返回
基于dai的arp攻击深度防御

基于dai的arp攻击深度防御

ID:20700176

大小:198.91 KB

页数:5页

时间:2018-10-15

基于dai的arp攻击深度防御_第1页
基于dai的arp攻击深度防御_第2页
基于dai的arp攻击深度防御_第3页
基于dai的arp攻击深度防御_第4页
基于dai的arp攻击深度防御_第5页
资源描述:

《基于dai的arp攻击深度防御》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、&于DAI的ARP欺骗深度防御摘要:随若各种痫毐与木马程序的泛滥,ARP欺骗在以太网校园网中己经成为危害网络正常稳定运行的主要问题。文章在对ARP攻击方式进行深入分析的基础上,阐述了DAI如何预防ARP欺骗的工作原理。以CiSco3750交换机为例设计了基于DAI的防御方案;指出了在配.胃.过程屮应注意的事项;分析了H前DAI的局限以及对进一步防御的展望。ARP:ARP欺骗;DAI;防御中图分类号:TP393文献标识码:A、妒▲—刖gCERNET应急响应组2007年5月报告ARP欺骗是首要威胁。确实,一些带有ARP欺骗功能的木马病毒,利用ARP协议的缺陷,像大规模的流

2、行性感冒一样,极大地威胁着以太网用户的安全。在校闶网屮,随着网络规模的扩大,网络节点的增加,巾于ARP欺骗造成的日益频繁的网络时断时续、无法上网,更大范围地影响了广大网民的学习、工作和生活,同时也深深地困扰着网络管理员们。一、Arp的主要攻击类型究其ARP攻击的主要类型主要可分为两种:冒充主机欺骗网关和冒充网关欺骗主机。1.1冒充主机欺骗网关冒充主机欺骗网关,是一种比较常见的典型攻击类型。如图1所示,如果攻击主机C发出一个ARP包文,其中的源Mac地址为MacC,源Ip地址为IpA,如图2的①所示,那么网关D收到这个ARP包后会产生如表1的第二行所示的ARP缓存项。即

3、任何发往主机A的报文都会被发往攻击主机C,网关无法与真实主机A直接通信。假如攻击主机C不断地利用自己的真实Mac地址和其他主机的Ip地址作为源地址发送ARP包,则网关会产生如表1所示的ARP表,即网关无法与网段内的任何主机(攻击主机C除外)直接通信。然而,这种情况下交换机是不会产生任何报警tl志的,原因在于,多个Ip地址对应一个Mac地址在交换机看來是正常的,不会影响其通过Ip所对应的Mac来交付报文。主机A主机B攻击主机CIpA,MacAIpB,MacBIpC,MacCAddressHardwareAddrInterfaceIpAMacCVlan201IpBMacC

4、Vlan201IpCMacCVlan20lIpDMacDVlan201表1交换机网关受到C胃充其他主机攻击时的arp表InternetAddressPhysicalAddressTypeIpBMacBdynamicIpCMacCdynamicIpDMacCdynamic表2主机A受到C胃充网关攻击时的arp缓存表图1ARP攻击网络拓扑图但是如果攻击主机不断利用任意不同的Mac地址作为源Mac地址;某一Ip地址,比如IpA,为源Ip地址,那么交挽机则会产生关于IpA地址冲突的报警日志。如果此种攻击过于频繁,多台攻击主机在实施攻击,会导致交换机的CPU使用率过高。严重的可

5、能导致交换机瘫痪,其他正常的服务也无法提供,即遭受拒绝服务攻击。1.2冒充网关欺骗主机冒充网关欺骗主机也是一种常用的攻击方式。攻击主机C向主机A发出一个ARP回应包文,其中的源Mac地址为MacC,源Ip地址为IpD,如图2的②所示。那么主机A生成的ARP缓存表如表2第三行所示。主机A发往网关D的报文都会被发往攻击主机C,造成主机A突然断网。如果攻击主机C向网关D转发了來自主机A的报文,那么主机A能够迎过攻击主机C继续上网。种正常的表现了。源MacMacAMacBMacC当然上网的质量完全取决于攻击主机C,时断时续也是一显然要实现上述的转髮银巢,文即所谓的中间人攻击(

6、ManIntheMiddle),攻击主机C需要同时欺骗阖关胃莖疣呔,Affi#客餡褥律瀕个屮间人。攻击主机通过ARP攻击同吋欺骗了多台主机,某一主机发往0标主机的信息被攻击主机截获,并转发到目标主机;目标主机发送给源主机的信息也被攻击主机截获,并转发到源主机。攻击主机C的假冒arp报文,无论是发给网关D,或者主机A,两者都被照单全收,立即更新各自的arp缓存,为攻击主机开启方便之门。因此,之所以ARP攻击能够得逞,主要的原因在于没有对ARP报文信息的真实性进行检验。、DAI的原理巾上述的分析可知如何部署对ARP报文的有效性检验是预防ARP攻击的根本。如何确定哪些ARP

7、报文是合法的呢?众所周知,在由DHCP服务器构成的动态分配主机Ip的环境中,主机申请Ip时的Mac地址和Ip地址是一一配对的,也是唯一的,上述的攻击主机C也不能例外,因此不可能利川同一个Mac地址申请到多个Ip地址,更不可能申请到网关地址。Cisco开发的动态ARP报文检测(DynamicArpInspection),就是利用DHCP服务记录的申请者的Mac地址,Ip地址以及相应的交换机端口号,提供了一种比较完善的解决方案,其主要的工作流程如图3所示:交换机端口收到ARP报文时,会提取该报文中的源Mac地址与Ip地址对,将其与DHCPsnooping

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。