器一系列错误的内网ip地址和a地址的映射,按照一定的频率不断进展使真实的地址信息映射无法通过更新保存在路由器中,结果路由器转发数据到错误的a地址的主机,造成正常主机无法收到信息;后一种arp欺骗的原理是伪造网关,它的原理

5、是把真实网关的的ip地址映射到错误的a地址,这样主机在向网关发送数据时,不可以到达真正的网关,假如假网关不能上网,那么真实的主机通过假网关也不能上网。2.中间人攻击按照arp协议的设计,一个主机即使收到的arp应答并非自身恳求得到的,也会将其ip地址和a地址的对应关系添加到自身的arp映射表中。这样可以减少网络上过多的arp数据通信,但也为arp欺骗创造了条件。如图1所示,p-x为x主机,a-x为x主机的物理地址,ip-x为x主机的ip地址。p-a和p-通过交换机s进展通信。此时,假如有攻击者(p-b)想探听p-a和p-之间的通信,它可以分别给这两台主机发送伪造的arp应答报文,使p-a中的a

6、rp缓存表中ip-和a-b所对应,p-中的arp缓存表中ip-a和a-b所对应。此后,p-a和p-之间看似直接的通信,实际上都是通过攻击者所在的主机间接进展的,如图1虚箭头所示,即p-b担当了中间人的角色,可以对信息进展窃取和篡改。这种攻击方式就称作中间人攻击。3.arp泛洪攻击攻击主机持续把伪造的ip地址和a地址的映射对发给受害主机,对于局域网内的所有主机和网关进展播送,抢占网络带宽并干扰正常通信。导致网络中的主机和交换机不停地来更新自己的ip地址和a地址的映射表,浪费网络带宽和主机的pu,使主机间都不能正常通信。除了中间人攻击、arp泛洪攻击外,还有ds攻击等。三、arp攻击的主要防范措施

7、1.ip地址和a地址的静态绑定(1)在用户端进展绑定arp欺骗是通过arp的动态刷新,并不进展验证的破绽,来欺骗内网主机的,所以我们把arp表全部设置为静态可以解决对内网的欺骗,也就是在用户端施行ip和a地址绑定,可以再用户主机上建立一个批处理文件,此文件内容是绑定内网主机ip地址和a地址,并包括网关主机的ip地址和a地址的绑定,并把此批处理文件放到系统的启动目录下,使系统每次重启后,自动运行此文件,自动生成内网主机ip地址到a地址的映射表。这种方法使用于小型的网络中。(2)在交换机上绑定在核心交换机上绑定用户主机ip地址和网卡的a地址,同时在边缘交换机上将用户计算机网卡的ip地址和交换机端口

8、绑定的双重平安绑定方式。这样可以极大程度上防止非法用户使用arp欺骗或盗用合法用户的ip地址进展流量的盗取,可以防止非法用户随意接入网络,网络用户假如擅自改动本机网卡的ip或a地址,该机器的网络访问将被回绝,从而降低了arp攻击的概率。2.采用vlan技术隔离端口局域网的网络管理员可根据需要,将本单位网络规划出假设干个vlan,当发现有非法用户在恶意利用arp欺骗攻击网络,或因合法用户受病毒arp病毒感染而影响网络时,网络管理员可先找到该用户所在的交换机端口,然后将该端口划一个单独的vlan,将该用户与其它用户进展隔离,以防止对其它用户的影响,当然也可以利用将交换机的该端口关掉来屏蔽该用户对网

9、络造成影响。3.采取802.1x认证802.1x认证可以将使未通过认证的主机隔离,当发现某台主机中毒时,将制止其认证从而到达将中毒主机隔离网络的目的。例如,在本人所在学校就是需要上网的用户要提早到网络管理中心登记,也就是在网关中心申请一个用户名,并创立密码,并且把自己的a地址和用户名进展绑定,假如自己的换网卡后,还需要去网络管理中心进展重新绑定。用户上网前首先运行一个客户端软件,输入用户名密码后,通过认证效劳器认证成功后才能上网。4.防火墙和杀毒软件可以安装arp防火墙或者开启局域网arp防护,比方360平安卫士等arp病毒专杀工具,并且实时下载安装系统破绽补丁,关闭不必要的效劳等来减少病毒的攻击。