返回
基于arp欺骗内网渗透和防范

基于arp欺骗内网渗透和防范

ID:23765688

大小:51.00 KB

页数:6页

时间:2018-11-10

基于arp欺骗内网渗透和防范_第1页
基于arp欺骗内网渗透和防范_第2页
基于arp欺骗内网渗透和防范_第3页
基于arp欺骗内网渗透和防范_第4页
基于arp欺骗内网渗透和防范_第5页
资源描述:

《基于arp欺骗内网渗透和防范》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、基于ARP欺骗内网渗透和防范摘要本文从协议欺骗的角度,讨论了在内网中进行网络渗透的方法,研究了基于ARP欺骗的数据包替换技术,以替换AC地址。IP地址到MAC地址的映射关系主要是靠ARP协议来实现的。对于网络主机,这个映射关系存放在ARP高速缓存中。ARP协议是这样工作的:首先,网络通信源机器向网络广播ARP请求包,请求网络通信目的机器IP所对应的MAC地址;然后使用该IP的机器会向请求方发送一个含有其MAC地址的ARP回应包,这样请求方就知道向哪个MAC地址(目的主机)发送数据。ARP协议存在以下安全问题[1]:无连接、无认证、动态

2、性、广播。利用ARP协议的这些安全问题,可以设计ARP协议欺骗的步骤和方法。①主机在不知道目的IP对应的MAC地址时,进行ARP广播请求,入侵者可以在接收到该ARP请求后以自己的MAC地址应答,进行假冒;②由于被假冒机器所发送的ARP应答有可能比入侵者发送的应答晚到达请求主机,为了确保请求主机的缓存中绝大部分时间存放的是入侵者的MAC地址,可以在收到ARP请求后稍微延迟一段时间再发送一遍ARP应答;③有些系统会向自己缓存中的地址发送非广播的ARP请求来更新自己的缓存。在交换网络环境下,如果请求主机缓存中已存有正确的主机MAC地址,入侵

3、者就不能用以上接收请求然后应答的方法来更换被攻击主机缓存内容。由ARP弱点分析可知,应答可以随意发送,不一定要在请求之后。1.2基于协议欺骗的内网渗透基于协议欺骗的内网渗透技术也称无漏洞渗透技术。无漏洞渗透技术是相对于利用软件漏洞进行网络渗透的技术来说的。在以太网中,只要被渗透机器在网络中传输的数据包经过本地网卡,在本地就可以截获其数据包中的敏感信息,并可以更改数据包内容、替换数据包中的传输实体,使得被渗透机器上的敏感信息泄露,并可以使其在接收到被更改过的数据包之后,产生更多的损失。对内网中的机器进行渗透,不一定需要软件漏洞的存在。将

4、这种不需要软件漏洞进行渗透的技术称为无漏洞渗透技术。在交换型以太网中,所有的主机连接到交换机,交换机知道每台计算机的MAC地址信息和与之相连的特定端口,发给某个主机的数据包会被交换机从特定的端口送出,交换机通过数据包中的目的MAC地址来判断最终通过自己的哪个端口来传递该报文,通过ARP欺骗之后,交换机将无条件地对这些报文进行转发,从而确保了ARP欺骗报文的正确发送。2基于ARP欺骗的内网渗透2.1无漏洞渗透技术无漏洞渗透技术的研究重点是在欺骗成功之后,对数据包的处理。对数据包处理的方式主要有两种,敏感信息的截取和传输实体的获取与替换。

5、·报文中敏感信息的获取对于明文传输的面向连接和非面向连接的协议,在截获报文之后,对报文中传输的信息进行还原,并提取其中的敏感信息,如非加密TP协议。对文件的实体获取是相对简单的,对到达本地网卡的报文进行缓存,当收到连续报文中小于1500Byte[2]的报文时对报文进行还原,文件实体便可以得到。本文以网页传输为例,来探讨传输报文中网页里包含链接的替换,分析WEB欺骗攻击[3]的原理。2.2数据包获取与分析数据包常规的传输路径依次为网卡、设备驱动层、数据链路层、IP层、传输层、最后到达应用程序。而包捕获机制是在数据链路层增加一个旁路处理,

6、对发送和接收到的数据包做过滤/缓冲等相关处理,最后直接传递到应用程序。值得注意的是,包捕获机制并不影响操作系统对数据包的网络栈处理。对用户程序而言,包捕获机制提供了一个统一的接口,使用户程序只需要简单的调用若干函数就能获得所期望的数据包。目前,在Unix下有Libpcap开发包、Windows下有Winpcap开发包,都可以轻松地实现数据包的捕获和分析。2.3数据包内容替换·WEB请求截获通过浏览器发送WEB页的请求,经过封装后形成的以太网数据包不会超过1514Byte,所以,不用担心WEB请求报文会出现分片的情况。当实现欺骗之后,就

7、不断地截获、转发两个被欺骗目标之间的通信报文,并分析每一个小于1514Byte(以太包)的通信报文。一个HTTP请求包包含14字节的以太网头部、20字节的IP头部和20字节的TCP头部以及HTTP请求包。其中HTTP协议(以HTTP1.1为例)包格式[4]如图1所示。图1HTTP请求包格式一个请求包括:方法+请求URI+HTTP版本号。方法有:GET

8、HEAD

9、POST

10、扩展方法;URI=目录与文件名;HTTP版本为HTTP/1.1。一个完整的URL为协议类型+WEB域名+URI。截获到HTTP请求包之后,发送以自身为源IP的伪造请求

11、包到WEB服务器,和WEB服务器交互,以获取所有请求的文件内容。注意,在截获请求后,需要缓存TCP头部的序号和确认号,以备发送修改后的请求文件所用。·获取正常WEB页、替换连接复制请求的内容,根据序号和确认号构造包头,发

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。