基于网络安全技术及防御自动化分析.docVIP

基于网络安全技术及防御自动化分析 　　随着计算机网络的普及，网络安全日益受到人们的关注，但由于网络本身的复杂性，其管理难度也越来越大，任何一个小的问题都可能影响到整个网络的正常运行。如最近流行的ARP欺骗攻击，它可以在很短的时间内使整个网络陷于瘫痪。因此，如何有效地防范ARP欺骗攻击成为了人们研究的一项重要课题。本文主要从ARP原理、ARP欺骗过程和如何防御等三个方面进行简单的介绍。 　　1ARP协议原理 　　源主机在传输数据前，首先要对初始数据进行封装，在该过程中会把目的主机的IP地址和MAC地址封装进去。在通信的最初阶段，我们能够知道目的主机的IP地址，而MAC地址却是未知的。这时如果目的主机和源主机在同一个网段内，源主机会以第二层广播的方式发送ARP请求报文。ARP请求报文中含有源主机的IP地址和MAC地址，以及目的主机的IP地址。当该报文通过广播方式到达目的主机时，目的主机会响应该请求，并返回ARP,~应报文，因而源主机可以获取目的主机的MAC地址，同样目的主机也能够获得源主机的MAC地址。如目的主机和源主机地址不在同一个网段内，源主机发出的IP数据包会送到交换机的默认网关，而默认网关的MAC地址同样可以通过ARP协议获取[1】。经过ARP协议解析IP地址之后，主机会在缓存中保存IP地址和MAC地址的映射条目，此后再进行数据交换时只要从缓存中读取映射条目即可。ARPT_作原理如图1所示。 　　2ARP欺骗过程 　　2.1对网内主机的欺骗 　　在Ethernet中，任何一台主机当收到一个ARP报文之后更新自己ARP缓冲区。但由于主机无法验证报文的真实性，当收到欺骗性的报文时，它也会更新本身的ARP缓冲区，这样就造成“IP一MAC”的映射错误，使主机之问无法通信心。以表1为例，假设有三台主机A、B、c，具体信息如表1N示。B为攻击者，A、C为被攻击者。首先B分别向A、C发送ARP请求报文，当A、C收到以后分另『J向B发送一个ARP响应报文，B收到后更新A、C的“IP—MAC”映射，并不断地向A、C发送ARP响应报文，发送给A报文中的发送方的IP地址为10.30.5.4，MAC地址03—03—03—03—03—03，发送给C报文中发送方的IP地址为10.30.5.2，MAC地址03. 　　03-03—03-03—03；当A、C收到以后分别更新本机的ARP缓存这样主机A、C就会误认为B就是对方，造成了A、C之间不能通信。这种攻击方法也称为中间人攻击。还有一些其他的攻击方法，但这些攻击都有一个共同特点就是发送一些欺骗性的ARP报文。 　　2.2网内主机与网关之间信息的窃取 　　当主机B想要获取主机A对外通信的内容时，会分别给主机A和网关D发送一个ARP应答包，让A和D都把第三方监听者误认为是对方，这样，主机A看似成功的实施了对外通信，而实际上中间夹着监听主机B。此时，主机B不仅可以完成监听，而且还可以随意更改数据包中地某些信息，并成功完成数据包转发。 　　简单说，ARP欺骗的目的就是为了实现全交换环境下的数据监听。大部分的木马或病毒使用ARP欺骗攻击也是为了达到这个目的。 　　3ARP欺骗的发现及防御 　　3.1ANP欺骗的发现 　　当局域网中有ARP攻击时，它一般不会单独的攻击某一台机器，而是整个局域网，涉及面积比较大，可以在很短的时间内使整个网络瘫痪。 　　因此及时地发现ARP攻击源是非常重要的。一般可以采用以下几种方法： 　　1）使用“ARP—a”命令如上文中提到的中间人攻击，当我们在主机C上输入此命令时，显示本机的ARP缓存： 　　InternetaddressPhysicaladdressType10.30.5.203—03—03—03dynamic缓存中l0.30.5.2所对应的MAC地址与真正的MAC地址不符，说明攻击源的MAC地址为22—22—22—22—22—22。另外，还有一种情况比较具有迷惑性，当主机C除了向网关A没有向其他主机发出连接，主机C的ARP缓存如下所示： 　　InternetaddressPhysicaladdressTypel0.30.5.202—02—02—02dynamic10_30.5-303—03—03—03dynamicARP缓存没有任何异常，但主机C和网关A之间无法通信，这主要是由于主机B不断的向本网段内的主机发送ARP请求报文，其他主机向主机B发送一个响应，这样主机B就可以用主机C的信息向网关A发送伪造的ARP报文，该报文的源MAC地址为主机C的地址，当交换机收到该帧时，交换机把指向主机C端口改到和主机B相同。查看网关D的ARP缓存，会看到指向主机B和很多主机都指向了同一个端口。 　　2）监听数据报当有ARP攻击的时候，攻击源一般会向本网段内的所有主机发送ARP请求报文。因此可以