众文网1.ARP攻击和保护论文
ARP 也就是在局域网中出现的一种攻击。它的目标就是让自己成为服务器从而让所有的机器数据都从自己这走,而得到有关的数据,比如。QQ。。。 所以出现了这个就会出现卡 掉线等问题
它的原理就是。。在局域网中,要与别的机器进行通信的话 要有MAC这玩意,比如A 要找B B是服务器
A就发出一个广播,这个广播由数据包组成,在这个局域网里 每台机器都能收到 它的意思是“B你在哪”
正常下就只有B会说“我在这”然后发一个数据包给A 这个包里有B的Mac地址
从中就可以看出 如果有一台机器不是好孩子的话,呵呵。。。也插上一句。。。我是B 再比真的B先到A上 那A就会把假B当然真的B来进行数据交流
可以说 在局域网内,所有的机器都是通过服务上网的。。。所以一但有一台中了ARP毒那就会发生 所有的机器从中毒这台机器上网 所以会发生卡 掉线等事件
要怎么保护呢 从原理来说 这个东西的漏洞就在于。。。要发出广播来问服务器的地址 怎么样才能不发呢
呵呵 有了当然就不发了。。。所以有MAC地址表这玩意 可这玩意会每一会会再发广播更新 ,所以就有了绑定MAC这个玩意。。。。绑好了就没问题了!!呵
网上有很多这类的玩意
2.求教:网络攻击工具研究{写小论文}
基于NETFLOW与SNMP的园区网流量监控系统 赵晓峰 计算机技术与发展 2008/05 2 Sandboxie 浏览器的影子系统 痛并快乐着 电脑迷 2008/10 3 实用数字水印系统的研究 安颖 微计算机信息 2008/14 4 基于网络的计算机取证系统设计 刘典型 黑龙江科技信息 2008/13 5 安全误解:看看你是否真懂网络安全? 弓文 网络与信息 2008/04 6 ForeFront构建从外到内的企业安全 每周电脑报 2008/13 7 蜜罐信息采集技术分析 翟继强 计算机与信息技术 2006/05 8 网络行为测量及应用研究 乔小妮 科技信息(科学教研) 2008/12 9 网络入侵检测系统中的警报聚类 秦子燕 计算机安全 2008/05 10 网络游戏行为偏好调查问卷的编制 张广磊 中国临床心理学杂志 2008/02 11 内网的DDOS攻击 程宪宝 科技广场 2008/03 12 青少年利用计算机犯罪问题研究 刘君博 财经界(下旬刊) 2008/03 13 如何使用Sniffer Portable分析ARP病毒攻击 袁自海 电脑知识与技术 2008/09 14 网络取证系统的研究与实现 陈宁波 福建电脑 2008/05 15 利用Iris监控和分析校园网 沈科进 中小学信息技术教育 2008/01 16 攻防结构中发现安全隐患 网络安全工程师技能培训 林子 电脑爱好者 2008/08 17 局域网中ARP攻击的防御实现 曹蔚青 信息化建设 2008/02 18 基于FPGA的IP碎片重组模块 李鹏 微计算机信息 2008/11 19 基于安全策略的万兆局域网安全管理体系 李爱华 科技资讯 2008/05 20 ARP攻击防御与检测 李筱楠 石家庄铁路职业技术学院学报 2008/01 上面有你要的论文的话 联系我咯 QQ在线等。
3.ARP欺骗的原理和应用
目前,因为ARP而导致企业网络瘫痪的例子举不胜举,很多企业面对这些攻击束手无策,为此51CTO安全频道特别收集整理了众多针对ARP相关的解决方法和防范策略,希望对广大网管人员有实际的帮助。
ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
注:ARP,全称Address Resolution Protocol,中文名为地址解析协议。 一、ARP协议工作原理 在TCP/IP协议中,每一个网络结点是用IP地址标识的,IP地址是一个逻辑地址。
而在以太网中数据包是靠48位MAC地址(物理地址)寻址的。 因此,必须建立IP地址与MAC地址之间的对应(映射)关系,ARP协议就是为完成这个工作而设计的。
TCP/IP协议栈维护着一个ARP cache表,在构造网络数据包时,首先从ARP表中找目标IP对应的MAC地址,如果找不到,就发一个ARP request广播包,请求具有该IP地址的主机报告它的MAC地址,当收到目标IP所有者的ARP reply后,更新ARP cache。 ARP cache有老化机制。
二、ARP协议的缺陷 ARP协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。它是无状态的协议,不会检查自己是否发过请求包,也不管(其实也不知道)是否是合法的应答,只要收到目标MAC是自己的ARP reply包或arp广播包(包括ARP request和ARP reply),都会接受并缓存。
这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至可以做“中间人”。 三、常见ARP欺骗形式 1、假冒ARP reply包(单播) XXX,I have IP YYY and my MAC is ZZZ! 2、假冒ARP reply包(广播) Hello everyone! I have IP YYY and my MAC is ZZZ! 向所有人散布虚假的IP/MAC 3、假冒ARP request(广播) I have IP XXX and my MAC is YYY。
Who has IP ZZZ? tell me please! 表面为找IP ZZZ的MAC,实际是广播虚假的IP、MAC映射(XXX,YYY) 4、假冒ARP request(单播) 已知IP ZZZ的MAC Hello IP ZZZ! I have IP XXX and my MAC is YYY。 5、假冒中间人 欺骗主机(MAC为MMM)上启用包转发 向主机AAA发假冒ARP Reply: AAA,I have IP BBB and my MAC is MMM, 向主机BBB发假冒ARP Reply: BBB,I have IP AAA and my MAC is MMM 由于ARP Cache的老化机制,有时还需要做周期性连续欺骗。
四、ARP欺骗的防范 1、运营商可采用Super VLAN或PVLAN技术 所谓Super VLAN也叫VLAN聚合,这种技术在同一个子网中化出多个Sub VLAN,而将整个IP子网指定为一个VLAN聚合(Super VLAN),所有的Sub VLAN都使用Super VLAN的默认网关IP地址,不同的Sub VLAN仍保留各自独立的广播域。 子网中的所有主机只能与自己的默认网关通信。
如果将交换机或IP DSLAM设备的每个端口化为一个Sub VLAN,则实现了所有端口的隔离,也就避免了ARP欺骗。 PVLAN即私有VLAN(Private VLAN) ,PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。
如果将交换机或IP DSLAM设备的每个端口化为一个(下层)VLAN,则实现了所有端口的隔离。 PVLAN和SuperVLAN技术都可以实现端口隔离,但实现方式、出发点不同。
PVLAN是为了节省VLAN,而SuperVlan的初衷是节省IP地址。 2、单位局域网可采用IP与MAC绑定 在PC上IP+MAC绑,网络设备上IP+MAC+端口绑。
但不幸的是Win 98/me、未打arp补丁的win 2000/xp sp1(现在大多都已经打过了)等系统 使用arp -s所设置的静态ARP项还是会被ARP欺骗所改变。 如果网络设备上只做IP+MAC绑定,其实也是不安全的,假如同一二层下的某台机器发伪造的arp reply(源ip和源mac都填欲攻击的那台机子的)给网关,还是会造成网关把流量送到欺骗者所连的那个(物理)端口从而造成网络不通。
对于采用了大量傻瓜交换机的局域网,用户自己可以采取支持arp过滤的防火墙等方法。 推荐Look 'n'Stop防火墙,支持arp协议规则自定义。
最后就是使用ARPGuard啦(才拉到正题上),但它只是保护主机和网关间的通讯。 五、ARPGuard的原理 ARPGuard可以保护主机和网关的通讯不受ARP欺骗的影响。
1、第一次运行(或检测到网关IP改变)时获取网关对应的MAC地址,将网卡信息、网关IP、网关MAC等信息保存到配置文件中,其他时候直接使用配置文件。 2、移去原默认路由(当前网卡的) 3、产生一个随机IP,将它添加成默认网关。
4、默认网关IP 和网关的MAC绑定(使用DeleteIpNetEntry和CreateIpNetEntry修改ARP Cache表项) 5、周期性检测ARP Cache中原默认网关(不是随机IP那个) 网关的MAC在ARP Cache的值是否被改写,若被改写就报警。 6、针对有些攻击程序只给网关设备(如路由器或三层交换机)发欺骗包的情况。
由于此时本机ARP Cache中网关MAC并未被改变,因此只有主动防护,即默认每秒发10个ARP reply包来维持网关设备的ARP Cache(可选) 7、程序。
4.求一篇计算机网络论文
摘 要: 随着高校教育信息化的不断深入开展,高校的网络安全问题也日益呈现突出,本文分析了高校主要的网络攻击安全问题,提出了相应的安全防范措施。
关键词: 病毒攻击 ARP欺骗 0 概述 近几年来,随着全国高校教育信息化的深入开展,稳定的网络和计算机系统成为教育信息化的重要保障,网络及信息安全也成为高校关注焦点之一。 本文通过研究分析高校网络典型的安全问题,将从病毒攻击、ARP欺骗攻击、ADSL攻击等方面入手,给出了防范策略和保护措施。
1 高校典型病毒攻击分析 病毒攻击仍然是高校最重要的、最广泛的网络攻击现象,随着病毒攻击原理以及方法不断变化,病毒攻击仍然为最严峻的网络安全问题。1.1 典型病毒攻击以及防范措施1.1.1 ARP木马病毒 当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,迫使局域网所有主机的arp地址表的网关MAC地址更新为该主机的MAC地址,导致所有局域网内上网的计算机的数据首先通过该计算机再转发出去,用户原来直接通过路由器上网现在转由通过该主机上网,切换的时候用户会断线一次。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
ARP木马病毒会导致整个局域网网络运行不稳定,时断时通。 防范措施:可以借助NBTSCAN工具来检测局域网内所有主机真实的IP与MAC地址对应表,在网络不稳定状况下,以arp –a命令查看主机的Arp缓存表,此时网关IP对应的MAC地址为感染病毒主机的MAC地址,通过“Nbtscan –r 192.168.1.1/24”扫描192.168.1.1/24网段查看所有主机真实IP和MAC地址表,从而根据IP确定感染病毒主机。
也可以通过SNIFFER或者IRIS侦听工具进行抓取异常数据包,发现感染病毒主机。 另外,未雨绸缪,建议用户采用双向绑定的方法解决并且防止ARP欺骗,在计算机上绑定正确的网关的IP和网关接口MAC地址,在正常情况下,通过arp –a命令获取网关IP和网关接口的MAC地址,编写一个批处理文件farp.bat内容如下: @echo off arp –d(清零ARP缓存地址表) arp -s 192.168.1.254 00-22-aa-00-22-aa(绑定正确网关IP和MAC地址) 把批处理放置开始--程序--启动项中,使之随计算机重起自动运行,以避免ARP病毒的欺骗。
1.1.2 W32.Blaster 蠕虫 W32.Blaster是一种利用DCOM RPC漏洞进行传播的蠕虫,传播能力很强。蠕虫通过TCP/135进行探索发现存在漏洞的系统,一旦攻击成功,通过TCP/4444端口进行远程命令控制,最后通过在受感染的计算机的UDP/69端口建立tftp服务器进行上传蠕虫自己的二进制代码程序Msblast.exe加以控制与破坏,该蠕虫传播时破坏了系统的核心进程svchost.exe,会导致系统RPC 服务停止,因此可能引起其他服务(如IIS)不能正常工作,出现比如拷贝、粘贴功能不工作,无法进入网站页面链接等等现象,严重时并可能造成系统崩溃和反复重新启动。
1.1.3 W32.Nachi.Worm 蠕虫 W32.Nachi.Worm蠕虫(以下简称Nachi蠕虫)利用了Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞进行传播。如果该蠕虫发现被感染的机器上有“冲击波”蠕虫,则杀掉“冲击波”蠕虫,并为系统打上补丁程序,但由于程序运行上下文的限制,很多系统不能被打上补丁,并被导致反复重新启动。
Nachi蠕虫感染机器后,会产生大量长度为92字节的ICMP报文,从而严重影响网络性能。1.1.4 w32.sasser蠕虫病毒 w32.sasser蠕虫病毒利用了本地安全验证子系统(Local Security Authority Subsystem,LSASS)里的一个缓冲区溢出错误,从而使得攻击者能够取得被感染系统的控制权。
震荡波病毒会利用 TCP 端口 5554 架设一个 FTP 服务器。同时,它使用 TCP 端口5554 随机搜索 Internet 的网段,寻找其它没有修补 LSASS 错误的 Windows 2000 和 Windows XP 系统。
震荡波病毒会发起 128 个线程来扫描随机的IP地址,并连续侦听从 TCP 端口 1068 开始的各个端口。该蠕虫会使计算机运行缓慢、网络堵塞、并让系统不停的进行倒计时重启。
蠕虫病毒防范措施:用户首先要保证计算机系统的不断更新,高校可建立微软的WSUS系统保证用户计算机系统的及时快速升级,另外用户必须安装可持续升级的杀毒软件,没有及时升级杀毒软件也是同样危险的,高校网络管理部门出台相应安全政策以及保证对用户定时的安全培训也是相当重要的。用户本地计算机可采取些辅助措施保护计算机系统的安全,如本地硬盘克隆、局域网硬盘克隆技术等。
2 高校家属区网络攻击分析2.1 ADSL猫(MODEM)攻击 ADSL攻击主要发生在高校家属区,ADSL作为一种宽带接入方式已经被广大用户接受,家属用户通过一台ADSL路由器拨号,利用ADSL的NAT功能实现多台计算机同时上网,最常见的安全问题就是用户没有修改路由器的初始配置密码,一般的ADSL路由器有一个默认的配置密码,且默然开放WEB(80)和TELNET。