协议欺骗防御研究.docVIP

协议欺骗防御研究 　　摘要:本文提出了基于协议欺骗的主动监听框架,扩展了网络监听的适用范围。分析了网络访问的具体过程,将其中存在的映射关系分为四种:服务器域名到IP地址、IP到MAC地址、远程服务器的IP地址到本地路由器IP地址、以及客户端界面显示到应用服务器的处理。依据破坏的映射关系不同,本文介绍两种协议欺骗方式:ARP欺骗、路由欺骗,并详细分析了这两类协议欺骗攻击原理、实现方式及其防范策略。 　　关键词:主动监听;协议欺骗;ARP欺骗;防御 　　中图分类号:TN915.08 文献标识码:A 文章编号:1007-9599 (2010) 03-0013-02 　　 　　Study on ARP Protocol Spoofing 　　Song Zhigang 　　(China Telecom Corporation Ningxia, Yinchuan750004,China) 　　 　　Abstract: We present a protocol spoofing based active sniffing framework, which extends the application area of network sniffing.Four kinds of mapping relationship in network communication are discussed:server domain name to IP address,IP address to MAC address,remote server IP address to local router IP address,and client interface to server process.Protocol spoofing which can be applied in active sniffing is classified into two kinds respectively:ARP spoofing and route spoofing.The elements and implementation of them are analyzed in details. 　　Keywords:Active Sniffing;Protocol Spoofing;ARP Spoofing;DNS Spoofing;Route Spoofing;Application Layer Spoofing. 　　 　　一、引言 　　在网络安全领域,协议欺骗和网络监听均占有极其重要的地位。协议欺骗不但能对一般主机、入侵检测系统、防火墙进行不可追踪的DOS攻击,还能隐藏端口扫描,更重要的是能与网络监听结合,严重威胁网络安全。协议欺骗,即依照通信双方的协议,冒充其中一方与另一方进行通信的行为。对于黑客攻击而言,网络监听是一种有效的信息(用户名、口令等)收集手段,并且可以辅助进行IP欺骗;对于安全管理而言,监听也是监控本地网络状况的直接手段,监听还是基于网络的入侵检测系统(NIDS)的必要基础。网络监听,即将网络上传输的数据捕获并进行分析的行为。然而,通常意义上的网络监听,要求实施监听的系统是在要监听的网络通信双方之间的某一个广播式网络中。对于交换式网络环境,即使是将网卡设置成混杂模式,监听系统也只能捕获目的MAC地址为本机地址的数据包;对于不流经监听系统所在网络的网络通信,更不可能进行监听。 　　为了能够在广播网络以外的环境下进行监听,需要用一个全新的思想来考虑,也就是说使用与旁路思想相对应的插入思想来考虑这个问题。 　　插入思想,就是主动采取措施将要监听的两台机器间的网络通信引到监听者机器上来,再由监听者机器将这些网络通信转发到目的地址去,这样,对被监听者而言,如图l中点划线所示,还是在“直接”与通信对端机器进行网络通信,然而对于主动监听者机器而言,如图l中虚线所示,它已经直接插入到被监听机期间的网络通信中来了。 　　基于插入思想的主动监听,主要有两大环节: 　　(一)进行协议欺骗,对通信中的一方或者双方进行欺骗,将它们发送到对方的网络访问都导向到监听者机器上来。 　　(二)进行数据转发,在接收到一个数据包后,分析协议,根据协议发送相应的数据到相应的目的地址去,以保证被欺骗机器的正常网络访问。 　　由此可知,主动监听的实质,是扩展的中间人攻击,即不但包括对加密通信的有效监听,还包括对交换网络,以及远程网络的有效监听。在基于插入方式的主动监听框架中,核心问题是如何对要攻击的机器进行协议欺骗,将它们的网络访问都导向到监听者机器上来。 　　二、协议欺骗原理 　　在研究主动监听前,有必要分析在真正发起网络访问前都需