ARP协议缺陷.ppt

网络协议安全专题 北京大学信息安全实验室 王超逸 网络安全 当前互联网络特点 1.开放性（协议开放性，资源共享） 2.应用程序复杂度提高（代码量增多） 3.漏洞发布时间与攻击发生时间相对缩短 保证互联网络环境下安全 1.自主计算机的安全 2.互联的安全 3.各种网络应用和服务的安全 网络安全 维护信息载体的安全 安全威胁： 物理侵犯、系统漏洞、网络入侵、恶意软件、存储损坏等 抵抗威胁： 门控系统、防火墙、防病毒、入侵检测、漏洞扫描、存储备份、日志审计、应急响应、灾难恢复等 网络安全 维护信息自身的安全 安全威胁： 身份假冒、非法访问、信息泄露、数据受损、事后否认等 抵抗威胁： 身份鉴别、访问控制、数据加密、数据验证、数字签名、内容过滤、日志审计、应急响应、灾难恢复等 网络安全风险 1、网络协议缺陷 2、软件实现缺陷 3、操作系统缺陷 4、用户使用缺陷 网络协议缺陷 ARP协议缺陷 IP与TCP协议缺陷 应用层协议缺陷 网络协议 网络上的计算机通信“语言” OSI( Open System Interconnect )模型 第一层物理层； 第二层数据链路层； 第三层网络层； 第四层传输层； 第五层会话层； 第六层表示层； 第七层应用层； 网络协议 第二层:地址解析协议(ARP)、反向地址解析协议(RARP)、L2TP 第三层:因特网协议(IP)、因特网控制报文协议(ICMP)、路由信息协议(RIP)、开放最短路径优先(OSPF)、IPsec 第四层:传输控制协议(TCP)、用户数据报协议(UDP)、传输层安全(TLS) 第五层:安全套接层(SSL) 第七册(应用层):数据库协议(SQL、ODBC)、域名系统(DNS)、超文本传输协议(HTTP)、轻量级目录访问协议(LDAP) 、远程过程调用(RPC) 、简单邮件传输协议(SMTP) 、简单网络管理协议(SNMP) 、Telnet 、rlogin 、一般文件传输协议(TFTP) ARP协议 DNS服务器:网址?IP地址 IP地址?MAC地址(第二层物理地址) 在局域网内由ARP协议完成 ARP缓存表:表里的IP地址与MAC地址是一一对应的 ARP的工作原理 首先在主机启动加入网络时，主动广播自己的IP/MAC地址。 建立一个ARP表，表中存放(IP地址，MAC地址)对。 若目的主机在同一子网内，用目的IP地址在ARP表中查找， 不在同一子网，用缺省网关的IP地址在ARP表中查找。 若未找到，发送ARP请求广播包。目的主机收到后返回ARP应答。发送主机将新的IP和MAC地址信息增加到ARP表中。(问询) ARP表中的表项有生存期，超时则删除。(老化机制) ARP的分组格式 ARP弱点分析 当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和Mac地址映射存储在ARP缓存中 ARP高速缓存既有超时，更新缓存的功能。在此期间，任何机器都可以发布虚假ARP报文，并将通信转向自己 目的：扮演某些机器或修改数据流 ARP协议缺陷 假冒ARP应答 A未发请求包，B主动发应答包，这时A会更新其MAC地址缓冲器中主机B的MAC地址。这个缺陷导致了任何主机都可以向主机A发送假冒主机B的ARP应答包，以假的MAC地址更新主机A中MAC地址缓冲区中的主机B的MAC地址，主机A向主机B的所有通讯都将中断 ARP协议缺陷 点对点的假冒查询 如果主机A已经收到主机B的MAC地址，则主机A可以点对点方式直接向主机B发送单播的ARP查询包，因为主机B收到主机A的查询包后，会更新其MAC地址缓冲区中主机A的MAC地址。显然：网上任何一个主机都可以向主机B发送假冒主机A的单播ARP查询包，因此，主机B向主机A的所有IP通讯都将中断。 ARP协议缺陷 自动定时ARP欺骗 主机MAC地址缓冲区中的其他主机的MAC地址一般要经过一段时间后就要自动更新：主机发送ARP查询包查询其他主机的MAC地址，在采用前面的方式进行一次ARP欺骗后，被欺骗的主机和各个主机的所有通信都不正常，但是MAC地址的更新时间超时后，被欺骗得主机和各个主机进行正常的通信。为了使得欺骗能长时间的延续，在MAC地址更新前再次发送ARP欺骗包，如此反复。 ARP协议缺陷 对网关的干扰 若广播式ARP查询包的源地址和目的地址一样，则这种ARP查询包为通知ARP包，如果在以太网上发送一个IP地址为网关的欺骗ARP通知包，则使得这个网上的主机都不能访问这个局域网外的所有IP。 ARP协议缺陷 从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的