




版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、新疆机电职业技术学院毕业论文PAGE PAGE 29新疆机电电职业技技术学院院计算机系系毕业论论文题 目:局域网AARP攻攻击及防防范专 业:计算机网网络技术术年 级:高计算机机10班学生姓名名:王文瑞学 号:2010018998指导教师师:李 欣欣20122年12月12日局域网AARP攻攻击及防防范摘要: ARPP攻击,是针对对以太网网地址解解析协议议(ARRP)的的一种攻攻击技术术。此种种攻击可可让攻击击者取得得局域网网上的数数据封包包甚至可可篡改封封包,且且可让网网络上特特定计算算机或所所有计算算机无法法正常连连接。目目前,AARP欺欺骗是黑黑客常用用的攻击击手段之之一,且且ARPP欺骗
2、攻攻击的后后果一般般都是比比较非常常严重的的,大多多数情况况下会造造成大面面积掉线线。有些些网管员员对此不不甚了解解,出现现故障时时,认为为PC没没有问题题,交换换机没掉掉线的“本事”,电信信也不承承认宽带带故障。而且如如果第一一种ARRP欺骗骗发生时时,只要要重启路路由器,网络就就能全面面恢复,那问题题一定是是在路由由器了。为此,宽带路路由器被被认为是是“罪魁祸首首”,而事实实并非如如此。鉴于此此,本文文将论述述ARPP地址解解析协议议的含义义和工作作原理,分析了了ARPP协议所所存在的的安全漏漏洞,分分析网段段内和跨跨网段AARP欺欺骗的实实现过程程。最后后,结合合网络管管理的实实际工作作
3、,介绍绍IP地地址和MMAC地地址绑定定、交换换机端口口和MAAC地址址绑定、VLAAN隔离离等技术术等几种种能够有有效防御御ARPP欺骗攻攻击的安安全防范范策略。最后通过过使用文文中介绍绍安全防防范策略略成功阻阻止P22P终结结者、AArpkkilller等等ARPP攻击软软件的攻攻击验证证了该安安全策略略的有效效性。关键词: ARPP协议 IPP地址 局域域网 MACC地址 网络络安全 LAN ARPP atttacck aand prootecctioonAbsttracct: ARPP atttacck, whiich is bassed on Ethhernnet adddresss
4、ess annalyyticcal prootoccol (ARRP) an atttackk teechnnoloogy. Thhis atttackk maay llet thee atttacckerr haas aa loocall-arrea nettworrk ppackketss off daata or eveen ttampper witth tthe pacckett, aand alllowss neetwoork on speeciffic commputter or alll coompuuterr caannoot nnormmal connnecctioon. A
5、t preesennt, thee ARRP ddeceeptiion is hacckerrs ccommmonlly uusedd atttacck mmeanns oone, annd tthe connseqquenncess off ARRP ddeceeptiion atttackk iss ussuallly commparre vveryy seerioous, inn moost cirrcummstaancees wwilll caauseed eexteensiive callls. Soome nettworrk aadmiinisstraatorr arre nnot
6、 welll uundeersttoodd, mmalffuncctioon, thiink PC no proobleem, swiitchhes diddntt drroppped skkilll, tellecoom ddoess noot aacknnowlledgge bbroaadbaand fauult. Annd iif tthe firrst kinnd oof AARP deccepttionn occcurrs, as lonng aas tthe resstarrt rroutter, thhe nnetwworkk caan ffullly rrecooverr, t
7、thatt prrobllem musst bbe oon aa roouteer. Theerefforee, bbroaadbaand rouuterr iss coonsiiderred thhe cchieef cculppritt, butt thhis is nott thhe ccasee. IIn vvieww off thhis, thhis artticlle wwilll bee diiscuusseed tthe meaaninng oof AARP adddresss aanallytiicall prrotoocoll annd wworkkingg prrincc
8、iplle, anaalyzzes thee exxisttingg ARRP aagreeemeent seccuriity vullnerrabiilittiess, aanallyziing nettworrk ssegmmentt wiithiin aand acrrosss thhe nnetwworkk seegmeent thee reealiizattionn prroceess of ARPP deecepptioon. Finnallly, commbinned witth tthe praactiicall woork of nettworrk mmanaagemment
9、t, iintrroduucess thhe IIP aaddrresss annd MMAC adddresss bbinddingg, sswittch porrt aand MACC adddreess binndinng, as welll aas sseveerall vllanss issolaatioon ttechhnollogyy caan eeffeectiivelly ddefeensee ARRP ddeceeptiion atttackk seecurrityy prreveentiive strrateegy. Fiinallly thrrouggh tthe us
10、ee off inntrooducced saffetyy prreveentiive strrateegy preevenntedd P22P ttermminaatorr, Arppkilllerr ettc AARP atttackk sooftwwaree atttacck vveriifieed tthe efffecttiveenesss oof tthe seccuriity strrateegy.Keyoordss: ARRP agrreemmentt IPP adddreess Buureaau aareaa neet MACC adddreess Neetwoork sec
11、curiity目 录录TOC o 1-3 u引 言言 PAGEREF _Toc344643579 h 2第一章. ARRP协议议简介 PAGEREF _Toc344643580 h 2第二章. ARRP协议议的工作作原理 PAGEREF _Toc344643581 h 3第三章. 分析析ARP协议议存在的的安全漏漏洞 PAGEREF _Toc344643582 h 5一、 分分析ARRP协议议存在的的安全漏漏洞 PAGEREF _Toc344643583 h 5二、 ARPP欺骗检检测方法法 PAGEREF _Toc344643584 h 5(一)主机级级检测方方法 PAGEREF _Toc3
12、44643585 h 5(二)网络级级检测方方法 PAGEREF _Toc344643586 h 5第四章. ARRP欺骗骗攻击的的实现过过程 PAGEREF _Toc344643587 h 6一、 通通过路由由器实现现VLAAN间的的通信 PAGEREF _Toc344643588 h 6二、 公公司网络络实现vvlann间通信信 PAGEREF _Toc344643589 h 6第五章. ARRP攻击击简介 PAGEREF _Toc344643590 h 6一、仿冒冒网关 PAGEREF _Toc344643591 h 7二、欺骗骗网关 PAGEREF _Toc344643592 h 7三
13、、欺骗骗终端用用户 PAGEREF _Toc344643593 h 7四、“中中间人”攻击 PAGEREF _Toc344643594 h 8五、 AARP报报文泛洪洪攻击 PAGEREF _Toc344643595 h 8第六章.攻击安安全防范范策略 PAGEREF _Toc344643596 h 8一、 DDHCPP Snnooppingg功能 PAGEREF _Toc344643597 h 9二、 IIP静态态绑定功功能 PAGEREF _Toc344643598 h 9三、 AARP入入侵检测测功能 PAGEREF _Toc344643599 h 9四、 AARP报报文限速速功能 PA
14、GEREF _Toc344643600 h 9五、 CCAMSS下发网网关配置置功能 PAGEREF _Toc344643601 h 10第七章. ARRP攻击击防御配配置举例例 PAGEREF _Toc344643602 h 10一、 DDHCPP监控模模式下的的ARPP攻击防防御配置置举例 PAGEREF _Toc344643603 h 10(一)组网需需求 PAGEREF _Toc344643604 h 10(二)组网图图 PAGEREF _Toc344643605 h 11(三)配置思思路 PAGEREF _Toc344643606 h 11(四)配置步步骤 PAGEREF _Toc3
15、44643607 h 11(五)注意事事项 PAGEREF _Toc344643608 h 14二、认证证模式下下的ARRP攻击击防御配配置举例例 PAGEREF _Toc344643609 h 15(一)组网需需求 PAGEREF _Toc344643610 h 15(二)组网图图 PAGEREF _Toc344643611 h 16(三)配置思思路 PAGEREF _Toc344643612 h 16(四)配置步步骤 PAGEREF _Toc344643613 h 16(五)注意事事项 PAGEREF _Toc344643614 h 27第八章. 结 论 PAGEREF _Toc34464
16、3615 h 27参考文文献 PAGEREF _Toc344643616 h 28致 谢谢 PAGEREF _Toc344643617 h 28引 言言在局域网网中,网网络中实实际传输输的是“帧”,帧里面面是有目目标主机机的MAAC地址址的。在在以太网网中,一一个主机机要和另另一个主主机进行行直接通通信,必必须要知知道目标标主机的的MACC地址。网吧是是最常见见的局域域网,在在使用过过程中有有时出现现别人可可以正常常上网而而自己却却无法访访问任何何页面和和网络信信息的情情况,虽然造造成这种种现象的的情况有有 很多多,但是是目前最最常见的的就是AARP欺欺骗了,很多黑黑客工具具甚至是是病毒都都是
17、通过过ARPP欺骗来来实现对对主机进进行攻击击和阻止止本机访访问任何何网络信信息的目目的。首先我们们可以肯肯定一点点的就是是发送AARP欺欺骗包是是通过一一个恶毒毒的程序序自动发发送的,正常的的TCPP/IPP网络是是不会有有这样的的错误包包发送的的,而人人工发送送又比较较麻烦。也就是是说当黑黑客没有有运行这这个恶毒毒程序的的话,网网络上通通信应该该是一切切正常的的,保留留在各个个连接网网络计算算机上的的ARPP缓存表表也应该该是正确确的,只只有程序序启动开开始发送送错误AARP信信息以及及ARPP欺骗包包时才会会让某些些计算机机访问网网络出现现问题。ARP欺欺骗可以以造成内内部网络络的混乱乱
18、,让某某些被欺欺骗的计计算机无无法正常常访问内内外网,让网关关无法和和客户端端正常通通信。实实际上他他的危害害还不仅仅仅如此此,一般般来说IIP地址址的冲突突我们可可以通过过多种方方法和手手段来避避免,而而ARPP协议工工作在更更低层,隐蔽性性更高。系统并并不会判判断ARRP缓存存的正确确与否,无法像像IP地地址冲突突那样给给出提示示。而且且很多黑黑客工具具例如网网络剪刀刀手等, 可以以随时发发送ARRP欺骗骗数据包包和ARRP恢复复数据包包,这样样就可以以实现在在一台普普通计算算机上通通过发送送ARPP数据包包的方法法来控制制网络中中任何一一台计算算机的上上网与否否, 甚甚至还可可以直接接对
19、网关关进行攻攻击,让让所有连连接网络络的计算算机都无无法正常常上网。这点在在以前是是不可能能的,因因为普通通计算机机没有管管理权限限来控制制网关,而现在在却成为为可 能能,所以以说ARRP欺骗骗的危害害是巨大大的,而而且非常常难对付付,非法法用户和和恶意用用户可以以随时发发送ARRP欺骗骗和恢复复数据包包,这样样就增加加了网络络管理员员查找真真凶的难难度,所所以跟踪踪防范局局域网AARP欺欺骗类攻攻击的最最新技术术,做到到防范于于未然就就必不可可少。第一章. ARRP协议议简介ARP(Adddresss RResooluttionn Prrotoocoll) ,是由DDaviid CCPluu
20、mmeer在8266intternnet标标准(草案)提出,当时是是为了美美国数字字设备公公司、英英特尔公公司施施乐复印印机公司司等三个个公司的的10 Mbiit以太太网所设设计,在在推广时时也允许许其它类类型的网网络使用用。ARRP也即即地址解解析协议议,该协协议是将将IP地地址与网网络物理理地址一一一对应应的协议议。负责责IP地地址和网网卡实体体地址(MACC)之间间的转换换。也就就是将网网络层(IP层层,也就就是相当当于ISSO/OSII 的第第三层)地址解解析为数数据连接接层(MMAC层层,也就就是相当当于ISSO/OSII的第二二层)的的MACC地址。TCPP/IP协协议中规规定,I
21、IP地址址为322位,由由网络号号和网络络内的主主机号构构成,每每一台接接入局域域网或者者Intternnet的的主机都都要配置置一个IIP地址址。在以以太网中中,源主主机和目目的主机机通信时时,源主主机不仅仅要知道道目的主主机的IIP地址址,还要要知道目目的主机机的数据据链路层层地址,即网卡卡的MAAC地址址,同时时规定MMAC地地址为448位。ARPP协议所所做的工工作就是是查询目目的主机机的IPP地址所所对应的的MACC地址,并实现现双方通通信。第二章. ARRP协议议的工作作原理在网络中中的任何何一台主主机,都都有两个个唯一的的标识。一个是是由322位二进进制组成成lP地址址,用于于在
22、网络络层当中中标识和和查找计计算机,另一个个是由448位二二进制组组成的MMAC地地址,用用于在数数据链路路层中标标识和查查找计算算机。IIP地址址是不能能直接用用来通讯讯的,因因为IPP地址只只是主机机在网络络层中的的地址,如果要要将网络络层中传传输的数数据报交交给目的的主机,还要传传到链路路层变成成MACC帧才能能发送到到实际的的网络上上。因此此IP地址址与MAAC地址址之间就就必须存存在一个个映射表表,而AARP协协议就很很好的解解决了这这些问题题。每一一台安装装有TCCP/IP协议议的计算算机内部部都有一一张ARRP高速速缓存表表,该缓缓存表记记录了最最近一段段时间内内区域网网内与该该
23、计算机机通讯的的其他计计算机的的IP地址址与其相相应的MMAC地地址之间间的对应应关系。当源主主机要发发送lPP数据报报时,数数据链路路层必须须将IPP数据报报封装成成以太网网数据帧帧,才能能在以太太网中传传输。在在封装过过程中,为了找找到与目目的IPP地址对对应的MMAC地地址,源源主机先先会把目目的主机机的lPP的地址址与子网网掩码进进行逻辑辑与操作作,以判判断目的的主机是是否与自自己在同同一个网网段内。如果在在同一网网段内,源主机机会先查查看ARRP高速速缓存是是否有与与目的IIP地址址对应的的MACC地址信信息,如如果MAAC地址址已存在在,就直直接使用用。如果果对应的的信息不不存在,
24、就向本本地网段段发起一一个包含含ARPP请求的的广播包包,查询询此目的的主机对对应的MMAC地地址。此此ARPP请求数数据包里里包括源源主机的的IP地址址、MAAC地址址、以及及目的主主机的llP地址址。网络络中所有有的主机机收到这这个ARRP请求求后。会会检查数数据包中中的目的的IP是否否和自己己的IPP地址一一致。如如果不相相同就忽忽略此数数据包,如果相相同,则则给源主主机发送送一个AARP响响应数据据包,通通过该报报文使源源主机获获得目标标主机的的MACC地址信信息则可可利用此此信息开开始数据据的传输输。假如如目的主主机与源源主机不不在同一一个网段段内,源源主机会会在ARRP高速速缓存中
25、中查找默默认网关关所对应应的MAAC地址址,由默默认网关关再对该该分组进进行转发发。如果果没有,源主机机就会发发送一个个广播包包,查询询默认网网关对应应的MAAC地址址。主机机每隔一一段时间间或者每每收到新新的ARRP应答答就会更更新ARRP缓存存,以保保证自己己拥有最最新的地地址解析析缓存。ARPP协议工工作原理理详见以以下图11和图22。图1 网网段内AARP工工作原理理图2 夸夸网段AARP工工作原理理我们还是是来通过过实验更更加深入入直观地地了解AARP协协议的工工作原理理吧。我我们假设设有两台台主机:A机的的IP地地址是1192.1688.0.1,MMAC地地址是552-554-aa
26、b-227-882-883 。B机的的IP地地址是1192.1688.0.2,MMAC地地址是552-554-aab-227-882-884 。当主机机A想与与主机BB进行通通讯时,A机只只知道BB机的IIP地址址是1992.1168.0.22,当数数据包封封装到MMAC层层时他如如何知道道B的MMAC地地址呢,一般的的OS中中是这样样做的,在OSS的内核核中保存存一分MMAC地地址表,就是我我们一中中介始到到的。用用arpp -aa就可以以看见这这个表的的内容了了,例如如: C:/arpp -aa Inteerfaace: 1992.1168.0.XX onn Innterrfacce 00
27、 x100000002 Inteerneet AAddrresss Phyysiccal Adddresss Tyype 192.1688.0.1 52-54-ab-27-82-83 dyynammic 其中表内内有IPP和MAAC地址址的对应应关系,当要过过进行通通讯时,系统先先查看这这个表中中是否有有相关的的表项,如果有有就直接接使用,如果没没有系统统就会发发出一个个ARPP请求包包,这个个包的目目的地址址为ffffffffffffffff的广广播地址址,他的的作用就就是询问问局域网网内IPP地址为为1922.1668.00.2的的主机的的MACC地址,就像是是A在局局域网中中发信息息找一
28、个个IP地地址为1192.1688.0.2的主主机MAAC地址址,同样样A机把把自已的的MACC地址告告诉出去去是522-544-abb-277-822-833 ,随随后所有有主机都都会接收收到这个个包,但但只有IIP为1192.1688.0.2的BB才会响响应一个个ARPP应答包包给主机机A, B机会会回信息息给A机机说他的的MACC地址是是52-54-ab-27-82-84,好这下下主机AA就知道道B的MMAC地地址了,于时他他就可以以封包发发送了,同时主主机A将将B的MMAC地地址放入入ARPP缓冲中中,隔一一定时间间就将其其删除,确保不不断更新新。 注意,在在这个过过程中,如果主主机A
29、在在发送AARP请请求时,假如该该局域网网内有一一台主机机C的IIP和AA相同,C就会会得知有有一台主主机的IIP地址址同自已已的IPP地址相相同,于于时就蹦蹦出一个个IP冲冲突的对对话筐。与ARRP相对对应的还还有一个个协议RRARPP(Revversse Addrresss Reesollutiion Prootoccol),反向向地址解解析协议议,该协协议主要要用于工工作站模模型动态态获取IIP的过过程中,作用是是由MAAC地址址向服务务器取回回IP地地址。第三章. 分析析ARPP协议存存在的安安全漏洞洞一、 分分析ARRP协议议存在的的安全漏漏洞 ARPP协议是是建立在在信任局局域网内
30、内所有结结点的基基础上的的,它很很高效,但却不不安全。它的主主要漏洞洞有以下下三点。(1)主机地地址映射射表是基基于高速速缓存、动态更更新的,ARPP将保存存在高速速缓存中中的每一一个映射射地址项项目都设设置了生生存时间间,它只只保存最最近的地地址对应应关系。这样恶恶意的用用户如果果在下次次交换前前修改了了被欺骗骗机器上上的地址址缓存,就可以以进行假假冒或拒拒绝服务务攻击。(2)由于ARRP是无无状态的的协议,即使没没有发送送ARPP请求报报文,主主机也可可以接收收ARPP应答,只要接接受到AARP应应答分组组的主机机就无条条件地根根据应答答分组的的内容刷刷新本机机的高速速缓存。这就为为ARP
31、P欺骗提提供了可可能,恶恶意节点点可以发发布虚假假的ARRP报文文从而影影响网内内结点的的通信,甚至可可以做“中间人人”。(3)任何ARRP应答答都是合合法的,ARPP应答无无须认证证,只要要是区域域内的AARP应应答分组组,不管管(其实也也不知道道)是否是是合法的的应答,主机都都会接受受ARPP应答,并用其llPMACC信息篡篡改其缓缓存。这这是ARRP的另另一个隐隐患。目目前主要要存在22种检测测ARPP欺骗的的机制。在主机机级,普普通主机机可以采采用两种种方法检检测自己己的是否否正在被被其它主主机欺骗骗:一种种是主动动探查可可疑的主主机;另另一种是是被动检检查网络络ARPP广播报报文。在
32、在网络级级,处于于网络管管理员控控制下的的机器将将检查所所有的AARP请请求与响响应以查查明异常常并判断断是否出出现ARRP欺骗骗行为。二、 ARPP欺骗检检测方法法主机级检检测方法法主动检检测。当当主机收收到ARRP应答答报文时时,从应应答报文文中提取取MACC地址。然后构构造一个个RARRP请求求报文,这样就就可以得得到这个个MACC地址对对应的IIP地址址,比较较两个IIP地址址,如果果不同,就说明明有主机机进行了了ARPP欺骗。还有另另外一种种方法就就是:主主机定期期向区域域网发送送查询自自己IPP地址的的ARPP请求报报文。如如果收到到其它主主机的应应答。就就说明该该区域网网可能存存
33、在ARRP欺骗骗。被动检检测。当当系统接接收到来来自局域域网上的的ARPP请求时时,系统统检查该该请求发发送端的的IP地址址是否与与自己的的IP地址址相同。如果相相同,则则说明该该网络上上另有一一台机器器与自己己具有相相同的IIP地址址。当然然还有一一种情况况,就是是每当系系统启动动时或更更改主机机IP地址址时,AARP协协议自动动地向本本地网络络发送一一个广播播请求包包,通告告自己的的IP地址址并检测测是否存存在IPP地址冲冲突。由由上可知知,主机机级检测测出来的的异常情情况。可可能是由由于用户户操作失失误或者者其它原原因造成成的,并并不能有有效和准准确的检检测出AARP欺欺骗。下下面介绍绍
34、的检测测方法更更能有效效的检测测出ARRP欺骗骗。网络级检检测方法法通过配配置主机机定期向向中心管管理主机机报告其其ARPP缓存的的内容。这样中中心管理理主机上上的程序序就会查查找出两两台或者者多台主主机报告告信息的的不一致致,以及及同一台台主机前前后报告告内容的的变化。根据这这些情况况可以初初步确定定谁是进进攻者。谁被进进攻者。这里需需要考虑虑的是:每台主主机向衷衷心管理理主机发发送数据据的时间间间隔,如果发发送的间间隔太短短会占用用通讯的的信道。影响整整个区域域网通讯讯的性能能。如果果间隔太太长,以以至超过过攻击者者一次进进攻的时时间。进进攻者可可能在短短时间内内攻击之之后又把把一切都都恢
35、复了了,则失失去意义义。中心管管理主机机上保存存着可信信任的IIPMACC映射表表,然后后通过检检查匹配配网络的的IPMACC映射表表,检测测ARPP欺骗。可信任任的IPPMACC映射表表可以有有管理员员手动配配置。也也可以在在网络正正常时通通过ARRP扫描描获取网网内的IIPMACC映射表表。第四章. ARRP欺骗骗攻击的的实现过过程一、 通通过路由由器实现现VLAAN间的的通信ARP欺欺骗攻击击的核心心就是向向目标主主机发送送伪造的的ARPP应答,并使目目标主机机接收应应答中伪伪造的IIP与MMAC间间的映射射对,并并以此更更新目标标主机缓缓存。设设在同一一网段的的三台主主机分别别为,,详
36、见见表1。表1:同同网段主主机IPP地址和和MACC地址对对应表用户主机机IP地址址MAC地地址A101101100100-EE0-44C-11-11-11B101101100200-EE0-44C-222-222-222C101101100300-EE0-44C-333-333-333假设与与是信信任关系系,欲欲向发发送数据据包。攻攻击方通过前前期准备备,可以以发现的漏洞洞,使暂时无无法工作作,然后后发送送包含自自己MAAC地址址的ARRP应答答给。由于大大多数的的操作系系统在接接收到AARP应应答后会会及时更更新ARRP缓存存,而不不考虑是是否发出出过真实实的ARRP请求求,所以以接收收到
37、应答答后,就就更新它它的ARRP缓存存,建立立新的IIP和MMAC地地址映射射对,即即的IIP地址址101010002对对应了的MAAC地址址00-E0-4C-33-33-33。这样,导致就将发发往的的数据包包发向了了,但但和BB却对此此全然不不知,因因此C就就实现对对A和BB的监听听。二、 公公司网络络实现vvlann间通信信跨网段的的ARPP欺骗比比同一网网段的AARP欺欺骗要复复杂得多多,它需需要把AARP欺欺骗与IICMPP重定向向攻击结结合在一一起。假假设和和在同同一网段段,在在另一网网段,详详见表22。表2:跨跨网段主主机IPP地址和和MACC地址对对应表用户主机机IP地址址MAC
38、地地址A101101100100-EE0-44C-11-11-11B101101100200-EE0-44C-222-222-222C101101100300-EE0-44C-333-333-333首先攻击击方修修改IPP包的生生存时间间,将其其延长,以便做做充足的的广播。然后和和上面提提到的一一样,寻寻找主机机的漏漏洞,攻攻击此漏漏洞,使使主机暂时无无法工作作。此后后,攻击击方发发送IPP地址为为的IIP地址址101010002,MACC地址为为的MMAC地地址000-E00-4CC-333-333-333的ARRP应答答给。接收收到应答答后,更更新其AARP缓缓存。这这样,在在主机上的的I
39、P地地址就对对应的的MACC地址。但是,在发发数据包包给时时,仍然然会在局局域网内内寻找11011011002的MMAC地地址,不不会把包包发给路路由器,这时就就需要进进行ICCMP重重定向,告诉主主机到到101010002的的最短路路径不是是局域网网,而是是路由,请主机机重定向向路由路路径,把把所有到到101010002的的包发给给路由器器。主机机在接接受到这这个合理理的ICCMP重重定向后后,修改改自己的的路由路路径,把把对100100100022的数据据包都发发给路由由器。这这样攻击击方就就能得到到来自内内部网段段的数据据包。第五章. ARRP攻击击简介ARP欺欺骗按照照ARPP协议的的
40、设计,一个主主机即使使收到的的ARPP应答并并非自身身请求得得到的,也会将将其IPP地址和和MACC地址的的对应关关系添加加到自身身的ARRP映射射表中。这样可可以减少少网络上上过多的的ARPP数据通通信,但但也为“ARPP欺骗”创造了了条件。校园网网中,常常见的AARP攻攻击有如如下几中中形式。一、仿冒冒网关攻击者伪伪造ARRP报文文,发送送源IPP地址为为网关IIP地址址,源MMAC地地址为伪伪造的MMAC地地址的AARP报报文给被被攻击的的主机,使这些些主机更更新自身身ARPP表中网网关IPP地址与与MACC地址的的对应关关系。这这样一来来,主机机访问网网关的流流量,被被重定向向到一个个
41、错误的的MACC地址,导致该该用户无无法正常常访问外外网。如如下图:“仿冒网网关”攻击示示意图二、欺骗骗网关攻击者伪伪造ARRP报文文,发送送源IPP地址为为同网段段内某一一合法用用户的IIP地址址,源MMAC地地址为伪伪造的MMAC地地址的AARP报报文给网网关;使使网关更更新自身身ARPP表中原原合法用用户的IIP地址址与MAAC地址址的对应应关系。这样一一来,网网关发给给该用户户的所有有数据全全部重定定向到一一个错误误的MAAC地址址,导致致该用户户无法正正常访问问外网。如下图图:“欺骗网网关”攻击示示意图三、欺骗骗终端用用户攻击者伪伪造ARRP报文,发送源源IP地址址为同网网段内某某一
42、合法法用户的的IP地址址,源MMAC地地址为伪伪造的MMAC地地址的AARP报报文给同同网段内内另一台台合法主主机;使使后者更更新自身身ARPP表中原原合法用用户的IIP地址址与MAAC地址址的对应应关系。这样一一来,网网段内的的其他主主机发给给该用户户的所有有数据都都被重定定向到错错误的MMAC地地址,同同网段内内的用户户无法正正常互访访。如下下图:“欺骗终终端用户户”攻击示示意图四、“中中间人”攻击ARP “中间人人”攻击,又称为为ARPP双向欺欺骗。如如 REF _Ref156550173 r h * MERGEFORMAT ARPP“中间人人”攻击示示意图所所示,HHostt A和和H
43、osst CC通过Swwitcch进行行通信。此时,如果有有恶意攻攻击者(Hosst BB)想探探听Hoost A和Hosst CC之间的的通信,它可以以分别给给这两台台主机发发送伪造造的ARRP应答答报文,使Hoost A和Hosst CC用MACC_B更更新自身身ARPP映射表表中与对对方IPP地址相相应的表表项。此此后,HHostt A 和Hosst CC之间看看似“直接”的通信信,实际际上都是是通过黑黑客所在在的主机机间接进进行的,即Hoost B担当当了“中间人人”的角色色,可以以对信息息进行了了窃取和和篡改。这种攻攻击方式式就称作作“中间人人(Maan-IIn-TThe-Middd
44、lee)攻击击”。如下图图:ARP“中间人人”攻击示示意图五、 AARP报报文泛洪洪攻击恶意用户户利用工工具构造造大量AARP报报文发往往交换机机的某一一端口,导致CCPU负负担过重重,造成成其他功功能无法法正常运运行甚至至设备瘫瘫痪。第六章.攻击安安全防范范策略本文根据据ARPP攻击的的特点,给出了了DHCCP监控控模式下下的ARRP攻击击防御解解决方案案和认证证模式下下的ARRP攻击击防御解解决方案案。前者者通过接接入交换换机上开开启DHHCP Snooopiing功功能、配配置IPP静态绑绑定表项项、ARRP入侵侵检测功功能和AARP报报文限速速功能,可以防防御常见见的ARRP攻击击;后
45、者者不需要要在接入入交换机机上进行行防攻击击配置,而需要要通过CCAMSS服务器器下发网网关的IIP/MMAC对对应关系系给客户户端,防防御“仿冒网网关”攻击。详见 REF _Ref183919519 r h * MERGEFORMAT 常见网络络攻击和和防范对对照表。常见网络络攻击和和防范对对照表攻击方式式防御方法法动态获取取IP地址址的用户户进行“仿冒网网关”、“欺骗网网关”、“欺骗终终端用户户”、“ARPP中间人人攻击”配置DHHCP Snooopiing、ARPP入侵检检测功能能手工配置置IP地址址的用户户进行“仿冒网网关”、“欺骗网网关”、“欺骗终终端用户户”、“ARPP中间人人攻击
46、”配置IPP静态绑绑定表项项、ARRP入侵侵检测功功能ARP泛泛洪攻击击配置ARRP报文文限速功功能动态和手手工配置置IP地址址的用户户进行“仿冒网网关”攻击配置认证证模式的的ARPP攻击防防御解决决方案(CAMMS下发发网关配配置功能能)一、 DDHCPP Snnooppingg功能DHCPP Snnooppingg是运行行在二层层接入设设备上的的一种DDHCPP安全特特性。通过监听听DHCCP报文文,记录录DHCCP客户户端IPP地址与与MACC地址的的对应关关系; 通过设置置DHCCP SSnooopinng信任任端口,保证客客户端从从合法的的服务器器获取IIP地址址。信任端口口正常转转
47、发接收收到的DDHCPP报文,从而保保证了DDHCPP客户端端能够从从DHCCP服务务器获取取IP地址址。不信任端端口接收收到DHHCP服服务器响响应的DDHCPP-ACCK和DHCCP-OOFFEER报文文后,丢丢弃该报报文,从从而防止止了DHHCP客客户端获获得错误误的IPP地址。二、 IIP静态态绑定功功能DHCPP Snnooppingg表只记记录了通通过DHHCP方方式动态态获取IIP地址址的客户户端信息息,如果果用户手手工配置置了固定定IP地址址,其IIP地址址、MAAC地址址等信息息将不会会被DHHCP Snooopiing表表记录。因此,交换机机支持手手工配置置IP静态态绑定表
48、表的表项项,实现现用户的的IP地址址、MAAC地址址及接入入交换机机连接该该用户的的端口之之间的绑绑定关系系。这样样,该固固定用户户的报文文就不会会被ARRP入侵侵检测功功能过滤滤。三、 AARP入入侵检测测功能H3C低低端以太太网交换换机支持持将收到到的ARRP(请请求与回回应)报报文重定定向到CCPU,结合DDHCPP Snnooppingg安全特特性来判判断ARRP报文文的合法法性并进进行处理理,具体体如下。当ARPP报文中中的源IIP地址址及源MMAC地地址的绑绑定关系系与DHHCP Snooopiing表表项或者者手工配配置的IIP静态态绑定表表项匹配配,且AARP报报文的入入端口及
49、及其所属属VLAAN与DHCCP SSnooopinng表项项或者手手工配置置的IPP静态绑绑定表项项一致,则为合合法ARRP报文文,进行行转发处处理。当ARPP报文中中的源IIP地址址及源MMAC地地址的绑绑定关系系与DHHCP Snooopiing表表项或者者手工配配置的IIP静态态绑定表表项不匹匹配,或或ARPP报文的的入端口口,入端端口所属属VLAAN与DHCCP SSnooopinng表项项或者手手工配置置的IPP静态绑绑定表项项不一致致,则为为非法AARP报报文,直直接丢弃弃。四、 AARP报报文限速速功能H3C低低端以太太网交换换机支持持端口AARP报报文限速速功能,使受到到攻击
50、的的端口暂暂时关闭闭,来避避免此类类攻击对对CPUU的冲击击。开启某个个端口的的ARPP报文限限速功能能后,交交换机对对每秒内内该端口口接收的的ARPP报文数数量进行行统计,如果每每秒收到到的ARRP报文文数量超超过设定定值,则则认为该该端口处处于超速速状态(即受到到ARPP报文攻攻击)。此时,交换机机将关闭闭该端口口,使其其不再接接收任何何报文,从而避避免大量量ARPP报文攻攻击设备备。同时时,设备备支持配配置端口口状态自自动恢复复功能,对于配配置了AARP限限速功能能的端口口,在其其因超速速而被交交换机关关闭后,经过一一段时间间可以自自动恢复复为开启启状态。五、 CCAMSS下发网网关配置
51、置功能CAMSS(Commpreehennsivve AAcceess Mannageemennt SServver,综合访访问管理理服务器器)作为为网络中中的业务务管理核核心,可可以与以以太网交交换机等等网络产产品共同同组网,完成用用户的认认证、授授权、计计费和权权限管理理。如 REF _Ref187741199 r h CCAMSS组网示示意图所所示。CAMSS组网示示意图认证模式式的ARRP攻击击防御解解决方案案,不需需要在接接入交换换机上进进行特殊殊的防攻攻击配置置,只需需要客户户端通过过8022.1xx认证登登录网络络,并在在CAMMS上进进行用户户网关的的设置,CAMMS会通通过接
52、入入交换机机,下发发网关的的IP/MACC对应关关系给客客户端,来防御御“仿冒网网关”攻击。第七章. ARRP攻击击防御配配置举例例一、 DDHCPP监控模模式下的的ARPP攻击防防御配置置举例组网需求求某校园网网内大部部分用户户通过接接入设备备连接网网关和DDHCPP服务器器,动态态获取IIP地址址。管理理员通过过在接入入交换机机上全面面部署AARP攻攻击防御御相关特特性,形形成保护护屏障,过滤掉掉攻击报报文。详详细网络络应用需需求分析析如下。校园网用用户分布布在两个个区域HHostt arrea11和Hosst aareaa2,分分别属于于VLAAN100和VLAAN200,通过过接入交交
53、换机SSwittch A和Swiitchh B连连接到网网关Gaatewway,最终连连接外网网和DHHCP。Hostt arrea11所在子子网内拥拥有一台台TFTTP服务务器,其其IP地址址为1992.1168.0.110/224,MACC地址为为0000d-885c77-4ee00。为防止仿仿冒网关关、欺骗骗网关等等ARPP攻击形形式,开开启Swwitcch AA上VLAAN100内、Swwitcch BB上VLAAN200内ARPP入侵检检测功能能,设置置Swiitchh A和和Swiitchh B的的端口EEtheerneet1/0/11为ARPP信任端端口。为防止AARP泛泛洪攻击
54、击,在SSwittch A和Swiitchh B所所有直接接连接客客户端的的端口上上开启AARP报报文限速速功能。同时,开启因因ARPP报文超超速而被被关闭的的端口的的状态自自动恢复复功能,并设置置恢复时时间间隔隔1000秒。组网图DHCPP监控模模式下的的ARPP攻击防防御组网网示意图图配置思路路在接入交交换机SSwittch A和Swiitchh B上上开启DDHCPP snnooppingg功能,并配置置与DHHCP服服务器相相连的端端口为DDHCPP snnooppingg信任端端口。在接入交交换机SSwittch A上为为固定IIP地址址的TFFTP服服务器配配置对应应的IPP静态绑
55、绑定表项项。在接入交交换机SSwittch A和Swiitchh B对对应VLLAN上上开启AARP入入侵检测测功能,并配置置其上行行口为AARP信信任端口口。在接入交交换机SSwittch A和Swiitchh B直直接连接接客户端端的端口口上配置置ARPP报文限限速功能能,同时时全局开开启因AARP报报文超速速而被关关闭的端端口的状状态自动动恢复功功能。配置步骤骤使用的版版本本举例中中使用的的接入交交换机SSwittch A和Swiitchh B为为E1226A系系列以太太网交换换机。配置客户户端动态态获取IIP地址址。配置客户户端自动动获取IIP地址址示意图图配置Swwitcch AA#
56、 创建建VLAAN100,并将将端口EEtheerneet1/0/11到Ethhernnet11/0/4加入入VLAAN100中。 sysstemm-viiewSwiitchhA vlaan 110SwiitchhA-vvlann10 poort Ethhernnet 1/00/1 to Ethhernnet 1/00/4SwiitchhA-vvlann10 quuit# 配置置Swiitchh A的的上行口口为DHHCP snooopiing信信任端口口。SwiitchhA intterffacee ettherrnett1/00/1SwiitchhA-EEtheerneet1/0/11 d
57、dhcpp-snnooppingg trrusttSwiitchhA-EEtheerneet1/0/11 qquitt# 开启启DHCCP ssnooopinng。SwiitchhA dhccp-ssnooopinng# 在SSwittch A的端端口Ettherrnett1/00/4上上配置IIP静态态绑定表表项。SwiitchhA intterffacee Ettherrnett1/00/4SwiitchhA-EEtheerneet1/0/44 iip ssourrce staaticc biindiing ip-adddresss 1192.1688.0.10 macc-adddrees
58、s 0000d-885c77-4ee00SwiitchhA-EEtheerneet1/0/44 qquitt# 配置置Swiitchh A的的上行口口为ARRP信任任端口。SwiitchhA intterffacee ettherrnett1/00/1SwiitchhA-EEtheerneet1/0/11 aarp dettecttionn trrusttSwiitchhA-EEtheerneet1/0/11 qquitt# 开启启VLAAN 110内所所有端口口的ARRP入侵侵检测功功能。SwiitchhA vlaan 110SwiitchhA-vvlann10 arrp ddeteecti
59、ion enaableeSwiitchhA-vvlann10 quuit# 开启启Swiitchh A的的端口EEtheerneet1/0/22、Ethhernnet11/0/3上的的ARPP报文限限速功能能。SwiitchhA intterffacee Ettherrnett1/00/2SwiitchhA-EEtheerneet1/0/22 aarp ratte-llimiit eenabbleSwiitchhA-EEtheerneet1/0/22 aarp ratte-llimiit 220SwiitchhA-EEtheerneet1/0/22 qquittSwiitchhA intter
60、ffacee Ettherrnett1/00/3SwiitchhA-EEtheerneet1/0/33 aarp ratte-llimiit eenabbleSwiitchhA-EEtheerneet1/0/33 aarp ratte-llimiit 220SwiitchhA-EEtheerneet1/0/33 qquitt# 配置置端口状状态自动动恢复功功能,恢恢复时间间间隔为为1000秒。SwiitchhA arpp prroteectiive-dowwn rrecooverr ennablleSwiitchhA arpp prroteectiive-dowwn rrecooverr in
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 餐饮部管理规范2
- 猪场安全培训课件
- 《XX市-区托育服务综合服务指导中心项目可行性研究报告》
- 生活护理清洁技巧
- 公司云之家培训
- 统编版高中政治必修4《哲学与文化》第1~3单元+期末共4套测试卷(含答案)
- 寒衣节防火教育
- 中老年养生健康知识讲座
- 罕见病药物研发激励政策2025年影响分析:产业升级与市场拓展报告
- 肿瘤患者健康教育教学体系构建
- 简单装饰装修施工方案范本
- 小学生三好学生竞选演讲稿PPT幻灯片
- 自动理料机和包装机安全操作规定
- 检验MSA-Kappa测试报告
- Oracle-ERP-EBS-应付模块AP培训
- 古诗词九宫格题目课件
- 玄隐遗密全文及译文
- 2023年浙江杭州西湖区专职社区工作者招考聘用55人笔试题库含答案详解
- IBNR准备金计提规定
- 2023年药学分子生物学题库
- 仁爱初中英语九上教案设计u3t1sa
评论
0/150
提交评论