您所在的位置:网络安全 > 黑客攻防 > 黑客专区 > ARP攻防 > 技巧分享:动态ARP检测防止中间人攻击(1)

技巧分享:动态ARP检测防止中间人攻击(1)

2010-03-04 14:21 彭亮 IT专家网 字号:T | T
一键收藏,随时查看,分享好友!

这个ARP请求会以广播的形式在网络中传播,即网络中的每一台客户端都将受到这个信息。正常情况下,除了B以外的不相关的主机都会丢弃这个数据包。而只有主机B接收到这个请求后,才会进行响应。主机B首先会在自己的ARP缓存中创建主机A IP地址与MAC地址的相关记录(如果已经存在这个IP地址,则会进行更新),并向主机A发送ARP响应。此时的ARP响应是一个单播数据包,即直接发送给主机A,而不是以广播的形式发送。

AD:

ARP协议对于网络来说是一把双刃剑。一方面ARP协议是网络通信中不可或缺的协议,其就好像是一个问路人,在一定程度上决定了数据的传输路径。在另一方面,其又容易被攻击者使用,担当不恰当的角色。

现在针对ARP的攻击,可以说是层次不穷。虽然相关的措施也有不少,但是道高一尺、魔高一丈,防不胜防。针对这种情况,在思科的网络产品中,设计了动态ARP检测的技术。虽然这个技术不能够从根本上解决ARP带来的安全隐患,大但是对于遏制其危害,特别是中间人攻击方面,仍然有独到的表现。

一、中间人攻击案例模拟

动态ARP检测防止中间人攻击

如上图,是一个简单的网络架构图。有三台终端同时连接到同一个工作组交换机中。(实际情况可能会有更多的终端,为了简单起见,笔者以三个终端为例)。此时如果主机A需要访问主机B(第一次访问时只知道对方的IP地址而不知道MAC地址),就需要先发送一个ARP请求。向各台主机询问,IP地址为多少的主机其MAC地址为多少,并会附上主机A的MAC地址。

这个ARP请求会以广播的形式在网络中传播,即网络中的每一台客户端都将受到这个信息。正常情况下,除了B以外的不相关的主机都会丢弃这个数据包。而只有主机B接收到这个请求后,才会进行响应。主机B首先会在自己的ARP缓存中创建主机A IP地址与MAC地址的相关记录(如果已经存在这个IP地址,则会进行更新),并向主机A发送ARP响应。此时的ARP响应是一个单播数据包,即直接发送给主机A,而不是以广播的形式发送。

以上是一个比较正常的ARP处理流程。但是在这个处理的过程中,如果没有采取恰当的安全措施,则很可能会引发中间人攻击。如上图所示,如果终端设备C在收到主机A发送的ARP请求之后,没有抛弃这个数据包,而是发送了伪造的ARP响应(将自己的MAC地址替代主机B的MAC地址),其就可以发起中间人攻击。在接收到主机C的ARP响应之后,主机A将不能够拥有主机B的正确MAC地址与IP地址。

对于主机A来说,它就会错误的认为主机C就是其要发送数据的对象。从而将数据直接发送给主机C。此时对于主机A和主机B之间的任何通信,就会被发送到主机C上。然后主机C在获取相关的内容之后,可能进行流量的重定向。在这个过程中,主机C就被称为中间人。这个过程就被称为中间人攻击。



分享到:

热点职位

更多>>

热点专题

更多>>

读书

基于Eclipse的开源框架技术与实战
当前,开源框架层出不穷,它为用户提供了通用的解决方案,同时也增加了用户的学习难度。开源是一把“双刃剑”,一方面它共享了资

最新热帖

更多>>

51CTO旗下网站

领先的IT技术网站 51CTO 领先的中文存储媒体 WatchStor 中国首个CIO网站 CIOage 中国首家数字医疗网站 HC3i 51CTO学院