欺骗原理范文

欺骗原理范文（精选8篇）

欺骗原理 第1篇

ARP协议对网络安全具有重要的意义。在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如果系统ARP缓存表被修改不停的通知路由器一系列错误的内网IP或者干脆伪造一个假的网关进行欺骗的话，网络就肯定会出现大面积的掉线问题。ARP攻击在现今的网络中频频出现，有效的防范ARP形式的网络攻击已成为确保网络畅通必要条件。

1 ARP欺骗的基本表现

如果系统ARP缓存表被修改、路由器被传入一系列错误的内网IP或者干脆伪造一个假的网关进行欺骗的话，就会出现网络大面积的掉线现象，这就是典型的ARP攻击。对遭受ARP攻击的判断，其方法很容易，找到出现问题的电脑进入系统的DOS操作。ping路由器的LAN IP丢包情况。输入ping172.18.210.1(网关IP地址)，如下图：

内网ping路由器的LAN IP丢几个包，然后又连上，这很有可能是中了ARP攻击。

2 ARP欺骗原理

假设这样一个网络，一个交换机接了3台机器HostA,HostB,HostC。其中：

A的地址为：IP:192.168.1.1MAC:AA-AA-AA-AA-AA-AA———网关。

B的地址为：IP:192.168.1.2MAC:BB-BB-BB-BB-BB-BB———黑客。

C的地址为：IP:192.168.1.3MAC:CC-CC-CC-CC-CC-CC———被欺骗者。

如果HostB进行ARP欺骗，其过程是：假冒A'向像发送ARP欺骗包，B向C发送一个自己伪造的ARP欺骗包，而这个应答中的数据为发送方IP地址是192.168.1.1(网关的IP地址)，MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA，这里被伪造了)。当C接收到B伪造的ARP应答，就会更新本地的ARP缓存(C可不知道被伪造了)。而且C不知道其实是从B发送过来的，这样C就受到了B的欺骗了，凡是发往A的数据就会发往B，这时候那么是比较可怕的，你的上网数据都会先流向B，在通过B去上网，如果这时候B上装了SNIFFER软件，那么你的所有出去的密码都将被截获。

3 ARP欺骗防范措施和解决方法

笔者在这里提出了4种防范措施和解决方法：

(1)通过arp-s来绑定网关的MAC地址和IP地址，使用arps来绑定。那么在ARP表中显示的是一条静态的记录。这样就不会被动态的ARP欺骗包给欺骗，而修改。例如arp-s 172.18.157.12100-0B-AD-DD-22-35。但是经此动作后，如果重起了电脑，作用就会消失，所以要把此命令做成一个批处理文件，放在操作系统的启动里面，批处理文件可以这样写：

将这个批处理软件拖到“windows/开始/程序/启动”中。

(2)有些木马或是一些骇客总是使用本地网卡上的网关来做欺骗。网关是通往外网或是和不同网络互联的一个中间设备。而通过添加路由表中的记录，设置优先级高于网关默认路由，那么网关的路由在级别高的路由可用时将不会生效。

施行方法：(1)先手动修改客户机的网关地址为任意IP地址，最好是同一网段中，没使用的一个IP，以免被怀疑;(2)手动添加或是通过批处理，或是脚本来添加永久对出口路由。此中方法可以欺骗过大部份菜鸟或是所谓的骇客和大部份ARP欺骗木马。缺点是：如果以后网关以后网卡或是机器改变。那么以后还得重新修改已有得路由。route delete 0.0.0.0———删除到默认得路由route add 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric1———添加路由route add-p 0.0.0.0 mask 0.0.0.0 192.168.1.254metric 1———参数-p就是添加永久的记录。route change———修改路由

(3)如果你目前使用得交换机器有网卡和MAC地址绑定功能，那么将你所在的网卡的IP地址和MAC地址进行绑定。但有时候，我们可能没有这些设备那么要想做就很困难了。

另类方法思路———如何全面解决让ARP欺骗，ARP木马无法在本机器安装，运行。大部分监控，arp欺骗软件，都会使用到一个winpcap驱动。那么现在的思路就是让其无法在本地计算机安装。这样arp欺骗软件就无法被使用了使用了，此方法可以用于任何程序的安装。需要的条件：(1)所在的系统盘为NTFS分区格式;(2)知道所要安装的文件所要在系统中生成的文件;(3)使用注册表和文件安装监视软件来监视安装所生成的文件。

(4)利用些别人做好的ARP监控工具。

摘要：介绍了ARP及ARP欺骗的基本原理和以及ARP欺骗的防范措施。

arp双向和单向欺骗原理解析 第2篇

开两台虚拟机：10.6.1.20 和10.6.1.73 网关：10.6.3.254   用10.6.1.20做为攻击主机，10.6.1.73做为被攻击主机，用网关，被攻击主机做双向欺骗。工具怎么用，不做具体说明。

攻击主机：10.6.1.20  00-e0-4c-02-d6-eb

被攻击主机：10.6.1.73  00-1e-8c-1f-4c-fc

网关：10.6.3.254 00-19-5b-12-43-c1

攻击主机发送ARP应答包给被攻击主机和网关，它们分别修改其ARP缓存表为10.6.3.254 00-e0-4c-02-d6-eb和10.6.1.73 00-e0-4c-02-d6-eb 看出来怎么回事了吧 修改的全是攻击主机的MAC地址，这样它们之间数据都被攻击主机截获。

arp单向欺骗原理

1、掐断A 与B 的通讯，实现原理：C 向A 发送一条Arp 数据包，内容为：B 的地址是00:00:00:00:00:00 （一个错误的地址），那么A 此后向B 发的数据包都会发到00，而这个地址是错误的，所以通讯中断了，但是要注意了，这里只是A -->B 中断了，B -->A 没有中断，所以这个叫单向欺骗，

2、掐断B 与A 的通讯，实现原理和第一条一样，如果和第一条一起发，那么A 和B 的通讯就完全中断了，即：A <-- ×-->B

ARP欺骗原理与防护技术研究 第3篇

地址解析协议；ARP欺骗；MAC地址

1.ARP协议简介

ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。它是通过地址解析协议（AddressResolution Protoco，l ARP）获得的。ARP协议是一个网络层子协议，它用于将网络中的IP地址解析为硬件地址（MAC地址），以保证通信的顺利进行。

2.ARP协议的工作原理

在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如表1所示。

以主机H（192.168.1.5）向主机A（192.168.1.1）发送数据为例。当发送数据时，主机H会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机H就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：192.168.1.1的MAC地址是什么。网络上其他主机并不响应ARP询问，只有主机A接收到这个帧时，才向主机H做出这样的回应：192.168.1.1的MAC地址是00-aa-00-62-c6-09。这样，主机H就知道了主机A的MAC地址，它就可以向主机A发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机A发送信息时，直接从ARP缓存表里查找就可以了。

ARP协议安全缺陷。在TCP/IP协议的网络环境下，ARP工作时，送出一个含有所希望的IP地址的以太网广播数据报。一个IP数据报走到哪里，要怎么走主要是靠路由表定义。但是，当IP数据包到达该网络后，哪台机器响应这个IP包却是靠该IP包中所包含的硬件MAC地址来识别。也就是说，只有机器的硬件MAC地址和该IP包中的硬MAC地址相同的机器才会应答这个IP包，所以，在每台主机的内存中，都有一个ARP→硬件MAC地址的转换表。通常是动态的转换表（该ARP表可以手工添加静态条目）。

ARP欺骗原理。典型的ARP欺骗过程如下：

假设局域网分别有IP地址为192.168.1.1、192.168.1.2和192.168.1.3的A、B、C三台主机，假如A和C之间正在进行通讯，此时B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.1.3（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB，当A接收到B伪造的ARP应答，就会更新本地的ARP缓存，这时B就伪装成C了。同时，B同样向C发送一个ARP应答，应答包中为发送方IP地址192.168.1.1（A的IP地址），MAC地址BB-BB-BB-BB-BB-BB（A的MAC地址本来应该是AA-AA-AA-AA-AA-AA），当C收到B伪造的ARP应答，也会更新本地ARP缓存，这时B又伪装成了A。这时主机A和C都被主机B欺骗，A和C之间通讯的数据都经过了B，主机B完全劫持目标主机与其他主机的会话。

ARP欺骗一般分为两种：主机型ARP欺骗。欺骗过程：A欺骗B，A告诉B，我（A）就是C，当然告诉的是真IP地址和假MAC地址，使B不能与C连接。若C是网关，B就不能上外网Internet了。

网关型ARP欺骗。欺骗过程：B充当中间人角色向两个方向发送ARP欺骗包，使A的上网数据包经过B再到C，又使C的返回数据经过B再到A，卡在中间，以达到窃取数据的目的。B发送ARP欺骗包给A，B告诉A，我（B）就是网关；同时，B又发送ARP欺骗包给真正的网关C，告诉真正的网关C，我（B）就是A，这样B就欺骗了双方，接着B通过劫持A和C之间的通信会话，就可以窃听数据了。

从影响网络连接通畅的方式来看，ARP欺骗分为两种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

3.ARP欺骗防范措施

建立DHCP服务器，另外所有客户机的IP地址及其相关主机信息，只能由网关这里取得，网关这里开通DHCP服务，但是要给每个网卡，绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址，但每次开机的IP地址都是一样的或手工清除PC和网关ARP表项，从新学习正确的ARP信息。ARP欺骗发生后的PC和网关设备的ARP表被篡改了，这样我们可以通过手工方式来清除ARP表项，然后让双方重新学习。

主机：arp–d

网关：clear arp。

建立MAC数据库，把局域网内所有网卡的MAC地址记录下来，每个MAC和IP、地理位置统统装入数据库，以便及时查询备案，PC机上静态绑定网关MAC地址，防止对主机的欺骗。在主机上可以使用静态的ARP绑定网关的IP地址和网关的MAC地址，比如在PC机上配置autoexec.bat批处理文件：

@echo off

arp–d

arp–s主机ip地址主机mac地址//mac地址格式为xx-xx-

xx-xx-xx-xx。

网关机器关闭ARP动态刷新的过程，使用静态路由，这样的话，即使ARP欺骗攻击网关的话，对网关也是没有用的，因此可以确保主机安全。网关建立静态IP/MAC捆绑的方法是：建立/etc/ethers文件，其中包含正确的IP/MAC对应关系，格式如下：192.168.2.3208：00：4E：B0：24：47然后在/etcrc. d/rc. local最后添加： arp -f生效即可。

网关监听网络安全。网关上面使用抓包程序截取每个ARP程序包，用脚本分析软件分析这些ARP协议。ARP欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警：以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配，或者ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内，或者与自己网络MAC数据库MAC/IP不匹配。这些统统第一时间报警，查这些数据包（以太网数据包）的源地址（也有可能伪造），就大致知道哪台机器在发起攻击了。

使用支持端口隔离的二层交换机。通过端口隔离特性，可以将不同用户的端口划分到同一个VLAN，不同用户之间不能互通，从而增强了网络的安全性，阻止了ARP病毒源的机器对网络的影响，提供了灵活的组网方案，同时节省了大量的VLAN资源。

安装杀毒软件，及时升级病毒库，定期全网杀毒。

[1]陈 明.网络协议教程[M].北京：清华大学出版社，2004

[2]杨义先等.网络安全理论与技术[M].北京：人民邮电出版社，2003

浅谈ARP欺骗原理和解决方法 第4篇

1 ARP欺骗原理

在同一网内的所有机器是通过MAC地址通讯的。方法为, PC和另一台设备通讯, PC会先寻找对方的IP地址, 然后在通过ARP表调出相应的MAC地址, 实现与对方通讯。也就是说在局域网内各设备互相通讯是依据MAC地址, 而不是IP地址。

ARP在设计没有考虑过多的安全问题, 所以给ARP留下很多的隐患, 其中ARP欺骗就是其中一个例子。网内的任何一台机器都可以轻松的发送ARP广播, 来宣称自己的IP和自己的MAC。这样收到的机器都会在自己的ARP表格中建立一个IP和MAC地址项, 而不去管是否是正确的。例如:10.13.27.5/23机器MAC是00-13-20-9E-1E-2B。它在内网广播自己的IP地址是10.13.26.1 (网关IP) , MAC地址是00-13-20-9E-1E-2B (它自己的真实MAC) .这样大家会把发给网关10.13.26.1的信息和发给00-13-20-9E-1E-2B.也就是10.13.27.5有了这个方法后欺骗者只需要做一个软件, 在网内想骗谁就骗谁。往往做这些软件的人可能都是木马程序员, 捆绑在外挂或其它软件上, 能自动找到网关, 截取局域网内的帐号密码, 并发到他自己的邮箱上。

基于原理, ARP在技术上面又分为, 对PC的欺骗和对网关的欺骗;它们的区别在后面的ARP解决里面仔细阐述。

2 ARP欺骗的起因

网络游戏兴起后, 网络盗号, 木马也跟着疯狂。ARP欺骗就是一种很好的盗号方式。捆绑有ARP攻击方式的木马外挂, 会先找到局域网的网关MAC地址, 然后发送自己ARP欺骗, 告诉同个子网内所有的机器自己就是网关, 所有出口的信息都往我这里发。例如:10.13.27.5 MAC 00-13-20-9E-1E-2B机器为欺骗者的盗号机器, 首先, 它会先找到网关 (内网网关为10.13.26.1 MAC为00-13-20-9E-1E-2B) 。之后它就会发送ARP广播, 说自己的IP地址是10.13.26.1MAC地址是00-13-20-9E-1E-2B.这样, 同一子网内所有收到它发信息得机器都会误认为它就是本子网的网关。所有上网信息都会发送给这个MAC地址的机器, 由于找不到真正的网关, 这些被骗的机器就无法上网。而发送的所有信息都会被这个盗号机器收到, 完成盗号事件。

3 ARP的发现

我们学校网络不能访问外网了, 于是我的手机被打暴了, 查了以后发现是ARP造成的。这里给出方法, ARP的通病就是掉线, 在掉线的基础上可以通过以下几种方式判别。1) 一般情况下不需要处理几分钟之内就可以回复正常上网。因为ARP欺骗是由时限, 过了期限就会自动的回复正常。2) 打开被骗机器的DOS界面, 输入ARP-A命令会看到相关的ARP表, 通过看到的网关的MAC地址可以去判别是否出现ARP欺骗, 但是由于时限性, 这个工作必须在机器回复正常之前完成。3) 装上ARP网盾, 哪个IP进行了欺骗, 真实的MAC地址都能显示。

4 ARP问题解决

ARP解决方案, 有以下三种:

4.1 路由器AR P广播、超量路由器AR P广播

国内部分硬件路由有此功能, 它的原理是路由器不间断的广播正确的路由器ARP。例如:路由器的IP是192.168.1.1MAC∶11∶12∶13∶14∶15∶16, 那它就会不停的每秒广播自己的正确ARP。不管你是否喜欢收, 1秒收一个一秒收一个, 收到了就改一次ARP表。无穷无尽无止无息, 如果出现ARP欺骗, 欺骗者发出欺骗信息, PC刚收到欺骗信息就收到了正确信息.有些厂商相用高速ARP发送来解决这个问题, 但是随之而来的广播风暴的又是一个新的问题。

4.2 静态绑定

ARP解决最有效的方法, 就是从根本杜绝它的欺骗途径。欺骗是通过ARP的动态实时的规则欺骗内网机器, 所以我们把ARP全部设置为静态可以根本解决对内网PC的欺骗。方法为:找到路由器的lan口的MAC地址, 把MAC地址通过静态的方式帮定到每台PC上面。通过类似于“ARP-S 192.168.1.1 00-13-32-33-12-11”命令。我们设置的是静态方式。

4.3 MAC/IP双向绑定

第二种办法只能解决自己一台电脑, 网络管理员通过技术手段可以查得真实的IP又如何, 我校电脑600多台, 不可能每台都查过去。为此我们在路由器上做MAC/IP绑定, 只有绑定了MAC的电脑才能上网, IP地址统一由路由器分配 (H3C:ER5200具有MAC/IP绑定, 防ARP攻击, 正能完成本项任务) 。MAC/IP绑定给我校网络安全提供了三个方面的好处。其一是没有登记MAC码的网卡不能上网, 登记MAC码的网卡IP统一分配, 不会出现IP冲突。其二是登记MAC时留下具体使用人的联系方式, 具体电脑位置, 方便找到根源进行整改。其三是有效地防止了周围的无线用户借用我校的大功率AP免费无线上网。

5 结论

前面提到了ARP欺骗可以造成内部网络的混乱, 让某些被欺骗的计算机无法正常访问内外网, 让网关无法和客户端正常通信, 甚至造成网络的瘫痪。我们了解了它存在意义, 了解它的机理。网管员配合单位做好MAC的登记、绑定, 才对ARP欺骗电脑实施“堵”、“杀”、“防”失效后进行“追”查到使用者, 让ARP木马无处可藏。真真正正的和ARP欺骗说再见。

参考文献

[1]雷震甲.网络工程师教程[M].清华大学出版社, 2006.

ARP欺骗原理与防护技术研究 第5篇

1 ARP简介及ARP病毒攻击原理

1.1 ARP协议概念

ARP是叫地址解析协议, ARP协议起到做主要的作用就是把网络地址有效的转化为物理地址, 换一句话的意思是讲网络中的IP地址转为MAC地址。在网络通信过程中, 经常会使用到ARP协议, 他的使用过程是把目标电脑的IP地址映射到目标电脑的MAC地址, 这样才能达到与目标电脑进行通信的目的。因为只有学习到目标计算机的物理地址, 才能够进行相互的通信。

1.2 ARP病毒攻击原理

ARP病毒攻击的最主要原理是攻击者通过伪造的IP地址与MAC地址来对目标用户进行ARP欺骗, 在攻击过程中, 攻击者在网络中不停的发出伪造ARP来改变目标用户的IP-MAC条目, 使得网络通信发生拥堵;另外, ARP还有一个特性叫做免费ARP报文, 免费ARP报文主要是指主机在查找自己的IP地址时所发送的一种报文。在网络使用过程中, 他具有以下作用:第一, 可以检查出在网络中使用重复的IP地址, 在网使用正常的情况之下, 基本上不会收到目标主机发来的ARP回应, 假如收到了ARP回应, 那么说明在此网络中存在与自己相冲突的IP地址。第二, 免费ARP报文可以用来通过网络中新的MAC地址, 比如, 发送方因自身原因更换了网卡, 此时, MAC地址也随之发生变化, 为了能够在表项老化之前通过网络中所有主机, 发送方会向网络所有主机发送一个免费的ARP, 此报文的发送只起到宣告的作用, 是不希望收到相应的回应;如果在免费的ARP发送之后收到例如应答, 说明应答方也使用了与你相同的IP地址。由于目前的网络中, 大部分的局域网的没有相应的安全认证系统, 并且使用的网络设备大部分处于开启状态, 所以经常会发送这种免费ARP广播, 来检验是否存在地址冲突, 这样就造成了ARP地址欺骗。

2 常见的ARP欺骗形式

2.1 仿冒用户攻击

仿冒用户攻击主要有欺骗其他用户与即欺骗网关这2种

2.1.1 欺骗网关

欺骗网关是指一台主机向网络中的网关发生攻击, 并向此网关发送一份需要应答的伪造报文, 此报文的源IP为本网络的另外一台主机的IP地址, 使用伪造出来的MAC地址来代替网络中真正的MAC地址, 接受到此报文的网关会被修改自己正确的ARP表项, 从而使得自己不能与网络中另外一台主机发生正常的通信, 这就说明攻击者已经成功的实现了欺骗网关攻击。

2.1.2 欺骗其他用户

欺骗其他用户指一台主机向网络中的网关其他主机发生攻击, 并向此主机发送一份需要应答的伪造报文, 此报文的源IP为本网络的另外一台主机的IP地址, 使用伪造出来的MAC地址来代替网络中真正的MAC地址, 接受到此报文的网关会被修改自己正确的ARP表项, 从而使得自己不能与网络中其他主机发生正常的通信, 这就说明攻击者已经成功的实现了欺骗其他用户的攻击。

2.2 泛洪攻击

在网络通信过程中, ARP报文的发送需要计算机设备CPU的帮助, 但是计算机突然收到许多的ARP报文, 会使得CPU暂时只能处理接受到的ARP报文, 不能够正常转发各种报文与响应合法用户的请求。与此同时, ARP表项会被这大量的ARP请求给占满, 使得设备不能学习到新的ARP表项, 从而导致网络的转发效率大大降低, 此种攻击被称为ARP泛洪攻击。泛洪攻击主要目的让网络处于瘫痪的状态。

3 ARP欺骗的防御措施

3.1 VLAN和交换机端口绑定

通过交换机端口绑定与划分VLAN可以有效的防范ARP的欺骗, 这也是计算机网络管理中最基本也是最常用的防范方法。具体做法就是根据使用的网络情况来对网络进行VLAN的划分, 这样可以有效的减小网络广播域的使用范围, 让ARP攻击只能在小范围内起到作用。另外, 在网络设备中, 大部分的网管交换机具有MAC地址互相学习的特殊功能, 在相互学习完成之后, 交换机就会自动关闭这个特殊的功能, 然后把对应的MAC地址与相应的端口进行绑定, 如此以来, 从硬件设备方面有效的避免了ARP攻击对自身地址的篡改。

3.2 使用ARP防护软件

市场上我们可以发现各种各样的ARP类的防护软件。在网络中, 使用ARP类的防护软件不仅可以有效的检测出ARP攻击, 也能够广播正确的ARP信息, 使得局域网的主机能够进行正常的网络通信。使用ARP类的防护软件虽然在一定的程度上减少了ARP攻击, 但是在同一个局域网中, 不能同时解决多个主机的ARP欺骗。因此, 最好的防护方法是用户在使用电脑时要提高网络安全意识, 及时为系统进行打补丁;其次, 为系统设置较为复杂的使用密码;第三, 按照防火墙等。

4 结论

由上分析可知, ARP协议由于自身的缺陷给我们局域网带来了非常严重的安全隐患, 所以, 作为计算机工作者应该更加重视ARP攻击问题。在日常的维护中, 把被动防范变为积极主动的防治。不断的学习新的网络管理技术, 用更好的方式来应对ARP攻击。

摘要：在计算机网络的运行中, ARP协议是最常见的协议之一, 他起到的主要作用是能够把主机的IP地址转换为MAC地址, 但是ARP协议在实际的运行中存在着一个小缺陷, 那就是不能够验证ARP报文来源是否合法, 因此这就造成了大量的ARP攻击, 所以, 本文主要介绍ARP的攻击与欺骗原理以及如何解决好ARP攻击问题, 使得网络能够安全有效的运行。

关键词：ARP,欺骗原理,防护技术,通信

参考文献

[1]朱金华.计算机网络技术及应用[M].北京:中国铁道出版社, 2008.

[2]罗杰云, 倪德明.ARP协议的安全漏洞及其防范浅析[J].系统安全, 2003.

公共机房ARP病毒欺骗原理与处理 第6篇

我校有十几个公共机房, 近一段时间来, 频繁出现网速急剧下降, 时常掉线的现象, ping网关延迟, 重启交换机也就好几分钟, 接着是越来越频繁的掉线, 发展到后来, 整个公共机房网络瘫痪。

这些问题的出现有很大一部分都是由于ARP病毒攻击引起的。目前发现的“ARP攻击”系列病毒已经有了几十个变种。ARP病毒攻击只要一开始就造成局域网内计算机无法和其他计算机进行通讯, 而且网络对此种病毒没有任何耐受度, 只要局域网中存在一台感染“A R P欺骗”病毒的计算机, 不但会使网络产生较大的延时, 而且将会造成整个局域网通讯中断。并且中毒主机会截取局域网内所有的通讯数据, 并向其他用户发送带了自身ARP病毒的数据, 对局域网用户的网络使用造成非常严重的影响, 直接威胁着局域网用户自身的信息安全。从检测数据显示, APR攻击从未停止过, 甚至达到每秒几万次的攻击, 因此有效的防范ARP的网络攻击已成为确保网络畅通的必要条件。

本文主要目的是通过阐述ARP欺骗原理, 研究对ARP处理的办法。文章的创新点在于开发了《计算机ARP保护系统》, 它是在大型公共上网环境中, 以MAC地址单个或集中管理进行的整体防护手段。

1 ARP欺骗原理

ARP (Address Resolution Protocol) 是地址解析协议, 是一种将IP地址转化成物理地址的协议。计算机之间的通信是通过IP地址进行的, IP数据包通过以太网发送, 但是以太网设备并不识别32位的IP地址, 它们是以48位以太网地址传输以太网数据包。因此, 必须把IP目的地址转换成以太网目的地址 (MAC地址) 。

作为一个局域网协议, 它是建立在各个主机之间相互信任的基础上的, 因此存在安全问题。主机地址映射表是基于高速缓存、动态更新的。由于正常的主机间的MAC地址刷新都是有一定的时限的 (ARP缓存中的记录项在当前常用Windows操作系统上PC机默认存活2min, 在UNIX主机上默认存活30min, 在路由器和防火墙上默认存活4h) , 这样恶意用户如果在下次交换前成功地修改了被欺骗机器上的地址缓存, 就可进行A R P欺骗。由于A R P协议是无状态的, 任何主机即使事先没有发送ARP请求也要响应ARP应答。攻击者可以随心所欲地发送ARP应答, 只要应答分组是有效的, 接收到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机的高速缓存, ARP应答无须认证。由于局域网内的主机间通信基本上是相互信任的, 因此, 只要是收到来自局域网内的ARP应答分组, 主机就会将其中的MAC—IP地址映射刷新到本机的高速缓存中, 而不进行任何认证。

2 我校ARP病毒的处理

当局域网内某台主机运行ARP欺骗的木马程序时, 会欺骗局域网内所有主机和路由器, 让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由病毒主机上网, 切换的时候用户会断一次线。切换到病毒主机上网后, 如果用户已经登陆了病毒主机, 那么病毒主机就会经常伪造断线的假象, 那么用户就得重新登录病毒主机, 这样病毒主机就可以盗号了。对于已经中了ARP攻击的公共机房, 首先要找到攻击源, 找到感染ARP病毒的机器。

方法一:在电脑上ping一下网关的IP地址, 然后使用ARP-a的命令看得到的网关对应的MAC地址是否与实际情况相符, 如不符, 可去查找与该MAC地址对应的电脑。

方法二:使用抓包工具, 分析所得到的ARP数据包。某个IP的A R P数据包占据了整网段的30%以上, 这个IP肯定有问题。有些ARP病毒是会把通往网关的路径指向自己, 有些是发出虚假ARP回应包来混淆网络通信。

方法三:使用M A C地址扫描工具, nbtscan扫描全网段IP地址和MAC地址对应表, 有助于判断感染A R P病毒对应M A C地址和IP地址。

方法四:使用360安全卫士开启“局域网ARP攻击拦截”功能, 记录到攻击者的M A C后, 查到M A C对应的那台机器。

但是这些方法都不能彻底地解决ARP病毒欺骗。

3 计算机ARP保护系统

我们经过实验测试, 开发了《计算机ARP保护系统》。现在它运行稳定, 能彻底解决A R P病毒欺骗问题。它由两个组成部分:驱动程序、计算机ARP保护系统软件。其使用的开发工具为微软DDK, 开发环境是Visual Studio 2008, 采用面向对象程序设计, 开发语言采用VB.NET, 还采用了多线程技术和容错技术。

3.1 软件安装

运行《计算机ARP保护系统》的操作系统Windows XP或Windows Server 2003需要安装微软.Net2.0, 以太网环境, TCP/IP协议。在桌面“网上邻居”点右键, 选择“属性”, 单击“安装”按钮, 选择“服务”, 单击“添加”按钮, 单击“从磁盘安装”按钮, 单击“浏览”按钮, 找到驱动程序所在目录, 单击“打开”按钮, 单击“确定”按钮, 单击“确定”按钮, 按照提示, 完成安装。

我校公共机房的电脑装有还原卡, 在电脑维护时, 是通过一台安装好操作系统并打好补丁及杀毒软件升级到最新的电脑作为母机, 向其它电脑传系统。因此, 母机的设置非常重要, 在传系统前, 我们对母机进行I P和M A C地址静态绑定。

3.2 软件主要操作流程

运行“计算机ARP保护系统”, 点击“获取计算机名称-IP-MAC”按钮, 获得计算机有关信息, 之后点击“将表格数据写入到计算机真实数据表格中”, 如图1所示。

进入“真实数据列表”, 点击“将下面表格中的信息存入文件”将生成IpMacFile.txt文件, 再进入“客户机设置”将文件复制到c:Windows目录下, 如图2所示。

驱动程序运行在中间层, 通过访问控制列表对A R P数据包进行控制, 通过共享内存与计算机A R P保护系统软件进行数据交换, 系统主要提供计算机在网络通讯中A R P保护, 通过驱动程序在中间层对A R P进行过滤拦截, 用户可以根据自己的需要随时更新I P、M A C访问控制列表, 并且可以显示被拦截的与I P、M A C访问控制列表不匹配的A R P数据包中的重要信息, 可以及时发现攻击源或被感染A R P病毒的主机, 本软件对于学校公共机房、校园网、网吧等大型网络管理用户适用。

3.3 软件实现的重要过程和函数

根据IP地址获得计算机的MAC地址功能函数:

根据IP地址获得计算机的名称功能函数:

为了防范ARP病毒攻击, 除了以上方法外, 我们应该时刻关注ARP病毒方面的有关报道, 加强防范措施, 保障我们公共机房的网络畅通, 使学生有个良好的上网环境。

参考文献

[1]王艳平, 张越.Windows网络与通信程序设计[M].北京:人民邮电出版社, 2006.

[2]康博.VB.NET入门经典[M].北京:清华大学出版社, 2002.

[3]崔彦峰, 银华强.精通ViSual Basic.NET网络编程[M].北京:清华大学出版社, 2004.

欺骗原理 第7篇

随着网络通信技术的发展, 互联网协议已经发展到了IPV6版本, 在使用互联网协议的过程中, 虽然IPV4版本还有许多不完善的地方, 但在IPV6代替IPV4版本之前, IPV4仍然在互联网通信的过程中还在起着主流的作用。在IPV4版本中, ARP作为地址解析协议, 是IPV4不可剥离的一种协议, 起着它应有的作用。由于IPV4版本设计之初没有考虑到ARP协议安全性的不足之处, 随着网络技术的不断发展, ARP协议在安全上逐渐暴露出它的脆弱性, 就有人针对ARP协议的漏洞产生了欺骗性的攻击, 导致局域网上网用户的隐私泄露或上网行为受到干扰。ARP欺骗作为一种典型的欺骗类攻击手段, 它包括产生伪造ARP请求和ARP应答包。攻击主机通过发送伪造的ARP应答来更新目标主机的ARP缓存, 从而使自身获得目标主机的信任。然后再实施有效攻击或非法监听网络数据包, 造成目标主机被攻破或机密信息泄露等一系列灾难性后果。

ARP协议在IPV4的作用

ARP是Address Resolution Protocol的英文缩写, 是地址解析协议的意思, 而所谓“地址解析”就是将主机在发送信息前将目标主机的IP地址转换成目标MAC地址, 保证通信的顺畅。

在IPV4版本的局域网中, 一个局域网构成是由许多主机连接而组成的, 这些主机在出厂时每块网卡都已有了唯一的MAC地址。而网络传输信息主要是以“帧”的方式传输, 帧里含有目标主机的MAC地址。如果一台主机要和另一台主机要进行通信, 就必须要知道目标主机的MAC地址, 要获得MAC地址就必须通过地址解析协议获得。怎样能够快速而又准确的记住每台主机上的MAC地址与IP地址的对应关系呢?这就需要ARP缓存表来进行记录。例如, 在局域网中有A、B两台主机通过交换机相连接, 当A主机需要向B主机的IP发送数据时, A主机需要先查看本机的ARP缓存表里是否存在目标主机的IP地址和对应的MAC地址, 如果存在就直接发送。如果不存在, A主机就向整个局域网发送广播, 请求使用这个IP地址的主机进行响应, 这时, B主机收到广播信息后就会向A主机返回一个响应信息, 将自己的IP地址对应的MAC地址告知给A主机, 当A主机收到B主机返回的对应信息后, 就将这个IP地址和MAC地址记录在ARP缓存表中, 当以后再需要发送信息, 就可以直接从ARP缓存表中查找并发送。

从上述可以看出, 在局域网中, 各主机之间进行通信时, 表面上看是通过IP地址相互识别, 但实质上最终都需要MAC地址, 而这正是ARP协议所能做到的, 所以ARP协议在局域网的通信中是不可或缺的。我们在windows操作系统的“命令提示符”窗口中输入ARP–a可以查看本机的ARP缓存表的信息, 如图1所示。

ARP存在的隐患

IPV4版本的局域网里, 每台主机都会每隔一定的时间或接到应答时, 都会再次更新自己的ARP缓存记录表。由于ARP是一个无状态的协议, 所以对于大多数操作系统, 如果每接到一个请求/应答, ARP不管自己是否在此之前曾经发出请求, 都会重更新本地的ARP缓存记录表, 如果有人发送一个自己伪造的ARP请求/应答, 就有可能为系统安全留下隐患。

ARP攻击原理

ARP攻击主要有两种类型:ARP请求风暴和ARP欺骗。

ARP请求暴

ARP请求风暴主要表现在在局域网里不断的发送请求/应答广播包, 几乎是对在同一段网的所有主机进行扫描, 不断的发送请求/应答, 这样的广播包会占用大量的网络带宽资源, 导致正常的通信网速下降, 这种现象是ARP初期攻击的状况。

ARP的欺骗

假设一个网络环境里有三台主机, 分别为A主机、B主机、C主机。正常情况下三台主机都能相互之间直接进行通信。如图2所示。

当C主机向A主机发送一个自己伪装的ARP请求/应答时, 而这个请求/应答中的信息为发送方的IP地址是192.168.202.22 (B主机的IP地址) , MAC地址是C3-7A-50-43-36 (而B主机的MAC地址应该是B2-2B-24-68-26) , 而这个MAC地址是C主机的, C主机已伪装成B主机了。当A主机接收到C主机伪装的ARP请求/应答, 就会更新修改本地ARP缓存记录表, A主机就会认为这是目的B主机的IP地址和MAC地址的对应, A主机就被欺骗了。同理, C主机也向B主机发送一个自己伪装的ARP请求/应答, B主机也象A主机那样认为伪装的C主机是A主机。这样A主机与B主机相互间通信的数据全部经过了C主机, 在C主机上就可以完全知晓A主机与B主机之间通信的所有信息。这个过程就是典型的ARP欺骗。[1,2]如图3所示。

但在现实中, ARP的欺骗方法主要是伪装成网关。如图4所示。

通过上述ARP欺骗原理, 不难看出图4这个局域网里的主机要访问Internet网络必然要经过路由器, 而这个局域网的网关就是路由器, 如果C主机伪装成路由器作为局域网的网关, 那么局域网里的其它主机都必须经过C主机才能访问Internet网, 在C主机上就能窃取局域网中其他主机访问Internet网络通信的所有信息。

受ARP攻击后产生的情况

在局域网中, 受到ARP攻击后主要表现两种情况:

一种是作为中间人攻击, 欺骗主机向被欺骗的主机发送大量的ARP请求/应答包进行欺骗, 当通信双方都被欺骗成功后, 自己作为中间人的身份, 保证被欺骗的主机之间能够通过中间人正常进行通信, 在通信过程中的信息很容易被中间人窃取。

另一种欺骗是只欺骗了其中的一方主机, 如图4, C主机伪装成成局域网中的网关, 通过ARP欺骗改变其它主机的网关地址, 甚至网关地址与原有的路由器的地址都不一样, 实质上这样就造成局域网的其他主机只跟C主机通信, 而没有跟路由器 (网关) 通信, 无法通过路由器 (网关) 访问Internet。用户在上Internet网时, 是处在断网状态, 是无法上网的。

应对的防范措施

在IPV4中的局域网中ARP协议是不可或缺的协议, 为了应对有人利用ARP的漏洞进行攻击, 可以采取多种综合防范措施。

IP地址与MAC地址静态绑定

不要把网络安全信任关系建立在IP基础上或MAC基础上, 理想的关系应该是建立在IP绑定MAC的基础上。设置静态的MAC与IP的对应表, 不要让主机刷新已设置好的转换表。

在windows系统的命令字符界面用ARP命令实现本机的网关IP地址与MAC地址的静态绑定。[3]

格式为:arp–s网关的IP地址网关的MAC地址

例如:局域网中的网关的IP地址是192.168.202.1, MAC地址是00-05-3b-80-60-e8, 那么要在本机上实现静态绑定, 操作如下:

(1) 先清除ARP缓存记录表的信息

这时, 用arp–a命令可以查看ARP缓存里已没有任何记录。

(2) 绑定地址

当设置完成后, 可以用arp–a命令查看绑定的信息。

当Type下的参数显示的是static, 说明已是静态的对应关系, 即使主机的ARP缓存记录表重新刷新也不会改变这个地址的对应关系。

为了防止绑定信息在主机重启后消失, 可以将上述步骤编成一个批处理文件 (.bat) 放在windows操作系统的“开始”菜单里的“启动”项, 每次开机后都会自动加载启动项目, 地址也就实现静态绑定。

添加注册表方法

先用记事本编辑如下信息:

保存为一个.Reg文件, 然后将其导入到每个主机的注册表里。

使用防ARP欺骗攻击的软件

在用户主机上安装防ARP攻击的软件, 比如, Comodo防火墙、360安全卫生士的ARP防火墙、瑞星个人防火墙等软件都能起到一定的作用。

查找ARP攻击源

利用ARP病毒的基本原理:发送伪造的ARP欺骗广播, 中毒电脑自身伪装成网关的特性, 就可以快速锁定中毒电脑。在网络正常的时候, 使用NBTSCAN工具扫描全网段的IP地址和MAC地址, 保存下一个全网段电脑的IP-MAC地址对照表, 记录下正确网关的IP地址和MAC地址。当局域网里出现ARP攻击现象时, 通过查询IP-MAC地址对照表就可查出带病毒的主机。[4]

欺骗原理 第8篇

1 ARP攻击原理

ARP攻击主要存在于局域网中, 黑客基于ARP协议的工作特性, 伪造IP地址和MAC地址实现ARP欺骗, 植入木马, 造成短时间内网络中产生大量的ARP通信量使网络阻塞, 导致用户网络中断和数据被窃取或篡改, 严重影响局域网的通信和信息安全。

1.1 ARP

ARP (Address Resolution Protocol) 是地址解析协议, 是一种将IP地址转化成物理地址的协议。其主要功能是通过目标设备的IP地址 (网络层) , 查询目标设备的MAC地址, (数据链路层) 以保证通信的进行。

1.2 ARP欺骗攻击原理

1) ARP欺骗攻击。在TCP/IP网络环境下, ARP协议的使用率是不言而喻的, 但它存在以下缺陷:一是ARP高速缓存实时动态更新;二是ARP协议没有完备的认证机制, 接收的协议包只要是有效的, 主机即更新本机ARP缓存, 并不检查和审核该协议包中IP和MAC地址的合法性。这就为ARP欺骗攻击提供了可能, 攻击者可发送虚假ARP包更新被攻击主机上的ARP缓存, 进行地址欺骗或拒绝服务攻击;

2) 实现原理。这里简要介绍利用ARP攻击获取被欺骗对象数据的原理。假设主机C为实施ARP欺骗的攻击者, 且已知A和B的IP地址, 其目的是截获主机B和主机A之间的通信数据。首先C发送伪造的ARP包获得主机B的MAC地址, 然后向B发送伪造的ARP Reply数据包, 其中源IP地址为A的IP地址, 但是源MAC地址却是主机C的MAC地址。主机B收到该ARP Reply后, 根据新的IP地址与MAC映射对ARP缓存进行更新。这样, 当B给A发送数据包时, 目标MAC地址将使用C的MAC地址, 因此就将数据包转发到C所在的端口。同理, 攻击者C向主机A发送伪造的ARP Reply, 达到攻击效果。同时, C可利用本地主机的路由功能, 将被劫持的数据包转发到正确的目的主机, 这时C将非法截获A和B之间的通信数据, 且网络不会出现异常阻断。如果利用ARP携带木马攻击, 将使用户网络不通外, 还可窃取用户大量私密资料, 如网上银行账号及密码、QQ密码等;

3) 被攻击后的主要特征。在被ARP攻击后的主机会出现以下常见的现象:第一, 网速时快时慢, 且极其不稳定, 但网络数据测试时正常。第二, 局域网内频繁性区域或整体掉线, 重启计算机或网络设备后恢复正常。

2 ARP欺骗攻击的防护措施

局域网ARP欺骗攻击的问题, 从目前尝试的各种方法来看, 还没有一个有效彻底的解决方法。一方面是对网络管理带来沉重的负荷, 实用性、操作性不强。另一方面某些措施致使网络数据传输效率低下, 浪费传输资源, 也不尽人意。我们知道ARP欺骗攻击主要是针对局域网中路由器的ARP表和内网PC的网关欺骗, 伪造内网MAC地址、IP, 截获数据或者发送内含木马程序的非法数据, 从而达到欺骗攻击网内用户的目的。所以, 笔者选取几种防范局域网ARP欺骗和攻击的方法予以介绍。

1) “双绑”措施。实现局域网网关和PC终端双向绑定MAC地址和IP。首先利用“IPCONFIG”命令获取局域网中PC的IP和MAC地址, 并将该信息添加到路由器的ARP映射表中。其次, 通过查看路由器的LAN口参数获取其IP和MAC地址, 然后在局域网中的每台计算机上实现静态ARP绑定;

2) VLAN和交换机端口绑定。把局域网划分为多个VLAN, 从而减小广播域的范围, 缩小ARP欺骗攻击在小范围内起作用, 而不至于发生大面积影响。同时, 利用交换机具有MAC地址学习的功能, 建立交换机MAC和端口进行绑定表, 避免了病毒利用ARP攻击篡改用户地址信息, 从而大大降低ARP攻击中用户数据被截获的风险;

3) 其他常见技术性措施。除了上述两种常见的应对措施外, 还可以运用PPPo E认证、ARP防护软件、个人PC防火墙等方法, 来避免和遏制ARP欺骗攻击。

PPPo E认证的方法, 主要强调的是用户的认证机制, 用户拥有专属的账号、密码, 在局域网中只有通过PPPo E认证, 才可以在局域网内进行通信, 而且通信数据进行了二次封装, 防止数据被改动而不受ARP欺骗影响, 其缺点是影响通信效率, 局域网间相互通信的需求无法满足等。

ARP防护软件, 例如ARP Guard (ARP卫士) , 占用计算机系统资源少, 无需对用户计算机进行IP地址及MAC地址绑定, 重启计算机后无需新建ARP缓存列表。其不仅可以有效解决ARP欺骗攻击问题, 而且还会对感染了ARP攻击病毒或欺骗木马的病毒源机器进行控制, 使其不能对局域网内其它计算机进行欺骗攻击。

个人PC防火墙措施, 通过在用户终端电脑上对网关进行绑定来实现, 但其不能保证网络中假网关的影响。其主要缺陷是也可能绑定一个伪造的网关, 适得其反, 这样就失去了防护功能。

3 建立免疫局域网络

免疫局域网络指在局域网普通交换网络的基础上, 加入一套安全和管理的解决方案。这里只介绍针对局域网ARP欺骗攻击的防范。在免疫局域网中, 针对局域网络中的路由器、交换机、网卡等网络设备, 采取ARP先天免疫、内网防火墙、滤窗技术等安全防护技术, 通过对局域网安全策略组合设定, 实现局域网的主动防御, 抑制、干预、阻止局域网ARP欺骗攻击的各种行为。这样使得免疫局域网络具有强大的网络基础安全和管理功能, 从而有效解决局域网中普遍存在的ARP欺骗攻击现象。

1) 终端防护措施。一方面每台局域网用户自动安装免疫驱动程序, 否则不能登录局域网。另一方面对用户的终端身份进行严格管理, 把终端的物理网卡MAC与真实IP对应, 在通信过程中通过免疫驱动对数据进行免疫封装取, 数据中包含真实MAC、真实IP、免疫标记三者合一, 这样有效防范了MAC克隆和假冒。这种看守式的防护措施, 对网内的重要标示性信息进行看守式监管, 对真实MAC、真实IP信息实时加以保护, 防止篡改;

2) 免疫路由器具备先天免疫ARP欺骗攻击。免疫路由器在NAT过程中, 采取了与普通路由器不同的专用算法, 不再使用IP-MAC映射的NAT转发算法, 对任何局域网终端IP-MAC的ARP申告不予处理, 将安全技术融于网络处理过程, 使ARP对免疫路由器的欺骗不起作用。

4 结语

笔者认为, 局域网的信息安全防护是IT业无法回避的话题, 怎样有效防护和提高局域网自身的免疫能力是关键。在当前比较完备的预防和阻止局域网ARP欺骗攻击解决方案中, 免疫局域网建设毋庸置疑的提供了一个很好的解决办法。免疫局域网不仅仅对ARP欺骗攻击能有效防止, 而且对骷髅头、CAM攻击、IP欺骗、虚假IP、虚假MAC、IP分片、DDo S攻击、超大Ping包、格式错误数据、发包频率超标等协议病毒攻击时, 也能起到主动干预的作用, 使其不能发作, 而且其群防群控、职能监控等功能, 也是构建一个安全、高效局域网不可或缺的保障。

摘要：主要针对局域网的ARP欺骗攻击原理进行了浅析, 认为, ARP欺骗攻击是通过篡改局域网目标用户映射到路由器上的MAC地址, 从而达到欺骗和攻击目标用户的目的, 同时经过对“双绑”措施、VLAN和交换机端口绑定、PPPoE认证、ARP防护软件、免疫网络等防护措施进行了比较分析, 得出建设免疫局域网才是有效解决局域网ARP欺骗攻击的根本办法。

关键词：局域网,ARP欺骗攻击,MAC/IP,免疫网络

参考文献

[1]戴子刚, 金惠芳.局域网应用技术[M].南京:东南大学出版社, 2003.

[2]明月创作室编著.局域网应用[D].北京:人民邮电大学出版社, 2001.

[3]陈卓.网络安全技术[M].北京:机械工业出版社, 2004.

[4]William Stalling.密码编码学与网络安全:原理与实践 (第二版) [M].北京:电子工业出版社, 2001.

[5]胡道元.网络设计师教程[M].北京:清华大学出版社, 2001.