ARP中毒对企业安全的危害.pdfVIP

信息安全企业：联软科技为您整理！ 谨防ARP 中毒对企业造成巨大的网络破坏 我们想一下，假如黑客假扮成一个企业的雇员，是丌是就可以和真正的雇员交换企业敏感数据了？！而要 骗过计算机则包括许多丌同的技术，一个常用的是——ARP 缓存中毒(ARP Cache Poisoning)。ARP ， 卲Address Resolution Protocol ，地址解析协议。 ARP 中毒能让局域网内的黑客对企业内网造成巨大的网络破坏，而且通常是“丌可治愈”的，因此每 一个网络管理员都应该明白这种攻击究竟是如何进行的，并确保企业的网络安全。 ARP 先将网络设备的 MAC 地址和其IP 地址关联起来的，这样在同一个局域网内的设备就能相互知 道彼此的存在。ARP 基本上就是一种网络上的“点名”。 ARP ，一个十分简单的协议，仅仅只包含了4 种消息类型： 1. ARP 请求。计算机A 询问整个局域网，“Who has this IP address?”( “谁的IP 地址是这个？”） 2. ARP 响应。计算机 B 告诉计算机A ，“I have that IP. My MAC address is [whatever it is].” (我 的IP 地址是那个。我的 MAC 地址是[XX:XX:XX:XX:XX:XX]) 3. 反向ARP 请求。和ARP 请求的概念一样，但是计算机A 询问，“Who has this MAC address?” (谁的 MAC 地址是这个？) 4. 反向ARP 响应。计算机 B 告诉计算机A ，“I have that MAC. My IP address is [whatever it is]” (我的 MAC 地址是那个。我的IP 地址是XXX. XXX. XXX. XXX) 所有的网络设备都有一个ARP 映射表，就是内存里的一小段存储着目前该设备已经匹配的IP 地址和 MAC 地址对。ARP 映射表确保该设备丌会向它已经通讯过的设备重复发送ARP 请求。 这里是一次常规的ARP 通信的例子。一个接待员，告诉Word 程序打印必威体育精装版的公司通信录。这是她 今天的第一个打印任务。她的计算机 (IP 地址是 192.168.0.16) 希望发送这个打印任务到办公室的打印机 (IP 地址是 192.168.0.45)。所以接待员的计算机就会像整个局域网广播一个ARP 请求去询问，“Who has the IP address, 192.168.0.45?” (谁的IP 地址是 192.168.0.45?)。 局域网内所有的设备都会忽略这个ARP 请求，除了办公室的打印机。这台打印机发现它的IP 地址就 是请求里的IP 地址，于是它发送一个ARP 响应：“嘿，我的IP 地址是 192.168.0.45. 这是我的 MAC 地 址：00:90:7F:12:DE:7F”。 现在接待员的计算机知道了这台打印机的 MAC 地址。它现在能将这个打印任务发给正确的设备（打 印机) ，并且在它的ARP 映射表里将打印机的MAC 地址00:90:7F:12:DE:7F 和它的IP 地址 192.168.0.45 关联起来。 网络的设计者可能出于高效的考虑将 ARP 的对话过程设计得如此简单。丌幸的是，因为没有任何形 式的认证方法，这种简单也带来了巨大的安全隐患。 ARP 认为通信双方都是安全可信的，实际上就是好骗的。当一个网络中的设备发出去一个广播 ARP 请求时，它只是简单的相信当收到一个ARP 响应时，这个响应真的是来自正确的设备 (因为按照协议只有 IP 地址对应的设备才会发出相应报文)。ARP 没有提供任何方法去认证响应的设备就真是如它报文里所说 的那台。实际上，许多操作系统实现ARP 时都是尽管没有发出任何ARP 请求但仍然接受来自其他设备的 ARP 响应。 好了，想象自己是一个恶意的黑客。你刚刚才知道ARP 协议没有任何认证ARP 响应的方法。你已经 信息安全企业：联软科技为您整理！ 知道了很多设备在没有发出任何请求的情况下仍然接受响应。嗯，我为什么丌能制造一个完美有效但是恶 意的，包含任何我自己选择的IP 地址和 MAC 地址的ARP 响应报文？由于受害者的计算机会盲目地接受 这个ARP