欺骗在局域网中的分析及全面防御2013411585932171.docVIP

欺骗在局域网中的分析及全面防御2013411585932171.doc

  1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
  2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
欺骗在局域网中的分析及全面防御 引言 ARP欺骗是一种利用计算机病毒是计算机网络无法正常运行的计算机攻击手段。 近期,一种叫“ARP 欺骗”的木马病毒在校园网中扩散,严重影响了校园网的正常运行。 感染此木马的计算机试图通过“ARP 欺骗”手段截获所在网络内其它计算机的通信信息,并 因此造成网内其它计算机的通信故障。ARP欺骗木马的中毒现象表现为:使用校园网时会突 然掉线,过一段时间后又会恢复正常。比如出现用户频繁断网,IE浏览器频繁出错等现象。 如果校园网需要通过身份认证的,会突然出现认证信息(无法ping通网关)。重启机器或在 MS-DOS窗口下运行命令arp -d后,又可恢复上网。这种木马危害也很大。各大学校园网、 公司网和网吧等局域网都出现了不同程度的灾情。ARP欺骗木马只需成功感染一台电脑,就 可能导致整个局域网无法上网,严重的可能带来整个网络的瘫痪。此外,此木马还会窃取用 户密码,如盗取QQ密码、网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法 交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。 2. ARP与MAC ARP(Address Resolution Protocol)[1]是地址解析协议的简称,是一种将 IP 地址转化为 物理地址的协议。在 OSI 网络参考模型的第二层(数据链路层)中,存在着两个子层:介 质访问控制(MAC)和逻辑链路控制(LLC)。由 MAC 子层提供的最广为认知的服务或许 就是它的地址了,就像以太网的地址一样。在以太网中,数据传输的目的地址和源地址的正 式名称是 MAC 地址。此地址大多数情况下是独一无二的固化到硬件设备上的,而 IP 地址 所要转化的物理地址就是 MAC 地址。[2] 在网络数据传输中实际传输的是“帧”(Frame),它以比特流的方式通过传输介质传输出 去,其中帧里面就包含有所要传送的主机的 MAC 地址。在以太网中一台主机要同另一台主 机进行通信就必须要知道对方的 MAC 地址(就如同我们要给对方邮信一定要知道对方的地 址一样)。但是我们如何知道这个 MAC 地址呢?这时就用到了地址解析协议,所谓“地址 解析”就是主机在发送帧前将目标 IP 地址转换成目标 MAC 地址的过程。ARP 协议的基本功 能就是通过目标设备的 IP 地址,查询目标设备的 MAC 地址,以保证通信的顺利进行。 每台安装有 TCP/IP 协议的计算机主机里都有一个 ARP 缓存表,表中的 IP 地址与 MAC 地址是一一对应的,如表 1 所示: 表 1 地址解析协议缓存地址表 值得注意的一点是:ARP 缓存表采用了一种老化机制,在一定的时间内如果某一条记 录没有被使用过就会被删除。这样可以大大减少 ARP 缓存表的长度,加快查询速度。 首先根据上表用两个主机通过一个网关进行通信的例子说明一下:假设当主机 A (192.168.10.1)向主机 B(192.168.10.2)发送数据时,主机 A 首先会在自己的 ARP 缓存 表中查找是否存在“IP = 192.168.10.2”的记录。若找到就会根据 ARP 缓存表中 IP?MAC 的 对应关系找到主机 B 的“MAC 地址 = bb-bb-bb-bb-bb-bb”。但是如果主机 A 没有在表中找到 主机 B 的 IP 地址,那么主机 A 机就会向网络发送一个 ARP 协议广播包,这个广播包里面 就有待查询的主机 B 的 IP 地址,而直接收到这份广播包的所有主机都会查询自己的 IP 地址 是否与之匹配。如果收到广播包的某一个主机发现自己符合条件,那么就准备好一个包含自 己 MAC 地址的 ARP 包传送给发送 ARP 广播的主机。广播主机接收到 ARP 包后会更新自 己的 ARP 缓存表。发送广播的主机就会用新的 ARP 缓存数据准备好数据链路层的数据包发 送工作。这样主机 A 就得到了主机 B 的 MAC 地址,它就可以向主机 B 发送信息了。 3. ARP 欺骗和攻击方式 3.1 简单的欺骗攻击 这种欺骗方式是指:欺骗主机通过发送伪造的 ARP 包来欺骗网关和目标主机,让目标 主机认为这是一个合法的主机。其中包括两种情况: ① 局域网主机冒充网关进行欺骗 欺骗过程如图 1 所示:当 PC_A 要与网关 GW_C 通讯时,首先要知道 GW_C 的 MAC 地址,如果局域网中另有一台主机 PC_B 冒充 GW_C 告诉 PC_A:GW_C 的 MAC 地址是 MAC B,那么 PC_A 就受骗了;或者直接告诉 PC_A:GW_C 的 MAC 地址是 PC_X,那么 就会如同我们邮寄信件时写错了地址,信件或者是发错了地方,或者是根本就发送不出去。 这样一来就会造成断线。 图 1 简单的主机对主机通

文档评论(0)

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档