當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

網(wǎng)絡(luò)安全有效的阻擋ARP中間人攻擊

http://m.yibo1263.com　2009/2/7 8:47:49 　來源:東北IT網(wǎng) 　編輯:葉子

　　電信級(jí)IP技術(shù)的發(fā)展成熟使得話音、數(shù)據(jù)、視頻和移動(dòng)等應(yīng)用的融合成為必然，統(tǒng)一通訊已成為發(fā)展的趨勢(shì)。以IP技術(shù)為核心進(jìn)行網(wǎng)絡(luò)改造并承載多種新型業(yè)務(wù)以提升競(jìng)爭(zhēng)力，是固網(wǎng)運(yùn)營(yíng)商的發(fā)展方向。而以太網(wǎng)技術(shù)由于標(biāo)準(zhǔn)化程度高、應(yīng)用廣泛、帶寬提供能力強(qiáng)、擴(kuò)展性良好、技術(shù)成熟，設(shè)備性價(jià)比高，對(duì)IP的良好支持，成為城域網(wǎng)和接入網(wǎng)的發(fā)展趨勢(shì)。但是，由于以太網(wǎng)技術(shù)的開放性和其應(yīng)用廣泛，也帶來了一些安全上的問題。特別是當(dāng)網(wǎng)絡(luò)由原有的單業(yè)務(wù)承載轉(zhuǎn)為多業(yè)務(wù)承載時(shí)，安全問題帶來的影響愈發(fā)明顯，已經(jīng)逐步影響到業(yè)務(wù)的開展和部署。

　　目前接入網(wǎng)常見的攻擊包括ARP“中間人“攻擊、IP/MAC欺騙攻擊、DHCP/ARP報(bào)文泛洪攻擊等。

　　網(wǎng)絡(luò)攻擊

　　ARP“中間人”攻擊

　　按照ARP協(xié)議的設(shè)計(jì)，一個(gè)主機(jī)即使收到的ARP應(yīng)答并非自身請(qǐng)求得到的，也會(huì)將其IP地址和MAC地址的對(duì)應(yīng)關(guān)系添加到自身的ARP映射表中。這樣可以減少網(wǎng)絡(luò)上過多的ARP數(shù)據(jù)通信，但也為“ARP欺騙”創(chuàng)造了條件。

　　如下圖示，Host A和Host C通過Switch進(jìn)行通信。此時(shí)，如果有黑客(Host B)想探聽Host A和Host C之間的通信，它可以分別給這兩臺(tái)主機(jī)發(fā)送偽造的ARP應(yīng)答報(bào)文，使Host A和Host C用MAC_B更新自身ARP映射表中與對(duì)方IP地址相應(yīng)的表項(xiàng)。此后，Host A 和Host C之間看似“直接”的通信，實(shí)際上都是通過黑客所在的主機(jī)間接進(jìn)行的，即Host B擔(dān)當(dāng)了“中間人”的角色，可以對(duì)信息進(jìn)行了竊取和篡改。這種攻擊方式就稱作“中間人(Man-In-The-Middle)攻擊”。

　　 ARP

　　IP/MAC欺騙攻擊常見的欺騙種類有MAC欺騙、IP欺騙、IP/MAC欺騙，黑客可以偽造報(bào)文的源地址進(jìn)行攻擊，其目的一般為偽造身份或者獲取針對(duì)IP/MAC的特權(quán)，另外此方法也被應(yīng)用于DoS( Deny of Service，拒絕服務(wù))攻擊，嚴(yán)重的危害了網(wǎng)絡(luò)安全。

　　為了防止IP/MAC欺騙攻擊，H3C低端以太網(wǎng)交換機(jī)提供了IP過濾特性，開啟該功能后，交換機(jī)可以強(qiáng)制經(jīng)過某一端口流量的源地址符合動(dòng)態(tài)獲取的DHCP Snooping表項(xiàng)或靜態(tài)配置的IP與MAC綁定表項(xiàng)的記錄，防止攻擊者通過偽造源地址來實(shí)施攻擊。此外，該功能也可以防止用戶隨便指定IP地址，造成的網(wǎng)絡(luò)地址沖突等現(xiàn)象。

　　DHCP報(bào)文泛洪攻擊

　　DHCP報(bào)文泛洪攻擊是指：惡意用戶利用工具偽造大量DHCP報(bào)文發(fā)送到服務(wù)器，一方面惡意耗盡了IP資源，使得合法用戶無(wú)法獲得IP資源;另一方面,如果交換機(jī)上開啟了DHCP Snooping功能，會(huì)將接收到的DHCP報(bào)文上送到CPU。因此大量的DHCP報(bào)文攻擊設(shè)備會(huì)使DHCP服務(wù)器高負(fù)荷運(yùn)行，甚至?xí)䦟?dǎo)致設(shè)備癱瘓。

　　ARP報(bào)文泛洪攻擊ARP報(bào)文泛洪類似DHCP泛洪，同樣是惡意用戶發(fā)出大量的ARP報(bào)文，造成L3設(shè)備的ARP表項(xiàng)溢出，影響正常用戶的轉(zhuǎn)發(fā)。

　　安全防范

　　對(duì)于上述的幾種攻擊手段，H3C接入網(wǎng)解決方案在用戶接入側(cè)利用DHCP SNOOPING，提供相應(yīng)的防范手段。

　　DHCP Snooping表項(xiàng)的建立

　　開啟DHCP Snooping功能后，H3C接入交換機(jī)根據(jù)設(shè)備的不同特點(diǎn)可以分別采取監(jiān)聽DHCP-REQUEST廣播報(bào)文和DHCP-ACK單播報(bào)文的方法來記錄用戶獲取的IP地址等信息。目前，交換機(jī)的DHCP Snooping表項(xiàng)主要記錄的信息包括：分配給客戶端的IP地址、客戶端的MAC地址、VLAN信息、端口信息、租約信息。

本新聞共3頁(yè),當(dāng)前在第1頁(yè) 1 2 3

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·維修電腦也有禮送哦

·美國(guó)國(guó)家網(wǎng)絡(luò)安全中心負(fù)責(zé)人辭職

·三種開源方式可實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全

·企業(yè)用戶防御網(wǎng)絡(luò)威脅的十大要素

·無(wú)線網(wǎng)絡(luò)安全設(shè)置五種不可不知方法

·用戶容易忽視的網(wǎng)絡(luò)安全錯(cuò)誤操作

·讓網(wǎng)絡(luò)訪問時(shí)能兼顧速度與安全

·無(wú)線最大漏洞未安裝所有安全選項(xiàng)

·簡(jiǎn)單六步提高企業(yè)無(wú)線網(wǎng)絡(luò)安全性

·SSL保障企業(yè)網(wǎng)絡(luò)傳輸?shù)姆€(wěn)定與安全

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费