• / 21
  • 下载费用:5 金币  

46AddressResolutionProtocol(APR)欺骗技术.ppt

关 键 词:
46 ADDRESSRESOLUTIONPROTOCOL APR 欺骗 技术
资源描述:
Address Resolution Protocol (ARP)欺骗技术,毛 旭 2015140308 林乐轩 2015140297 肖占蒙 2015140298 刘志超 2015140296,目录,ARP简介ARP欺骗技术ARP攻击ARP欺骗的防护受到ARP攻击后的解决办法,ARP简介,什么是ARPAddress Resolution Protocol即地址解析协议。ARP的作用太网交换设备并不能识别32位的IP地址,它们是以48位以太网地址(MAC地址)传输 以太网数据包的。 IP数据包在局域网内部传输时并不是靠IP地址而是靠MAC地址来识别目标 的,因此IP地址与MAC地址之间就必须存在一种对应关系,而ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。,ARP简介,ARP Cache在安装了以太网网络适配器(既网卡)或TCP/IP协议的计算机中,都有ARP Cache用来保存IP地址以及经解析的MAC地址,如下图所示。,ARP简介,ARP工作原理(以A向C发送数据为例)1.A检查自己的ARP Cache,是否有C的信息;2.若没找到,发送ARP广播请求,附带自身信息;3.C将A得信息加入自己的ARP Cache;4.C回应A一个ARP信息;5.A将C得信息加入自己的ARP Cache;6.A使用ARP Cache中的信息向C发消息。,ARP简介,主机A与主机B通讯 主机A与主机C通讯,返回目录,ARP欺骗技术,ARP的缺陷ARP建立在信任局域网内所有结点的基础上。无状态的协议,不检查是否发过请求或是否是合法的应答,不只在发送请求后才接收应答。只要收到目标MAC是自己的ARP请求包或ARP应答包,就接受并缓存,将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。这样,便为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至可以做“中间人”。,ARP欺骗技术,典型ARP欺骗类型之一欺骗主机作为“中间人”,被欺骗主机的数据都经它中转,以窃取被欺骗主机间的通讯数据。假设一网络环境中有三台主机分别为A、B、CA- IP:192.168.10.1 MAC:AA-AA-AA-AA-AA-AAB- IP:192.168.10.2 MAC:BB-BB-BB-BB-BB-BBC- IP:192.168.10.3 MAC:CC-CC-CC-CC-CC-CCB给A应答IP是192.168.10.3 MAC是BB-BB-BB-BB-BB-BBB给C应答IP是192.168.10.1 MAC是AA-AA-AA-AA-AA-AAB对A伪装成C,对C伪装成A,A和C都被欺骗了!,ARP欺骗技术,双向欺骗,欺骗者必须同时对网关和主机进行欺骗。主机B截取主机A与主机C之间的数据通信。,ARP欺骗技术,典型ARP欺骗类型之二截获网关数据,欺骗路由器的ARP表。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常的计算机无法收到信息。,ARP欺骗技术,典型ARP欺骗类型之三伪造网关,欺骗内网计算机,造成断网。建立假网关,让被它欺骗的计算机向该假网关发数据,而不是发给路由器。这样无法通过正常的路由器途径上网,在计算机看来,就是上不了网,即网络掉线或断网了。,返回目录,ARP攻击,ARP攻击主要是指ARP欺骗ARP攻击也包括ARP扫描(或称请求风暴)即在网络中产生大量ARP请求广播包,严重占用网络带宽资源,使网络阻塞。ARP扫描一般为ARP攻击的前奏。ARP攻击主要是存在于局域网中ARP攻击一般通过木马感染计算机,ARP攻击,ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。受到ARP攻击的计算机一般会出现的现象:不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。计算机不能正常上网,出现网络中断的症状。,返回目录,ARP欺骗的防护,局域网内可采用静态ARP Cache在网络内部将主机和网关做IP和MAC静态绑定。是预防ARP欺骗攻击的最有效的方法之一。静态绑定的IP和MAC地址条目不会被ARP请求和响应改变。缺点是需要极高的管理维护成本。ARP Cache设置超时ARP Cache表项一般有超时值,可以适当缩短。,ARP欺骗的防护,主动查询在某个正常的时刻,做一个IP和MAC对应的数据库,以后定期检查当前的IP和MAC对应关系是否正常。同时定期检测交换机的流量列表,查看丢包率。使用ARP防护软件具有ARP防护功能的路由器,ARP欺骗的防护,网络运营商可采用Super VLAN技术在同一个子网中分化出多个Sub VLAN,而将整个IP子网指定为一个Super VLAN。所有Sub VLAN都使用Super VLAN的默认网关IP地址,不同的Sub VLAN仍保留各自独立的广播域。子网中的所有主机只能与自己的默认网关通信。如果将交换机设备的每个端口化为一个Sub VLAN,则实现了所有端口的隔离,也就避免了ARP欺骗。,,ARP欺骗的防护,网络运营商也可采用PVLAN技术PVLAN即私有VLAN(Private VLAN),PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。如果将交换机的每个端口化为一个(下层)VLAN,则实现了所有端口的隔离。PVLAN和Super VLAN技术都可以实现端口隔离。,返回目录,受到ARP攻击后的解决办法,1.故障现象及原因分析局域网内出现异常情况时,看看是否符合ARP欺骗的几种类型。2.故障诊断如发现符合ARP欺骗的情况,可尝试删除并重建本机ARP Cache,如能恢复,则很可能正是受到了ARP攻击。 在路由器(三次交换机)上查询ARP缓存表(一个MAC地址对应多个IP地址),受到ARP攻击后的解决办法,3.故障处理可以采用ARP欺骗防护的几种办法,也可以使用专业防护软件或防火墙。4.找出ARP欺骗来源捕获局域网内所有主机的发送和接受到的数据包。若发现有某IP相应的主机行为异常,如不断发送ARP请求包,则该主机一般就是病毒源。5.清理ARP欺骗来源,返回目录,返回目录,谢谢!!!,
展开阅读全文
1
  金牌文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:46AddressResolutionProtocol(APR)欺骗技术.ppt
链接地址:http://www.gold-doc.com/p-257072.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服客服 - 联系我们
copyright@ 2014-2018 金牌文库网站版权所有
经营许可证编号:浙ICP备15046084号-3
收起
展开