企业新闻

网络攻击及防范之欺骗攻击之ARP欺骗

2018-03-23 15:01:50 | 来源:中培企业IT培训网

2) ARP欺骗

地址解析协议( Aclclress Resolution Protocol,ARP)的作用是将网络层的地址(IPl:-电址)

解析成数据链路层的地址(MAC地址)。ARP协议是无状态的协议,计算机系统无需收到ARP请求就可以发送ARP应答,而这个应答会被接收到的计算机系统进行处理。操作系统的TCP/IP实现上,系统会根据需要向网络发送ARP应答报文,为了提高效率,降低ARP数据流量,系统会在缓存中维持一个IP地址与MAC地址的映射表,默认这个情况下ARP缓存是即时刷新,计算机系统接收到新的应答数据就会覆盖掉之前的数据。

攻击者通过向网络或目标主机发送伪造的ARP应答报文,修改目标计算机上ARP缓存,形成一个错误的IP地址<->MAC地址映射,这个错误的映射在目标主机在需要发送数据时封装错误的MAC地址。ARP欺骗攻击过程如下图所示:


  攻击者主机C (IP:l92.168.1.3)向主机B(IP:192.168.1.2)发送伪造的ARP应答报文,说明192.168.1.1(主机A)的MAC地址是CC:CC:CC:CC:CC(主机C),这个ARP应答中的数据会被主机B收到后,将192.168.1.1<->cc:cc:cc:cc:cc对应关系记录添加到自己的ARP缓存中,当主机B希望与主机A进行通讯时,在数据封装时,使用了错误的MAC地址,而标准的交换设备使用二层地址进行数据包分发,因此这个数据包被发送给攻击者主机C。攻击者因此完成了一次成功的ARP欺骗。

ARP欺骗是一种非常有威胁的攻击,攻击者利用ARP欺骗可实现中间人、拒绝服务等攻击。由于ARP缓存有时间限制,为了避免缓存更新,攻击者需要不断向欺骗目标发送伪造的ARP应答报文,确保错误的缓存记录被保持。因此对网络中的ARP报文进行分析可以有效的检测到ARP攻击行为。针对ARP欺骗的应对措施包括:

◇使用静态的ARP缓存,缓存中的数据不能被ARP应答报文刷新,能有效的解决ARP欺骗攻击。然而由于使用静态缓存,每次硬件地址变更都需要人工更新,当网络中计算机数量较多的情况下,设备地址的变更会形成较大的工作量。

◇使用三层交换,由于三层交换技术使用0SI模型第三层地址(TCP/IP协议中为IP地址)进行数据交换,不会受到错误封装的MAC影响。

◇除非设置了ARP代理,默认情况下ARP协议无法跨越路由设备,因此划分更多的子网能降低ARP攻击影响的范围;

◇在系统中部署ARP防火墙以阻止攻击者修改ARP缓存

标签: ARP欺骗攻击

猜你喜欢