ARP 欺骗在局域网中的分析及全面防御-中国论文下载中心

	加入收藏
	设为首页
	关于我们

您现在的位置： 101美术高考网 >> 论文中心 >> 计算机 >> 计算机网络 >> 文章正文

　　ARP 欺骗在局域网中的分析及全面防御

热 ★★★★

ARP 欺骗在局域网中的分析及全面防御

作者：101ms.com 文章来源：中国论文下载中心点击数：更新时间：2008-7-22 9:16:40

能正常通信。3.4 基于 ARP 的 DoS 攻击
DoS(Denial of Service)中文为，拒绝服务攻击。DoS 攻击的目的就是让被攻击主机拒绝用户的服务访问，破环系统的正常运行。最终使用户的部分 Internet 连接和网络系统失效。
[4]基于 ARP 的 DoS 攻击是新出现的一种攻击方式。它的基本原理是：攻击者利用 ARP 欺骗工具，不断向被攻击主机发送大量的连接请求，由于遭到 ARP 欺骗的主机不能够根据 ARP 缓存表找到对方主机，加之主机的处理能力有限，使得它不能为正常用户提供服务，便出现拒绝服务。在这个过程中，攻击者可以使用 ARP 欺骗方式来隐藏自己，这样在被攻击主机的日志上就不会出现攻击者真实的 IP 地址。被攻击主机不能根据日志上提供的 IP 地址找到正真的攻击者。所以在攻击的同时，不会影响到本机，具有很强的隐密性。
以上几种欺骗方式中，第一种最为常见，攻击者通常利用 ARP 木马病毒进行攻击。但是从本质上看，所有的欺骗方式都是一样的，都是利用 ARP 缓存表的老化机制使得 ARP 欺骗有机可乘。
4. ARP 欺骗解决方案
4.1 DHCP 结合静态捆绑法

DHCP 是 Dynamic Host Configuration Protocol（动态主机分配协议）缩写。要想彻底避
免 ARP 欺骗的发生，我们需要让每台计算机的 MAC 地址与 IP 地址唯一且对应。虽然我们可以通过为每台计算机设置 IP 地址的方法来管理网络，但是对于那些通过 ARP 欺骗非法攻击的用户来说，他可以事先自己手动更改 IP 地址，这样检查起来就更加复杂了。
这就需要进行 IP 与 MAC 的双向绑定，也就是说在网关的交换机处静态绑定用户的 MAC
地址和 IP 地址的同时，在客户端静态绑定网关 MAC 地址和 IP 地址以及同一网段的 IP 地址
和 MAC 地址，使之不再动态学习。但这只是一个理想的解决方案，因为这样会大大加重网络管理的负担。网络管理员要非常熟悉交换机设备，因为管理员要在交换机和客户端加入一台计算机并且添加一条记录，否则将无法通信。这就需要提出一种更加全面立体的防御对策。
4.2 几种主要的防御方案
4.2.1 使用交换机进行设置
从交换机的角度，以 Cisco 解决方案为例。思科 Dynamic ARP Inspection (DAI)在交换机上提供 IP 地址和 MAC 地址的绑定，并动态建立绑定关系。DAI 以 DHCP Snooping 绑定表为基础，对于没有使用 DHCP 的服务器个别机器可以采用静态添加 ARP access-list 实现。 DAI 配置针对 VLAN，对于同一 VLAN 内的接口可以开启 DAI 也可以关闭。通过 DAI 可以控制某个端口的 ARP 请求报文数量。这样可以有效地提高网络安全性和稳定性。
配置示例：网际操作系统（IOS）全局命令：
ip dhcp snooping vlan 100,200 /*交换机可以通过 dhcp snooping 功能监听 dhcp 广播报文，记录用户的 ip 地址信息。
no ip dhcp snooping information option ip dhcp snooping
ip arp inspection vlan 100,200 /* 定义对哪些 VLAN（虚拟局域网）进行 ARP 报文检测。
ip arp inspection log-buffer entries 1024
ip arp inspection log-buffer logs 1024 interval 10
网际操作系统接口命令：
ip dhcp snooping trust
ip arp inspection trust /*定义哪些接口是信任接口，通常是网络设备接口， TRUNK 接口等。
ip arp inspection limit rate 15 (pps) /* 检查限制接口每秒 ARP 报文数量（15 脉冲/秒）。对于没有使用 DHCP 设备可以采用下面办法：
arp access-list static-arp /*设置静态 ARP 访问表
permit ip host 192.*.*.* mac host a-a-a-a-a-a/*将 ip 地址 192.*.*.*与 mac a-a-a-a-a-a 静态绑定
ip arp inspection filter static-arp vlan 201
配置 DAI 后的效果：
由于 DAI 检查对 DHCP snooping 绑定表中的 IP 和 MAC 对应关系，所以无法实施中间人攻击，攻击工具失效。图 3 为实施中间人攻击时交换机的警告：

图 3 中间人攻击时交换机的警告
由于对 ARP 请求报文做了速度限制，客户端无法进行认为或者病毒进行的 IP 扫描、探
测等行为，如果发生这些行为，交换机马上报警或直接切断扫描机器。如图 4 所示：

图 4 交换机警报并切断端口过程
用户获取 IP 地址后，不能修改 IP 或 MAC。如果用户同时修改 IP 和 MAC 必须是网络
内部合法的 IP 和 MAC 才可，对于这种修改可以使用 IP Source Guard 技术来防范。图 5 为手动指定 IP 地址的报警：

图 5 手动指定 IP 地址的报警
为了防止局域网外部对局域网进行 ARP 攻击，下面以阿尔法宽带路由器为例介绍基本
的路由器 ARP 表绑定设置。在进行 ARP 绑定前首先要确定网络是正常运行的，然后再进行
ARP 绑定设置。具体设置如下：
⑴ 启用 ARP 绑定功能。默认下该定功能是关闭的，首先打开路由器的管理界面，选择
“MAC 地址绑定”。打开如图 6 所示的界面，勾中“启用 ARP 绑定”，点击“保存”。

图 6 启用 ARP 绑定设置
⑵ 绑定 ARP 表。选择“ARP 映射表”，会打开如下界面（如图 7）：

图 7 ARP 映射表

可以看到当前路由器自动获取的局域网内电脑的 IP 地址与 MAC 地址的映射表。如果
确认这个表是正确的（即所有的电脑都可以正常上网、MAC 地址没有重复，这个表一般就没有错误了。），可以选择某个条目后面的“绑定”操作进行单独的 MAC 地址绑定，也可通过点击“全部绑定”把 ARP 表中的所有条目绑定。如果绑定成功就会看到“状态”项从“未绑定” 变为“已绑定”。为了在路由器重启后使这些绑定条目仍然有效，可以选择“全部导入”把这些条目存入静态 ARP 表，打开“ARP 静态绑定设置”（如图 8 所示）可以看到一个静态的 ARP 映射表已经建立。

图 8 对 ARP 映射表绑定
对于这个静态 ARP 映射表，可以进行修改、删除、取消绑定等操作。点击条目右边的“修
改”就可以修改该条目的 IP 地址、MAC 地址和绑定状态。点击“删除”可删掉该条目。可以点击“取消所有绑定”可把 ARP 表中的所有绑定条目暂时取消，当需要的时候点击“绑定所有条目”就可以重新绑定这些条目。当不再需要这个静态 ARP 表时，点击“删除所有条目”则可以删除整个 ARP 表。。如果已经知道局域网内主机的 MAC 地址，也可以在这里手工输入 MAC 地址、IP 地址来添加静态 ARP 映射条目。如图 9 所示：

图 9 手工设置 IP 地址注意事项：
① 进行绑定置前要确认 ARP 缓存表是正确的。
② 尽量手工设置电脑的 IP 地址，（如图 9）如果是采用 DHCP 动态获取 IP 地址，以后可能会出现获取到的地址与当前绑定的地址不一致而导致某些电脑不能上网。
③ 当更换电脑网卡时要更新静态 ARP 映射表。否则由于更换了网卡的主机的 MAC 地址于 ARP 表中的不一致，也会导致无法上网。
4.2.3 客户端主机进行 ARP 绑定设置
至于个人电脑的绑定设置，可以通过一些软件如：AntiARP-DNS，或者一些自己编写的批处理文件使之能够静态绑定 ARP 缓存表，此外 Windows Vista 也提供了这样的供能。下面仅针对大多数用户介绍一种在命令提示符下绑定 ARP 缓存表的方法。
在本地主机上可以使用 arp –a 命令，显示如图 10：

图 10 命令提示符中运行 arp -a
这就是主机中的 ARP 缓存表。其中“dynamic”代表动态缓存，即这项在收到一个 ARP
包时会被动态修改。如果更改的 ARP 缓存表中的“Physical Address”是被欺骗的虚假的信息，当主机通过 ARP 缓存表按照提供的 MAC 地址进行通信时却不能找到正确的通信对象，因此就不能和其他主机正常通信了。所以，我们要手动建立起可信任的 ARP 缓存表。静态表的建立用 arp -s IP MAC 命令。
执行“arp –s 222.26.12.129 00-e0-fc-49-a9-fb”再次查看 ARP 缓存表：（如图 11）

上一页 [1] [2] [3] 下一页

文章录入：admin 责任编辑：admin

上一篇文章：一种 Ad hoc 网络中节约能耗的 QoS 路由协议

下一篇文章：网络信息分类法构建研究进展

【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

专题栏目