内容:
由arp欺骗攻击探讨当前网络的安全缺陷
摘要:随着网络技术的高速发展,网络上的信息迅速膨胀、丰富,各种各样的网络应用得以普及和频繁使用。而与此同时,网络安全技术却明显滞后,发展和响应的速度缓慢,各种网络安全措施都显得“道高一尺、魔高一丈”。本文将以arp病毒攻击为代表,从分析arp协议入手,详细阐述arp的工作过程以及欺骗技术的基本原理,通过分析大多数现有校园网络安全措施,即防火墙设备,入侵检测系统,入侵防御系统在针对内部网络攻击行为管理上的缺陷,从而证明现有网络安全措施上的巨大漏洞。在详细陈述现有的一些处理arp病毒的手段后,总体分析这些防范措施的共同缺陷,进一步讨论弥补这些缺陷的必要性及其所带来的现实意义,指明今后校园网络管理所面临的重要问题和主要发展方向。
关键词:arp协议;arp欺骗;防火墙;入侵检测系统;入侵防御系统;网络监控平台;
中图分类号:tp393文献标识码:a
0引言
随着网络技术的高速发展,网络上的信息迅速膨胀、丰富,各种各样的网络应用得以普及和频繁使用。而同时期,网络安全技术却明显停滞后,各种网络安全措施都显得“道高一尺、魔高一丈”,绝大多数网络管理人员在日常的网络管理工作中都疲于应付,力不从心。事实上,资源共享和信息安全历来就是一对矛盾。一个系统的使用权限规划越细,使用规定越多,那么相对来说,这个网络系统就比较安全一些;但同时使用起来就不方便。计算机网络的开放性是网络应用所导致的,这就决定了网络安全问题是先天存在的。网络安全一直是限制网络发展的一个主要因素。现今的网络架构中采用交换机互联,使用网关地址转发网络数据包,这种交换式连接的局域网一直是很成熟的技术,但近年来它在一种新型网络攻击面前却毫无办法进行防范,这种攻击就是arp欺骗。
1arp协议的工作流程
1.1arp协议
地址转换协议addressresolutionprotocol(简称:arp)是数据链路层协议,它负责把网络层的ip地址转换成为数据链路层的mac地址,从而建立ip地址和mac设备物理地址的对应关系,以便实现ip地址访问网络设备的通讯目的。
1.2arp工作流程
在以太网中,两个不同网络设备进行直接通信,需要知道目标设备的网络层逻辑(ip)地址和网络设备的物理(mac)地址。arp协议的基本功能就是通过目标设备的ip地址,查询目标设备的mac地址,以保障网络通信的顺利进行。当网络中某台计算机a要与同网段中计算机b通信时,a机首先要在缓存中查找是否有b机的ip地址和mac地址的对应关系;如果没有,则a机在本网段中广播,将自己的ip地址和mac地址发出,并要求ip地址是b机的计算机作应答。网段中所有计算机都会收到a机的广播包,并检查自己的ip地址是否b机ip,ip地址是b机的计算机会作出应答,并按照a机的ip地址和mac地址发出应答包。a机接收到b机的应答包后,将b机的ip地址和mac地址加入到自己的缓存中,随后再开始与b机的通信。如果计算机a要与网段以外的计算机通信,则由网关将a计算机的广播包加以转发来完成上面的工作。
在整个arp工作期间,不但主机a得到了主机b的ip地址和mac地址的映射关系,而且主机b也得到了主机a的ip地址和mac地址的映射关系。如果主机b的应用程序需要立即返回数据给主机a的应用程序,那么,主机b就不必再次执行上面的arp请求过程了。
1.3arp欺骗的原理
所谓arp欺骗,又被称为arp重定向,由于arp协议是建立在信任局域网内所有计算机的基础上的,因此会出现中间人攻击的现象,某台非目标的计算机利用arp协议的缺陷向目标主机频繁发送伪造arp应答报文,使目标主机接收该伪造的ip地址和mac地址报文并更新本地系统的arp高速缓存,从而使攻击者插入到被攻击主机和其他主机之间,便可以监听被攻击的主机。由此可见,入侵者利用ip机制的安全漏洞,比较容易实现arp欺骗,造成计算机网络无法正常通讯,以达到冒用网关或目的计算机合法ip来拦截、窃取信息以及破坏数据的目的。虽然arp欺骗发生在局域网内,只有内部的计算机可以互相监听,但是对于本来就存在安全漏洞的网络来说,如果外部攻击者能够入侵到局域网内的某台计算机,然后再进行arp欺骗,一旦成功,将给网络造成很大的破坏。
2现有网络防御手段
2.1防火墙
在ipv4网络中,普遍采用防火墙来阻止外部未经授权的网络用户进入内部网络。以此保护内部网络的安全。根据所采用的技术不同,防火墙可以分为三大类:地址转换nat型、代理监测型和包过滤型;其中使用最多、最广泛的就是地址转换nat型。
