摘要:针对“ARP攻击与防范”课程教学,分析了ARP协议及ARP攻击的工作原理,提出了一种更好理解“ARP攻击与防范”的课程实验设计方案。
关键词:ARP协议;ARP攻击;ARP防范;实验设计
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)03-611-02
Experimental Design of Courses Based on the ARP Attack and Prevention
SONG Xing-yue
(Department of Information Technology, Liaoning Finance Vocatinal College, Shenyang 110122, China)
Abstract: Based on ARP attack and prevention courses teaching, analyzed the principle of ARP protocol and ARP attacks. A advanced experiment method about the ARP attack and prevention is introduced, and it is helpful for students to study ARP attack and prevention.
Key words: ARP protocol; ARP attack; ARP prevention; experiment design
互联网是一个面向大众的开放系统,设计初衷是信息共享、开放、灵活和快速,对于信息的保密措施和系统的安全性考虑得并不完备,这些特性不可避免地引发一些网络安全问题,而且,这些问题随着信息技术的发展也就日益严重,如何有效地防范各种攻击,增强网络安全性,是一项重要的课题。
网络协议安全是网络安全中的重要领域,研究ARP协议及其在网络攻防中的应用具有积极的意义。但ARP攻击方式在不断变换,就连一些资深的网络管理员也为此感到十分头疼。更何况学校里没有实际工作经验的学生。基于此,本文设计了一套ARP攻击与防范实验方案,增强学生对ARP协议、ARP攻击原理的理解,并提高对网络实际操作和故障解决的能力。
1 ARP协议工作原理
ARP协议,全称Address Resolution Protocol,中文名是地址解析协议,它工作在OSI模型的数据链路层,用于将IP地址转化为网络接口的硬件地址(MAC地址)。无论是任何高层协议的通信,最终都将转换为数据链路层硬件地址的通讯。
当网络中一台主机要向另一台主机或者路由器发送数据时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如有,就直接将数据包发送到该MAC地址;如无,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址,此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到该ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并以超时则删除的策略加以维护。
ARP协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。它不会检查自己是否发过请求包,也不管(其实也不知道)是否是合法的应答,只要收到目标MAC是自己的ARP Reply包或ARP广播包都会接受并缓存,这就为欺骗提供了可能。
2 ARP攻击原理
ARP欺骗的核心思想是向目标主机发送伪造的ARP应答,并使目标主机接收应答中伪造的IP地址与MAC地址之间的映射对,以此更新目标主机ARP缓存。
2.1 ARP攻击过程
设在同一网段的三台主机:A、B、C。其IP地址和MAC地址映射关系如表1所示。
假设A与B是信任关系,A欲向B发送数据包。攻击方C通过前期准备,收集信息,发现B的漏洞,使B暂时无法工作。然后C发送一个源IP地址为192.168.0.3源MAC地址为BB:BB:BB;BB:BB:BB的包给A。由于大多数的操作系统在接收到ARP应答后会及时更新ARP缓存,而不考虑是否发出过真实的ARP请求,所以A接收到应答后,就更新它的ARP缓存,建立新的IP/MAC地址映射对,即192.168.0.2→CC:CC:CC:CC:CC:CC。这样,A就将发往B的数据包发向了C,这就是典型的ARP欺骗过程。
2.2 ARP攻击方式
根据影响网络连接的方式,ARP欺骗技术主要有:对路由器ARP表的欺骗、对局域网内的主机网关欺骗以及IP地址欺骗等等。其中伪造网关是一种典型的ARP欺骗。就是建立假网关,让被它欺骗的主机向假网关发数据,造成无法通过正常的路由器途径上网。虽与其它主机可以连接,就是上不了网了,“网络掉线了”。
3 ARP攻击与防范实验
利用WinArpAttacke的Send功能实现ARP攻击,主机1对主机2发动ARP攻击,导致主机2无法与外界通信,即主机2与主机3ping不同。实验网络拓扑结构如图1所示。
1) 运行WinArpAttacke软件,在Opitions中选择IP地址192.168.10.0网段的网卡Adapter,确定。点击“Scan”能够扫描出这个网段中存活的主机及对应的MAC地址。也可以采用ipconfig/all和arp-a命令获得被攻击前各主机的Mac地址,各主机IP地址及Mac地址对应如表2所示。攻击前各主机均能ping通。
2)主机1发动ARP禁止上网攻击,告诉主机2网关的MAC地址是一个假的MAC地址(00-11-22- 33-44-55),则主机2要发往网关的数据都发不到真正的网关上,在主机1上设置Dst Hardware Mac: 00 -15-58-E8-C2-7B,Src Hardware Mac:00-15-58-E9- 0A-C0,Dst Protocol Mac:00-00-00-00-00-00,Scr Protocol Mac: 00-11-22-33-44-55,Dst IP: 192.168.10.20,Src IP: 192.168.10. 254。选中“Continuously”发送连续欺骗,点击“Send”发送,则主机2会认为网关192.168.10.254的MAC地址为00-11-22-33-44-55,所以主机2 Ping不通主机3。
3) ARP禁止上网攻击的防御:
我们可以在交换机上打开Port Security Arp Check开防止ARP欺骗,配置步骤如下:
Switch#con
Switch
Switch
Switch
Switch
Switch
Switch
配置完毕之后,主机1和主机2打开Ethereal软件进行监听,主机1再对主机2发动ARP禁止上网攻击,通过监听可以看出,主机1发送了ARP数据包但得不到应答,而主机2根本没有收到主机发送过来的ARP数据包,主机2还是可以与主机3之间正常通信。原因在于交换机收到端口5的arp的数据包的地址不是设定的192.168.10.10,则将数据包丢弃,从而防止了ARP欺骗。
4 总结
ARP欺骗是一种典型的欺骗攻击类型,它利用了ARP协议存在的安全隐患,以及通过使用一些专门的攻击工具,使得这种攻击变得普及并有较高的成功率。笔者承担计算机网络技术专业的“网络信息安全”课程教学,在讲到“ARP攻击与防范”课题时采用了这个实验,将抽象复杂的网络协议与实际应用结合起来,极大提高了学生实验积极性,学生反应良好,达到了较好的学习效果。
参考文献:
[1] 任侠.ARP协议欺骗原理分析与抵御方法[J].计算机工程,2003,29(9):1272128.
[2] 傅军.基于ARP协议的欺骗及其预防[J].中国科技论文在线,2007(1):55258.
[3] 马宜兴.网络安全与病毒防范[M].上海:上海交通大学出版社,2007:32.
[4] 黄学林.ARP协议欺骗原理分析及防范措施[J].广东科技,2007,169:172-173.
