ARP欺骗防范与追踪祥解VIP免费

摘要论述了ARP欺骗的特征，分析了ARP欺骗产生的原理，并根据长期的实践经验，总结了一套ARP欺骗防范与追踪的策略。关键词ARP欺骗；局域网；MAC地址1引言ARP协议，又称地址解析协议，简单说就是通过IP地址来查询目标主机的MAC地址。ARP协议在以太网主机通信中发挥至关重要的作用。然而，事物都有两面性，如果ARP协议被黑客利用，通过伪造IP地址和MAC地址实施ARP欺骗，将会在网络中产生大量ARP通信流量从而使网络发生拥塞，或者通过实施“ManInTheMiddle”进行ARP重定向和嗅探攻击。我校网络核心层为思科6500系列三层交换机，分布层和接入层采用思科和瑞捷交换机，IP地址采取静态分配。本篇所讨论的ARP防治策略，即是在此种网络环境下归纳的。2ARP欺骗现象在局域网内，攻击源主机不断发送ARP欺骗报文，即以假冒的网卡物理地址向同一子网的其它主机发送ARP报文，甚至假冒该子网网关物理地址蒙骗其它主机，诱使其它主机经由该病毒主机上网。真网关向假网关的切换，会导致网内用户断网。当攻击源主机断电或离线，网内其它主机自动重新搜索真网关，这个过程又会导致用户断一次网。所以某子网内，只要存在一台或多台这样的攻击源主机，就会使其它主机上网断断续续，严重时将致使整个网络陷于瘫痪。上述现象即是一种典型ARP欺骗，除了影响网络运行效率，攻击者也会趁机窃取网内用户的帐号和密码。因为发送的是ARP报文，具有一定的隐秘性，如果侵占系统资源不是很大，又无防病毒软件监控，一般用户不易察觉。3ARP欺骗分析3.1原理简析局域网内某主机运行ARP欺骗程序时，会诱骗局域网内所有主机和路由器，使上网流量必须经由该病毒主机。原来通过路由器上网的用户现在转由病毒主机，这个切换会致使用户断线。切换到病毒主机上网后，如果用户已经登录了传奇服务器，病毒主机会不断制造断线的假象，用户就得重新登录，病毒主机就可以趁机实施盗号行为。ARP欺骗木马程序发作会发送大量数据包，从而导致局域网通讯拥塞，受自身处理能力的限制，用户会感觉网速越来越慢。ARP欺骗木马程序停止运行，用户会恢复从路由器上网，该切换则会导致用户再次断网。3.2欺骗方式3.2.1一般冒充欺骗这是一种比较常见的攻击，通过发送伪造的ARP包来实施欺骗。根据欺骗者实施欺骗时所处的立场，可分为三种情况：冒充网关欺骗主机、冒充主机欺骗网关、冒充主机欺骗其它主机。在冒充网关欺骗中，欺骗者定时且频繁的对本网发送ARP广播，告诉所有网络成员自己就是网关，或者以网关身份伪造虚假的ARP回应报文，欺骗局域网内的其它主机，这样子网内流向外网的数据就可以被攻击者截取；冒充主机欺骗网关的过程跟冒充网关的过程相反，欺骗者总是通过虚假报文告诉网关，自己就是目标主机，从而使网关向用户发送的数据被攻击者截取；冒充主机欺骗其它主机则是同一网内设备间的欺骗，攻击者以正常用户的身份伪造虚假ARP回应报文，欺骗其它主机，结果是其它用户向该用户发送的数据全部被攻击者截获。3.2.2虚构MAC地址欺骗这种攻击也是攻击者以正常用户身份伪造虚假的ARP回应报文，欺骗网关。但是，和上述一般冒充欺骗不同的是，此时攻击者提供给网关的MAC地址根本不存在，不是攻击者自己的MAC地址，这样网关发给该用户的数据全部被发往一个不存在的地方。3.2.3ARP泛洪这是一种比较危险的攻击，攻击者伪造大量虚假源MAC和源IP信息报文，向局域网内所有主机和网关进行广播，目的就是令局域网内部的主机或网关找不到正确的通信对象，甚至直接用虚假地址信息占满网关ARP缓存空间，造成用户无法正常上网。同时网络设备CPU居高不下，缓存空间被大量占用。由于影响到了网络设备，攻击者自己上网的效率也很低，这是一种典型的损人不利己行为。3.2.4基于ARP的DoS这是新出现的一种攻击方式，DoS又称拒绝服务攻击，当大量的连接请求被发送到一台主机时，由于该主机的处理能力有限，不能为正常用户提供服务，便出现拒绝服务。这个过程中如果使用ARP来隐藏自己，被攻击主机日志上就不会出现真实的IP记录。攻击的同时，也不会影响到本机。4ARP欺骗鉴定方法4.1检查网内感染“ARP欺骗”木马病毒的计算机在“命令提示符”下输入并执行“ipconfig”...