验收房子注意事项,情迷黑森林,赛尔号克斯莉
摘要:网络上各种协议的制定最初的目的是为了有一个统一的标准可以使更方便和在更广泛的范围内实现互通。但就在这些协议成为标准之后,人们在研究它的过程当中发现了协议本身的一些缺陷。同时就有这样的一些恶意和善意的人们利用协议本身的缺陷并结合它们的工作原理研究出了许多对网络进行攻击的方法。本文主要介绍了在网络中存在的一些攻击现象,并分析了各种攻击现象的实现原理。
关键词:网络攻击;ARP;MAC地址;ICMP
The Phenomenon of Network Attack
WANG Yu-ting
(Fujian Polytechnic of Information Technology, Fujian 350003, China)
Abstract: Network protocols aimed at making communication more convenient on internet. However the defects of protocols give those spiteful cyber citizens some chances to develop ways to attack websites. I would introduce some possible ways to destroy websites in my thesis and analyze briefly the working principles which realize the attacks on internet.
Key words: the network attacks; ARP; MAC address; ICMP
1 引言
现代的网络通信系统可以说已经遍布全世界的每个角落,尽管很多不同的用户使用着各种不同型号的并且运行的是完全不同的操作系统,但他们仍然可以通过TCP/IP协议族做到互相通信。这就是网络协议所发挥的巨大作用,但同时它也可以说是网络中的一把双刃剑。人们可以通过它实现任意形式的互通,也可以利用它破坏网络中的通信。这就是指人们通过研究各种网络协议中的缺陷和它们的工作原理来找到其中的漏洞,然后对相应的主机或网络进行攻击,最终导致被攻击主机或网络被监听、破坏甚至瘫痪以达到攻击者的目的。下文当中介绍的几种攻击现象主要是利用ARP、ICMP等协议的工作原理来进行攻击的。
2 链路层攻击
链路层也称作数据链路层或网络接口层,通常包括操作系统中的设备驱动程序和计算机中对应的网络接口卡。该层中的协议主要有ARP(地址解析协议)和RARP(逆地址解析协议)两个用于某些网络接口(如以太网和令牌环网)的特殊协议,主要功能为用来转换IP层和网络接口层使用的地址。
ARP的工作原理简单概括为:在传输以太网数据包时必须知道目标主机的MAC地址。源主机在发送数据时首先检查自己的ARP列表中有没有该IP地址对应的MAC地址,有的话就直接传输。如果没有就向本地网段发起一个ARP请求的广播包,该请求数据包中包括源主机的IP地址、MAC地址以及目的主机的IP地址,网段中的所有主机收到该请求后都将目的IP与自己的IP进行比较,如果不相同就忽略此包;如果相同就将源主机的IP地址和MAC地址更新到自己的ARP表中,并发送应答数据包给源主机告诉对方自己的MAC地址,源主机接到应答包之后同样将对方的IP地址和MAC地址更新到自己的ARP表中,然后开始传输数据。
该层上的网络攻击就是利用ARP协议的工作原理来实现的,主要有以下两种类型:
2.1 ARP广播攻击
又称作ARP扫描攻击或ARP请求风暴。这种攻击表面上看起来是网络当中出现了大量ARP请求广播包,几乎是对网段内的所有主机进行扫描,最终大量的ARP请求广播可能占用掉许多网络带宽资源。实际上是由于黑客程序发送大量带假目标IP地址、假源MAC地址的ARP请求报文,产生大量广播包。这些新源MAC地址被各主机学习,造成ARP表溢出,挤掉原来合法的ARP表项,致使合法目标MAC成为新目标MAC,又使各主机产生大量ARP广播请求报文。
2.2 ARP欺骗攻击
ARP协议并不是只有发送了ARP请求才接收ARP应答,也可以直接接收ARP应答数据包。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中IP和MAC地址存储在ARP缓存中。因此在网络中,如果有人发送一个出错的或者是自己伪造的ARP应答,网络可能就会出问题。具体的实现过程可以描述为:黑客程序发送错误或者误导的ARP应答报文,使网络数据流重定向于黑客主机,使黑客主机成为网络数据流传输的中转站,导致窃取甚至篡改正常数据包。ARP欺骗攻击的核心就是向目标主机发送伪造的ARP应答,并使目标主机接收应答中伪造的IP和MAC间的映射对,并以此更新目标主机缓存。
具体的实现过程如下例所示:假设一个网络中,有三台主机共网段,分别为主机A、B、C。三台主机的详细信息描述如下:
A的IP地址:192.168.18.1MAC地址:AA-AA-AA-11-11-11
B的IP地址:192.168.18.2MAC地址:BB-BB-BB-22-22-22
C的IP地址:192.168.18.3MAC地址:CC-CC-CC-33-33-33
假设现在A和C之间在进行通讯,此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.18.3(C的IP地址),MAC地址是BB-BB-BB-22-22-22(C的MAC地址本来应该是CC-CC-CC-33-33-33,这里被伪造了)。由于大多数的操作系统在接收到ARP应答后不考虑是否发出真实的ARP请求,当A接收到B伪造的ARP应答,就会及时更新本地的ARP缓存(A被欺骗了),这时B就伪装成C了。同时,B同样向C发送一个ARP应答,应答包中发送方IP地址为192.168.18.1(A的IP地址),MAC地址是BB-BB-BB-22-22-22(A的MAC地址本来应该是AA-AA-AA-11-11-11),当C收到B伪造的ARP应答,也会更新本地ARP缓存(C也被欺骗了),这时B就伪装成了A。这样主机A和C都被主机B欺骗,A和C之间通讯的数据都经过了B。这样主机B就实现了对A和C的监听。这就是典型的ARP欺骗过程。一般情况下,ARP欺骗的某一方应该是网关,就如上面的A主机。
3 网络层攻击
一个MAC地址层范围(第二层)的攻击是最普通而且也是最不容易发现的安全威胁,它的目标是让网络失效或者通过获取诸如密码这样的敏感信息而危及网络用户的安全。这些攻击利用正常的协议过程来获取信息,比如通过交换机的功能来获取MAC(媒体接入控制)地址,通过ARP协议(地址解析协议)来获取终端工作站的MAC地址或者通过DHCP(动态主机配置协议)服务器来获取IP地址分配结果。
3.1 MAC地址溢出攻击(MAC/CAM攻击)
