2023年全國碩士研究生考試考研英語一試題真題(含答案詳解+作文范文)_第1頁
已閱讀1頁,還剩18頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、計算機網(wǎng)絡(luò)研討第八周,組員: 12121408 朱 偉 12121447 蔣 濤 12121407 徐龍偉,研討題目,ARP協(xié)議原理安全及防護(hù),地址解析協(xié)議,即ARP(Address Resolution Protocol)是根據(jù)IP地址獲取物理地址的一個TCP/IP協(xié)議。主機發(fā)送信息時將包含目標(biāo)IP地址的ARP請求廣播到網(wǎng)絡(luò)上的所有主機,并接收返回消息,以此確定目標(biāo)的物理地址;收

2、到返回消息后將該IP地址和物理地址存入本機ARP緩存中并保留一定時間,下次請求時直接查詢ARP緩存以節(jié)約資源。地址解析協(xié)議是建立在網(wǎng)絡(luò)中各個主機互相信任的基礎(chǔ)上的,網(wǎng)絡(luò)上的主機可以自主發(fā)送ARP應(yīng)答消息,其他主機收到應(yīng)答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存;由此攻擊者就可以向某一主機發(fā)送偽ARP應(yīng)答報文,使其發(fā)送的信息無法到達(dá)預(yù)期的主機或到達(dá)錯誤的主機,這就構(gòu)成了一個ARP欺騙。ARP命令可用于查詢本機ARP緩存中IP

3、地址和MAC地址的對應(yīng)關(guān)系、添加或刪除靜態(tài)對應(yīng)關(guān)系等。相關(guān)協(xié)議有RARP、代理ARP。NDP用于在IPv6中代替地址解析協(xié)議。,一、ARP協(xié)議工作原理,主機A的IP地址為192.168.1.1,MAC地址為0A-11-22-33-44-01;主機B的IP地址為192.168.1.2,MAC地址為0A-11-22-33-44-02;當(dāng)主機A要與主機B通信時,地址解析協(xié)議可以將主機B的IP地址(192.168.1.2)解析成主機B

4、的MAC地址,以下為工作流程。,第1步:根據(jù)主機A上的路由表內(nèi)容,IP確定用于訪問主機B的轉(zhuǎn)發(fā)IP地址是192.168.1.2。然后A主機在自己的本地ARP緩存中檢查主機B的匹配MAC地址。第2步:如果主機A在ARP緩存中沒有找到映射,它將詢問192.168.1.2的硬件地址,從而將ARP請求幀廣播到本地網(wǎng)絡(luò)上的所有主機。源主機A的IP地址和MAC地址都包括在ARP請求中。本地網(wǎng)絡(luò)上的每臺主機都接收到ARP請求并且檢查是否與自己的IP

5、地址匹配。如果主機發(fā)現(xiàn)請求的IP地址與自己的IP地址不匹配,它將丟棄ARP請求。第3步:主機B確定ARP請求中的IP地址與自己的IP地址匹配,則將主機A的IP地址和MAC地址映射添加到本地ARP緩存中。第4步:主機B將包含其MAC地址的ARP回復(fù)消息直接發(fā)送回主機A。第5步:當(dāng)主機A收到從主機B發(fā)來的ARP回復(fù)消息時,會用主機B的IP和MAC地址映射更新ARP緩存。本機緩存是有生存期的,生存期結(jié)束后,將再次重復(fù)上面的過程。主機B的

6、MAC地址一旦確定,主機A就能向主機B發(fā)送IP通信了。,工作要素——ARP緩存,ARP緩存是個用來儲存IP地址和MAC地址的緩沖區(qū),其本質(zhì)就是一個IP地址-->MAC地址的對應(yīng)表,表中每一個條目分別記錄了網(wǎng)絡(luò)上其他主機的IP地址和對應(yīng)的MAC地址。每一個以太網(wǎng)或令牌環(huán)網(wǎng)絡(luò)適配器都有自己單獨的表。當(dāng)?shù)刂方馕鰠f(xié)議被詢問一個已知IP地址節(jié)點的MAC地址時,先在ARP緩存中查看,若存在,就直接返回與之對應(yīng)的MAC地址,若不存在,才發(fā)送AR

7、P請求向局域網(wǎng)查詢。,為使廣播量最小,ARP維護(hù)IP地址到MAC地址映射的緩存以便將來使用。ARP緩存可以包含動態(tài)和靜態(tài)項目。動態(tài)項目隨時間推移自動添加和刪除。每個動態(tài)ARP緩存項的潛在生命周期是10分鐘。新加到緩存中的項目帶有時間戳,如果某個項目添加后2分鐘內(nèi)沒有再使用,則此項目過期并從ARP緩存中刪除;如果某個項目已在使用,則又收到2分鐘的生命周期;如果某個項目始終在使用,則會另外收到2分鐘的生命周期,一直到10分鐘的最長生命周期。

8、靜態(tài)項目一直保留在緩存中,直到重新啟動計算機為止。,ARP工作媒介——報文,硬件類型:指明了發(fā)送方想知道的硬件接口類型,以太網(wǎng)的值為1;協(xié)議類型:指明了發(fā)送方提供的高層協(xié)議類型,IP為0800(16進(jìn)制);硬件地址長度和協(xié)議長度:指明了硬件地址和高層協(xié)議地址的長度,這樣ARP報文就可以在任意硬件和任意協(xié)議的網(wǎng)絡(luò)中使用;操作類型:用來表示這個報文的類型,ARP請求為1,ARP響應(yīng)為2,RARP請求為3,RARP響應(yīng)為4;發(fā)送方硬件

9、地址(0-3字節(jié)):源主機硬件地址的前3個字節(jié);發(fā)送方硬件地址(4-5字節(jié)):源主機硬件地址的后3個字節(jié);發(fā)送方IP地址(0-1字節(jié)):源主機硬件地址的前2個字節(jié);發(fā)送方IP地址(2-3字節(jié)):源主機硬件地址的后2個字節(jié);目標(biāo)硬件地址(0-1字節(jié)):目的主機硬件地址的前2個字節(jié);目標(biāo)硬件地址(2-5字節(jié)):目的主機硬件地址的后4個字節(jié);目標(biāo)IP地址(0-3字節(jié)):目的主機的IP地址。[3],二、ARP欺騙,地址解析協(xié)議是建立

10、在網(wǎng)絡(luò)中各個主機互相信任的基礎(chǔ)上的,它的誕生使得網(wǎng)絡(luò)能夠更加高效的運行,但其本身也存在缺陷:ARP地址轉(zhuǎn)換表是依賴于計算機中高速緩沖存儲器動態(tài)更新的,而高速緩沖存儲器的更新是受到更新周期的限制的,只保存最近使用的地址的映射關(guān)系表項,這使得攻擊者有了可乘之機,可以在高速緩沖存儲器更新表項之前修改地址轉(zhuǎn)換表,實現(xiàn)攻擊。ARP請求為廣播形式發(fā)送的,網(wǎng)絡(luò)上的主機可以自主發(fā)送ARP應(yīng)答消息,并且當(dāng)其他主機收到應(yīng)答報文時不會檢測該報文的真實性就將

11、其記錄在本地的MAC地址轉(zhuǎn)換表,這樣攻擊者就可以向目標(biāo)主機發(fā)送偽ARP應(yīng)答報文,從而篡改本地的MAC地址表。[5] ARP欺騙可以導(dǎo)致目標(biāo)計算機與網(wǎng)關(guān)通信失敗,更會導(dǎo)致通信重定向,所有的數(shù)據(jù)都會通過攻擊者的機器,因此存在極大的安全隱患。,常見ARP欺騙形式,1、假冒ARP reply包(單播)XXX,I have IP YYY and my MAC is ZZZ!2、假冒ARP reply包(廣播)Hello ever

12、yone! I have IP YYY and my MAC is ZZZ!向所有人散布虛假的IP/MAC3、假冒ARP request(廣播)I have IP XXX and my MAC is YYY.Who has IP ZZZ? tell me please!表面為找IP ZZZ的MAC,實際是廣播虛假的IP、MAC映射(XXX,YYY),,4、假冒ARP request(單播)已知IP ZZZ的MACHel

13、lo IP ZZZ! I have IP XXX and my MAC is YYY.5、假冒中間人欺騙主機(MAC為MMM)上啟用包轉(zhuǎn)發(fā)向主機AAA發(fā)假冒ARP Reply:AAA,I have IP BBB and my MAC is MMM,向主機BBB發(fā)假冒ARP Reply:BBB,I have IP AAA and my MAC is MMM由于ARP Cache的老化機制,有時還需要做周期性連續(xù)欺騙。,三

14、、ARP欺騙的防范,不要把網(wǎng)絡(luò)安全信任關(guān)系建立在IP基礎(chǔ)上或MAC基礎(chǔ)上(RARP同樣存在欺騙的問題),理想的關(guān)系應(yīng)該建立在IP+MAC基礎(chǔ)上。設(shè)置靜態(tài)的MAC-->IP對應(yīng)表,不要讓主機刷新設(shè)定好的轉(zhuǎn)換表。除非很有必要,否則停止使用ARP,將ARP做為永久條目保存在對應(yīng)表中。使用ARP服務(wù)器。通過該服務(wù)器查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機器的ARP廣播。確保這臺ARP服務(wù)器不被黑。使用“proxy”代理IP的傳輸。,,使

15、用硬件屏蔽主機。設(shè)置好路由,確保IP地址能到達(dá)合法的路徑(靜態(tài)配置路由ARP條目),注意,使用交換集線器和網(wǎng)橋無法阻止ARP欺騙。管理員定期用響應(yīng)的IP包中獲得一個RARP請求,然后檢查ARP響應(yīng)的真實性。管理員定期輪詢,檢查主機上的ARP緩存。使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。注意有使用SNMP的情況下,ARP的欺騙有可能導(dǎo)致陷阱包丟失。若感染ARP病毒,可以通過清空ARP緩存、指定ARP對應(yīng)關(guān)系、添加路由信息、使用防病毒軟件等方式解決

16、。,,1、運營商可采用Super VLAN或PVLAN技術(shù)所謂Super VLAN也叫VLAN聚合,這種技術(shù)在同一個子網(wǎng)中化出多個Sub VLAN,而將整個IP子網(wǎng)指定為一個VLAN聚合(Super VLAN),所有的Sub VLAN都使用Super VLAN的默認(rèn)網(wǎng)關(guān)IP地址,不同的Sub VLAN仍保留各自獨立的廣播域。子網(wǎng)中的所有主機只能與自己的默認(rèn)網(wǎng)關(guān)通信。如果將交換機或IP DSLAM設(shè)備的每個端口化為一個Sub VLAN

17、,則實現(xiàn)了所有端口的隔離,也就避免了ARP欺騙。PVLAN即私有VLAN(Private VLAN) ,PVLAN采用兩層VLAN隔離技術(shù),只有上層VLAN全局可見,下層VLAN相互隔離。如果將交換機或IP DSLAM設(shè)備的每個端口化為一個(下層)VLAN,則實現(xiàn)了所有端口的隔離。PVLAN和SuperVLAN技術(shù)都可以實現(xiàn)端口隔離,但實現(xiàn)方式、出發(fā)點不同。PVLAN是為了節(jié)省VLAN,而SuperVlan的初衷是節(jié)省IP地址。

18、,2、單位局域網(wǎng)可采用IP與MAC綁定在PC上IP+MAC綁,網(wǎng)絡(luò)設(shè)備上IP+MAC+端口綁。但不幸的是Win 98/me、未打arp補丁的win 2000/xp sp1(現(xiàn)在大多都已經(jīng)打過了)等系統(tǒng) 使用arp -s所設(shè)置的靜態(tài)ARP項還是會被ARP欺騙所改變。如果網(wǎng)絡(luò)設(shè)備上只做IP+MAC綁定,其實也是不安全的,假如同一二層下的某臺機器發(fā)偽造的arp reply(源ip和源mac都填欲攻擊的那臺機子的)給網(wǎng)關(guān),還是會造成網(wǎng)關(guān)

19、把流量送到欺騙者所連的那個(物理)端口從而造成網(wǎng)絡(luò)不通。對于采用了大量傻瓜交換機的局域網(wǎng),用戶自己可以采取支持arp過濾的防火墻等方法。推薦Look ‘n’Stop防火墻,支持arp協(xié)議規(guī)則自定義。最后就是使用ARPGuard啦(才拉到正題上),但它只是保護(hù)主機和網(wǎng)關(guān)間的通訊。,四、ARPGuard的原理,1、第一次運行(或檢測到網(wǎng)關(guān)IP改變)時獲取網(wǎng)關(guān)對應(yīng)的MAC地址,將網(wǎng)卡信息、網(wǎng)關(guān)IP、網(wǎng)關(guān)MAC等信息保存到配置文件中,其

20、他時候直接使用配置文件。2、移去原默認(rèn)路由(當(dāng)前網(wǎng)卡的)3、產(chǎn)生一個隨機IP,將它添加成默認(rèn)網(wǎng)關(guān)。4、默認(rèn)網(wǎng)關(guān)IP 和網(wǎng)關(guān)的MAC綁定(使用DeleteIpNetEntry和CreateIpNetEntry修改ARP Cache表項)5、周期性檢測ARP Cache中原默認(rèn)網(wǎng)關(guān)(不是隨機IP那個) 網(wǎng)關(guān)的MAC在ARP Cache的值是否被改寫,若被改寫就報警。,,6、針對有些攻擊程序只給網(wǎng)關(guān)設(shè)備(如路由器或三層交換機)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論