学位论文 > 优秀研究生学位论文题录展示

公众网络环境中的ARP欺骗攻击与防范方法

作 者: 金涛
导 师: 李小勇
学 校: 上海交通大学
专 业: 计算机技术
关键词: ARP攻击 ARP协议 公众上网 安全防护
分类号: TP393.08
类 型: 硕士论文
年 份: 2007年
下 载: 652次
引 用: 4次
阅 读: 论文下载
 

内容摘要


ARP攻击是指黑客利用ARP协议缺陷的基本原理,通过在区域内一台终端或服务器上发布欺骗ARP广播包以达到进行盗取用户帐号、篡改网站内容、嵌入恶意代码、发布不良信息、监听传输数据等非法活动的目的。ARP欺骗原理在过去常被运用到简单的拒绝服务攻击中。然而,随着大量缺乏管理且使用者流动性较大的网吧与其他公共上网环境的普及,互联网上开始出现许多由ARP基本攻击与侦听、网页篡改等黑客技术相互结合的攻击方式。这种ARP攻击之所以能在各类公共上网设施内迅速蔓延是因为在拥有上千台机器的公众上网环境或对外服务的IDC托管机房中,同一网段中往往有着来自不同单位或不同人群使用的各类终端与服务器,由于其中各类系统的安全责任点归属复杂、使用人员流动性大,造成环境内安全管理漏洞较大、安全盲点较多,从而使新一代以ARP欺骗为基础的网页挂码或重定向攻击得以滋生。而且,ARP攻击相对与通常攻击方式可能造成的更大的破坏在于:一般来说IP地址的冲突可以通过多种方法和手段来避免,而ARP协议工作在更底层协议上,隐蔽性更高。系统并不会判断ARP缓存的正确与否,无法像IP地址冲突那样给出提示。很多黑客工具可以随时发送ARP欺骗数据包和ARP恢复数据包,这对于公众上网环境来说,就可以在任何权限的终端计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机甚至服务器或网络设备的网络连接、侦探通讯数据、篡改数据包以加入病毒代码或不良信息进行传播。黑客还可以最大化的利用ARP欺骗原理,将其与其他攻击方法组合后运用于多种攻击,如,侦听、拒绝服务、挂载病毒等。从而达到多种攻击目的,如:窃取信息、病毒传播、破坏网络路由,暴力广告等等。从对于ARP攻击的防范角度来说,ARP攻击的防范也比一般网络安全防范更加困难。因为ARP广播协议本身存在的缺陷,使得即使一个网吧或网站系统管理员能保证自己的服务器与网络交换设备本身没有漏洞,他也无法辨别来自网络范围内任何一台机器的ARP数据包的真伪。所以,对付此类违法犯罪活动,传统上从操作系统或交换设备的单点防御已无济于事。防止ARP攻击,需要从网络整体结构上加强对MAC地址的综合管理防止各机器ARP表混乱,并通过网络范围内ARP广播包分析以快速检测到攻击源位置。上海市内目前有1433家正规合法网吧以及300家社区信息苑。ARP攻击对这些互联网公众上网环境的安全产生巨大威胁,攻击事件呈不断上升趋势,造成不良信息传播、信息窃取等违法行为对国家的安定团结社会的稳步发展有极为不利的影响。互联网信息安全管理工作面临着巨大挑战,深入研究以ARP为基础的网页重定向、路由伪造的防范技术,加强对全市几千家公众上网地点与公用托管机房的网络安全监管已经势在必行。通过对ARP攻击原理的剖析,并针对实际上海市公众上网环境的特征,通过从规划、结构、系统三方面入手采取整体防范手段,形成以较小的成本在公众上网环境中有效抑制ARP攻击蔓延的解决方案。本文首先演示了一次ARP攻击全过程,通过现象分析逐步推测出他的攻击原理。随后通过对ARP数据帧格式的解析,证明了ARP协议漏洞是可以被用作ARP欺骗。根据上述原理,尝试使用Socket编程实现了ARP欺骗数据包的构造和发送、MAN-IN-MIDDLE数据包侦听转发、DOS拒绝服务攻击等手段。在探讨ARP攻击的防御措施时,文章从MAC地址集中管理、ARP数据包探测以及系统安全加固三方面进行论述。文章最后,通过实际经历的“东方数字社区苑网络安全加固项目”来对大型公众上网环境中存在可被ARP攻击的漏洞进行分析,并对整体防御构架进一步探索。

全文目录


摘要  2-5
ABSTRACT  5-11
第1章 绪论  11-14
  1.1 研究背景  11-12
  1.2 本文研究内容和组织结构  12-14
第2章 ARP 欺骗攻击原理  14-39
  2.1 ARP 攻击模式与传统攻击的区别  14
  2.2 一个ARP 攻击实例  14-20
  2.3 ARP 攻击的危害  20-21
  2.4 ARP 攻击程序结构  21
  2.5 ARP 协议缺陷  21-27
  2.6 ARP 表的操作方法  27-28
  2.7 ARP 伪造帧格式  28-31
  2.8 ARP 协议其他特性  31-35
  2.9 网关出口上的ARP 欺骗  35-36
  2.10 IP 数据包的截取与转发  36-39
第3章 ARP 欺骗攻击的实现  39-51
  3.1 构造ARP 欺骗帧  39-42
  3.2 发送ARP 欺骗帧  42-44
  3.3 同时发向两台机器的“Man-In-The-Middle”  44-45
  3.4 IP 数据包的转发  45-46
  3.5 MAC 表溢出DOS 攻击  46-48
  3.6 侦听  48-49
  3.7 用ARP 攻击WINDOWS 系统  49
  3.8 对交换机攻击  49-50
  3.9 挂载病毒  50-51
第4章 ARP 欺骗攻击防范  51-58
  4.1 ARP 防护整体布局思路  51-53
  4.2 计算机系统安全加固  53
  4.3 ARP 杀毒软件  53-54
  4.4 ARP 攻击探测器  54-55
  4.5 MAC 地址集中管理  55-58
    4.5.1 传统的交换机MAC 地址管理  56
    4.5.2 基于地址扫描的MAC 中央管理  56-58
第5章 上海东方数字社区ARP 攻击防范部署实例  58-66
  5.1 项目网络环境及系统背景  58-61
  5.2 原系统薄弱点分析  61-63
  5.3 ARP 攻击防范方案  63-66
第6章 总结与展望  66-68
  6.1 主要结论  66-67
  6.2 研究展望  67-68
参考文献  68-69
致谢  69-70
攻读硕士学位期间已发表或录用的论文  70

相似论文

  1. 基于环境风险的化工企业安全防护距离的确定,TQ086
  2. 互联网支付企业WEB应用安全防护系统测试,TP393.08
  3. 基于FPGA远程网络监视系统,TP277
  4. 企业局域网的安全防护,TP393.18
  5. 智能安全防护软件自主决策系统研究,TP393.08
  6. 大连海洋大学网络型多媒体教室的设计及相关通信协议的研究,TP399-C1
  7. ARP协议欺骗的分析与防范,TP393.08
  8. 税务系统省级大集中模式网络安全防护体系的设计与实现,TP393.08
  9. 工业安全防护用激光扫描仪的研究,TP334.22
  10. 电力调度数据网在济南电网的应用与研究,TM734
  11. 一种卫星通信数据网关的研究与实现,TN927.23
  12. 涉密内网综合安全管理研究,TP393.18
  13. 基于日志挖掘的网络安全审计系统研究与实现,TP393.08
  14. 通用电子产品的安全设计,TN02
  15. 校园网不安全信息检测系统的设计与实现,TP393.18
  16. 一体化安全防护设备的研究与设计,TP393.08
  17. 煤矿井下工作人员安全防护装备改进研究,TD793
  18. 基于插件技术的网络漏洞扫描系统的设计与实现,TP393.08
  19. 金属矿厚大矿体开采岩层移动与地压监控技术研究,TD325
  20. 基于ITBPM的校园网信息安全防护研究,TP393.18
  21. 公路路侧安全防护技术与应用研究,U417

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com