arp協(xié)議的作用_ARP協(xié)議的安全問題和安全威脅

arp協(xié)議的作用_ARP協(xié)議的安全問題和安全威脅

　　在學(xué)習(xí)、工作生活中，協(xié)議的使用成為日常生活的常態(tài)，簽訂協(xié)議可以約束雙方履行責(zé)任。想寫協(xié)議卻不知道該請教誰？下面是小編幫大家整理的arp協(xié)議的作用_ARP協(xié)議的安全問題和安全威脅，歡迎大家分享。

　　在實現(xiàn)TCP/IP協(xié)議的網(wǎng)絡(luò)環(huán)境下，一個IP包走到哪里、要怎么走是靠路由表定義的，但是，當(dāng)IP包到達該網(wǎng)絡(luò)后，哪臺機器響應(yīng)這個IP包卻是靠該IP包中所包含的硬件MAC地址來識別的。也就是說，只有機器的硬件MAC地址和該IP包中的硬件MAC地址相同的機器才會應(yīng)答這個IP包，因為在網(wǎng)絡(luò)中，每一臺主機都會有發(fā)送IP包的時候，所以，在每臺主機的內(nèi)存中，都有一個arp--〉硬件MAC的轉(zhuǎn)換表。通常是動態(tài)的轉(zhuǎn)換表（該arp表可以手工添加靜態(tài)條目）。也就是說，該對應(yīng)表會被主機在一定的時間間隔后刷新。這個時間間隔就是ARP高速緩存的超時時間。通常主機在發(fā)送一個IP包之前，它要到該轉(zhuǎn)換表中尋找和IP包對應(yīng)的硬件MAC地址，如果沒有找到，該主機就發(fā)送一個ARP廣播包，于是，主機刷新自己的ARP緩存。然后發(fā)出該IP包。

　　了解這些常識后，現(xiàn)在就可以介紹在以太網(wǎng)絡(luò)中ARP欺騙是如何產(chǎn)生了，可以看看如下一個例子。

　　1．同網(wǎng)段ARP欺騙分析

　　如下所示，三臺主機的IP地址和MAC地址分布如下：

　　A: IP地址192.168.0.1硬件地址AA:AA:AA:AA:AA:AA；

　　B: IP地址192.168.0.2硬件地址BB:BB:BB:BB:BB:BB；

　　C: IP地址192.168.0.3硬件地址CC:CC:CC:CC:CC:CC。

　　一個位于主機B的入侵者想非法進入主機A，可是這臺主機上安裝有防火墻。通過收集資料他知道這臺主機A的防火墻只對主機C有信任關(guān)系（開放23端口（telnet））。而他必須要使用telnet來進入主機A，這個時候他應(yīng)該如何處理呢？

　　入侵者必須讓主機A相信主機B就是主機C，如果主機A和主機C之間的信任關(guān)系是建立在IP地址之上的。如果單單把主機B的IP地址改的和主機C的一樣，那是不能工作的，至少不能可靠地工作。如果你告訴以太網(wǎng)卡設(shè)備驅(qū)動程序，自己IP是192.168.0.3，那么這只是一種純粹的競爭關(guān)系，并不能達到目標(biāo)。我們可以先研究C這臺機器，如果我們能讓這臺機器暫時當(dāng)?shù)簦�競爭關(guān)系就可以解除，這個還是有可能實現(xiàn)的。在機器C宕掉的同時，將機器B的IP地址改為192.168.0.3，這樣就可以成功的通過23端口telnet到機器A上面，而成功的繞過防火墻的限制。

　　上面的這種想法在下面的情況下是沒有作用的，如果主機A和主機C之間的信任關(guān)系是建立在硬件地址的基礎(chǔ)上。這個時候還需要用ARP欺騙的手段，讓主機A把自己的ARP緩存中的關(guān)于192.168.0.3映射的硬件地址改為主機B的硬件地址。

　　我們可以人為地制造一個arp_reply的響應(yīng)包，發(fā)送給想要欺騙的主機，這是可以實現(xiàn)的，因為協(xié)議并沒有規(guī)定必須在接收到arp_echo后才可以發(fā)送響應(yīng)包。這樣的工具很多，我們也可以直接用Wireshark抓一個arp響應(yīng)包，然后進行修改。

　　可以人為地制造這個包�？梢灾付ˋRP包中的源IP、目標(biāo)IP、源MAC地址、目標(biāo)MAC地址。這樣你就可以通過虛假的ARP響應(yīng)包來修改主機A上的動態(tài)ARP緩存達到欺騙的目的。

　　下面是具體的步驟。

　�。�1）他先研究192.0.0.3這臺主機，發(fā)現(xiàn)這臺主機的漏洞。

　�。�2）根據(jù)發(fā)現(xiàn)的漏洞使主機C宕掉，暫時停止工作。

　�。�3）這段時間里，入侵者把自己的IP改成192.0.0.3。

　　（4）他用工具發(fā)一個源IP地址為192.168.0.3源MAC地址為BB:BB:BB:BB:BB:BB的包給主機A，要求主機A更新自己的ARP轉(zhuǎn)換表。

　　（5）主機更新了ARP表中關(guān)于主機C的IP-->MAC對應(yīng)關(guān)系。

　�。�6）防火墻失效了，入侵的IP變成合法的MAC地址，可以telnet了。

　�。�7）上面就是一個ARP的欺騙過程，這是在同網(wǎng)段發(fā)生的情況，但是，提醒注意的是，在B和C處于不同網(wǎng)段的時候，上面的方法是不起作用的。

　　2．不同網(wǎng)段ARP欺騙分析

　　假設(shè)A、C位于同一網(wǎng)段而主機B位于另一網(wǎng)段，三臺機器的ip地址和硬件地址如下：

　　A: IP地址192.168.0.1硬件地址AA:AA:AA:AA:AA:AA；

　　B: IP地址192.168.1.2硬件地址BB:BB:BB:BB:BB:BB；

　　C: IP地址192.168.0.3硬件地址CC:CC:CC:CC:CC:CC。

　　在現(xiàn)在的情況下，位于192.168.1網(wǎng)段的主機B如何冒充主機C欺騙主機A呢？顯然用上面的辦法的話，即使欺騙成功，那么由主機B和主機A之間也無法建立telnet會話，因為路由器不會把主機A發(fā)給主機B的包向外轉(zhuǎn)發(fā)，路由器會發(fā)現(xiàn)地址在192.168.0.這個網(wǎng)段之內(nèi)。

　　現(xiàn)在就涉及另外一種欺騙方式--ICMP重定向。把ARP欺騙和ICMP重定向結(jié)合在一起就可以基本實現(xiàn)跨網(wǎng)段欺騙的目的。

　　ICMP重定向報文是ICMP控制報文中的一種。在特定的情況下，當(dāng)路由器檢測到一臺機器使用非優(yōu)化路由的時候，它會向該主機發(fā)送一個ICMP重定向報文，請求主機改變路由。路由器也會把初始數(shù)據(jù)報向它的目的地轉(zhuǎn)發(fā)。

　　我們可以利用ICMP重定向報文達到欺騙的目的。下面是結(jié)合ARP欺騙和ICMP重定向進行攻擊的步驟。

　�。�1）為了使自己發(fā)出的非法IP包能在網(wǎng)絡(luò)上能夠存活長久一點，開始修改IP包的生存時間TTL為下面的過程中可能帶來的問題做準(zhǔn)備。把TTL改成255。（TTL定義一個IP包如果在網(wǎng)絡(luò)上到不了主機后，在網(wǎng)絡(luò)上能存活的時間，改長一點在本例中有利于做充足的廣播）。

　�。�2）下載一個可以自由制作各種包的工具（例如hping2）。

　�。�3）然后和上面一樣，尋找主機C的漏洞按照這個漏洞宕掉主機C。

　�。�4）在該網(wǎng)絡(luò)的主機找不到原來的192.0.0.3后，將更新自己的ARP對應(yīng)表。于是他發(fā)送一個原IP地址為192.168.0.3硬件地址為BB:BB:BB:BB:BB:BB的ARP響應(yīng)包。

　�。�5）現(xiàn)在每臺主機都知道了，一個新的MAC地址對應(yīng)192.0.0.3，一個ARP欺騙完成了，但是，每臺主機都只會在局域網(wǎng)中找這個地址而根本就不會把發(fā)送給192.0.0.3的IP包丟給路由。于是他還得構(gòu)造一個ICMP的重定向廣播。

　　（6）自己定制一個ICMP重定向包告訴網(wǎng)絡(luò)中的主機："到192.0.0.3的路由最短路徑不是局域網(wǎng)，而是路由，請主機重定向你們的路由路徑，把所有到192.0.0.3的IP包丟給路由。"

　�。�7）主機A接收這個合理的ICMP重定向，于是修改自己的路由路徑，把對192.0.0.3的通信都丟給路由器。

　　（8）入侵者終于可以在路由外收到來自路由內(nèi)的主機的IP包了，他可以開始telnet到主機的23口。

　　其實上面的想法只是一種理想話的情況，主機許可接收的ICMP重定向包其實有很多的限制條件，這些條件使ICMP重定向變得非常困難。

　　TCP/IP協(xié)議實現(xiàn)中關(guān)于主機接收ICMP重定向報文主要有下面幾條限制。

　�。�1）新路由必須是直達的。

　�。�2）重定向包必須來自去往目標(biāo)的當(dāng)前路由。

　�。�3）重定向包不能通知主機用自己做路由。

　�。�4）被改變的路由必須是一條間接路由。

　　由于有這些限制，所以ICMP欺騙實際上很難實現(xiàn)。但是我們也可以主動地根據(jù)上面的思維尋找一些其他的方法。更為重要的是我們知道了這些欺騙方法的危害性，我們就可以采取相應(yīng)的防御辦法。

　　3．ARP欺騙的防御原則

　　我們給出如下一些初步的防御方法。

　　（1）不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在IP地址的基礎(chǔ)上或硬件MAC地址基礎(chǔ)上，（RARP同樣存在欺騙的問題），理想的關(guān)系應(yīng)該建立在IP+MAC基礎(chǔ)上。

　�。�2）設(shè)置靜態(tài)的MAC→IP對應(yīng)表，不要讓主機刷新你設(shè)定好的轉(zhuǎn)換表。

　�。�3）除非很有必要，否則停止使用ARP，將ARP作為永久條目保存在對應(yīng)表中。在Linux下用ifconfig -arp可以使網(wǎng)卡驅(qū)動程序停止使用ARP。

　�。�4）使用代理網(wǎng)關(guān)發(fā)送外出的通信。

　�。�5）修改系統(tǒng)拒收ICMP重定向報文。在Linux下可以通過在防火墻上拒絕ICMP重定向報文或者是修改內(nèi)核選項重新編譯內(nèi)核來拒絕接收ICMP重定向報文。在Win 20xx下可以通過防火墻和IP策略拒絕接收ICMP報文。

【arp協(xié)議的作用_ARP協(xié)議的安全問題和安全威脅】相關(guān)文章：

ARP協(xié)議的安全問題和安全威脅09-15

基于網(wǎng)絡(luò)中ARP問題的分析及對策論文03-02

探析數(shù)字圖書館網(wǎng)絡(luò)防治ARP病毒的策略03-19

電腦信息安全的威脅和管理策略11-19

TCP/IP協(xié)議網(wǎng)絡(luò)安全問題分析論文05-06

七號信令中SCCP協(xié)議的安全問題研究11-22

意大利留學(xué)安全問題03-29

關(guān)于安全問題的作文04-05

網(wǎng)絡(luò)安全威脅因素與安全技術(shù)論文11-24

外包項目安全環(huán)保和治安協(xié)議08-22