局域网中ARP重定向攻击和防御措施.doc

局域网中的ARP重定向攻击及防御措施.txt∞-一人行,必会发情 二人行,必会激情 三人行,必有奸情 就不会被珍惜。真实的女孩不完美，完美的女孩不真实。得之坦然，失之淡然，顺其自然，争其必然。随着计算机网络应用的普及，网络已日益成为生活中不可或缺的工具，但伴之而来的非法入侵也一直威胁着计算机网络系统的安全。由于以太网中采用广播方式，因此，在某个广播域中可以监听到所有的信息包。网络监听是黑客们常用的一种方法。当成功地登录进一台网络上的主机，并取得了这台主机的超级用户的权限之后，往往要扩大战果，尝试登录或者夺取网络中其他主机的控制。而网络监听则是一种最简单而且最有效的方法，他常常能轻易地获得用其他方法很难获得的信息。 在网络上，监听效果最好的地方是在网关、路由器、防火墙一类的设备处，通常由网络管理员来操作。使用最方便的是在一个以太网中的任何一台上网的主机上，这是大多数黑客的做法。 事实上，很多黑客入侵时都把以太网扫描和侦听作为其最基本的步骤和手段，原因是想用这种方法获取其想要的密码等信息。但另一方面，我们对黑客入侵活动和其他网络犯罪进行侦查、取证时，也可以使用网络监听技术来获取必要的信息。因此，了解以太网监听技术的原理、实现方法和防范措施就显得尤为重要。 1网络监听的基本原理 　　以太网可以把相邻的计算机、终端、大容量存储器的外围设备、控制器、显示器以及为连接其他网络而使用的网络连接器等相互连接起来，具有设备共享、信息共享、高速数据通讯等特点。以太网这种工作方式，如同有很多人在一个大房间内，大房间就像是一个共享的信道，里面的每个人好像是一台主机。人们所说的话是信息包，在大房间中到处传播。当我们对其中某个人说话时，所有的人都能听到。正常情况下只有名字相同的那个人才会做出反应，并进行回应。其他人了解谈话的内容，也可对所有谈话内容做出反应。因此，网络监听用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时，使用监听技术进行攻击并不是一件难事，只要将网络接口设置成监听模式，便可以源源不断地将网上传输的信息截获。 1.1广播式以太网中的网络监听 　　广播式以太网在逻辑上由一条总线和一群挂在总线上的节点组成。任何一个节点主机发出的数据包都是在共享的以太网传输介质上进行传输的，每个数据包的包头部分都包含了源地址和目的地址。网络上所有节点都通过网络接口（网卡）负责检查每一个数据包，如果发现其目的地址是本机，则接收该数据包并向上层传递，以进行下一步的处理；如果目的地址不是本机，则数据包将被丢弃不作处理。以太网数据包过滤机制分为链路层、网络层和传输层。在链路层，网卡驱动程序判断收到包的目标MAC地址是否是自己的MAC地址；在网络层判断目标IP地址是否为本机所绑定的IP地址；在传输层如TCP层或者UDP层判断目标端口是否在本机已经打开。如果以上判断否定，数据包将被丢弃。 　　在进行网络数据包的“监听”时，首先通过将系统的网络接口设定为“混杂模式”，网络监听程序绕过系统正常工作的处理机制，直接访问网络底层。不论数据包的目的地址是否是本机，都能够截获并传递给上层进行处理（只能监听经过自己网络接口的那些包），通过相应的软件进一步地分析处理，就能够得到数据包的一些基本属性，如包类型、包大小、目的地址、源地址等，可以实时分析这些数据的内容，如用户名、口令以及所感兴趣的内容。 　　同理，正确地使用网络监听技术也可以发现入侵并对入侵者进行追踪定位，在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息，成为打击网络犯罪的有力手段。 1.2交换式以太网中的监听 　　交换机的工作原理不同于HUB的共享式报文方式，交换机转发的报文是一一对应的，能够隔离冲突域和有效的抑制广播风暴的产生。由此看来，交换环境下再采用传统的共享式以太网下网络监听是不可能了，由于报文是一一对应转发的，普通的网络监听软件此时无法监听到交换环境下其他主机任何有价值的数据。但是，以太网内主机数据包的传送完成不是依靠IP地址，而是依靠ARP找出IP地址对应的MAC地址实现的。而ARP协议是不可靠和无连接的，通常即使主机没有发出ARP请求，也会接受发给他的ARP回应，并将回应的MAC和IP对应关系放入自己的ARP缓存中。因此利用ARP协议，交换机的安全性也面临着严峻的考验。 1.2.1交换机缓冲区溢出攻击 　　交换机大多使用存贮转发技术，工作时维护着一张MAC地址与端口的映射表，这个表中记录着交换机每个端口绑定的MAC地址。他的工作原理是对某一段数据包进行分析判别寻址，并进行转发，在发出前均存贮在交换机的缓冲区内。但是，交换机缓冲区是有限的。如用大量无效IP包，包含错误MAC地址的数据帧对交换机进行攻击。该交换机将接收到大量的不符合分装原则的包，造成交换机处理器工作