ARP攻擊原理與判別方法等

1、ARP攻擊原理與判別方法等ARP是英文AddressResolutionPro-tocol的簡(jiǎn)稱(chēng),是地址解析協(xié)議的意思，它是一個(gè)位于TCfyip協(xié)議棧中的底層協(xié)議，對(duì)應(yīng)于數(shù)據(jù)鏈路層，負(fù)責(zé)將某個(gè)IP地址解析成對(duì)應(yīng)的MAC地址。ARP的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址，查詢(xún)目標(biāo)設(shè)備的MAC地址，以保證通信的進(jìn)行，也是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP攻擊原理而我們經(jīng)常聽(tīng)到的ARP攻擊就是通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)

2、主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。那ARP攻擊的原理究竟是怎樣的呢？它主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一臺(tái)計(jì)算機(jī)感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會(huì)試圖通過(guò)“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。例如：某機(jī)器A要向主機(jī)B發(fā)送報(bào)文，會(huì)查詢(xún)本地的ARP緩存表，找到B的IP地址對(duì)應(yīng)的MAC地址后，就會(huì)進(jìn)行數(shù)據(jù)傳輸。如果未找到，則A廣播一個(gè)ARP請(qǐng)求報(bào)文（攜帶主機(jī)A的IP地址Ia物理地址Pa）,請(qǐng)求IP地址為Ib的主機(jī)B回答物理地址Pbo網(wǎng)上所有主機(jī)包括B都收到ARP請(qǐng)求，但只有主機(jī)B識(shí)別自己的IP地址，于是向

3、A主機(jī)發(fā)回一個(gè)ARP響應(yīng)報(bào)文。其中就包含有B的MAC地址，A接收到B的應(yīng)答后，就會(huì)更新本地的ARP緩存。接著使用這個(gè)MAC地址發(fā)送數(shù)據(jù)。因此，本地高速緩存的這個(gè)ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)，而且這個(gè)緩存是動(dòng)態(tài)的。遭受ARP攻擊后現(xiàn)象遭受到ARP攻擊通常表現(xiàn)為：使用局域網(wǎng)時(shí)會(huì)突然掉線，過(guò)一段時(shí)間后又會(huì)恢復(fù)正常。客戶(hù)端狀態(tài)頻頻變紅，用戶(hù)頻繁斷網(wǎng)，IE瀏覽器頻繁出錯(cuò)，以及一些常用軟件出現(xiàn)故障等。如果局域網(wǎng)中是通過(guò)身份認(rèn)證上網(wǎng)的，會(huì)突然出現(xiàn)可認(rèn)證，但不能上網(wǎng)的現(xiàn)象，無(wú)法ping通網(wǎng)關(guān)，重啟機(jī)器后，網(wǎng)絡(luò)恢復(fù)正常。ARP攻擊的可怕之處是在于只需成功感染一臺(tái)電腦，就可能導(dǎo)致整個(gè)局域網(wǎng)都無(wú)法上網(wǎng)，嚴(yán)重的甚至可

4、能帶來(lái)整個(gè)網(wǎng)絡(luò)的癱瘓。發(fā)作時(shí)除了會(huì)導(dǎo)致同一局域網(wǎng)內(nèi)的其他用戶(hù)上網(wǎng)出現(xiàn)時(shí)斷時(shí)續(xù)的現(xiàn)象外，還會(huì)竊取用戶(hù)密碼。如盜取QQ密碼、盜取各種網(wǎng)絡(luò)游戲密碼和賬號(hào)去做金錢(qián)交易，盜竊網(wǎng)上銀行賬號(hào)來(lái)做非法交易活動(dòng)等，這是木馬的慣用伎倆。給用戶(hù)造成了很大的不便和巨大的經(jīng)濟(jì)損失。一般情況下，受到ARP攻擊的計(jì)算機(jī)會(huì)出現(xiàn)兩種現(xiàn)象，一是不斷彈出“本機(jī)的0255段硬件地址與網(wǎng)絡(luò)中的0255段地址沖突”的對(duì)話框；二是計(jì)算機(jī)不能正常上網(wǎng)，出現(xiàn)網(wǎng)絡(luò)中斷的癥狀。因?yàn)檫@種攻擊是利用ARP請(qǐng)求報(bào)文進(jìn)行“欺騙”的，所以防火墻會(huì)誤以為是正常的請(qǐng)求數(shù)據(jù)包，不予攔截，普通的防火墻很難抵擋這種攻擊。云計(jì)算安全：讓IT部門(mén)失控了張東升調(diào)查顯示，企

5、業(yè)的IT部門(mén)對(duì)于企業(yè)內(nèi)部運(yùn)行的各種云計(jì)算程序已經(jīng)無(wú)法進(jìn)行全面的跟蹤了，這將導(dǎo)致企業(yè)的IT安全架構(gòu)變得不再安全。云計(jì)算是指數(shù)據(jù)的存儲(chǔ)和處理被分散在企業(yè)內(nèi)網(wǎng)以外的整個(gè)互聯(lián)網(wǎng)中的各個(gè)平臺(tái)上，這可以極大的節(jié)省企業(yè)的IT資源需求并提升數(shù)據(jù)處理效率。由于云計(jì)算應(yīng)用程序并不需要購(gòu)買(mǎi)特殊的硬件設(shè)備或需要復(fù)雜的整臺(tái)步驟，因此企業(yè)內(nèi)的個(gè)人或部門(mén)都可以隨意安裝此類(lèi)程序，而不需要事先通知企業(yè)的IT部門(mén)。這導(dǎo)致了企業(yè)的IT部門(mén)難以盡到全面監(jiān)察系統(tǒng)安全的職責(zé)，比如確保數(shù)據(jù)保護(hù)完全實(shí)現(xiàn)等。因此，在PonemonInstitute的調(diào)查中，有半數(shù)的企業(yè)CIQCTO以及CFO企業(yè)執(zhí)行層領(lǐng)導(dǎo)者并不確定自己的企業(yè)中是否存在某種云計(jì)

6、算程序。與美國(guó)的企業(yè)高管相比，歐洲企業(yè)高管在這方面的信心稍微強(qiáng)一些，盡管美國(guó)企業(yè)好像更偏愛(ài)在企業(yè)關(guān)鍵業(yè)務(wù)程序上采用云計(jì)算方式。該研究機(jī)構(gòu)的調(diào)查結(jié)果顯示，IT的消費(fèi)化使得企業(yè)評(píng)估云計(jì)算安全的能力成為了空白。該報(bào)告還指出，如果云計(jì)算程序被認(rèn)定為非安全程序，那么使用這類(lèi)程序的人員就將企業(yè)推人了一個(gè)危險(xiǎn)的環(huán)境。安裝云計(jì)算程序的人員可能只是為了某種需要，他們并不知道這樣做會(huì)為企業(yè)的信息安全帶來(lái)風(fēng)險(xiǎn)。該報(bào)告建議，企業(yè)的CIO們應(yīng)該建立一套企業(yè)內(nèi)運(yùn)行的云計(jì)算服務(wù)程序庫(kù)。并逐一評(píng)估這些云計(jì)算服務(wù)的安全性。然后再?zèng)Q定是否應(yīng)該禁止使用這項(xiàng)云計(jì)算服務(wù)，或?yàn)橹贫ㄏ鄳?yīng)的安全防范措施。企業(yè)CIO失去了對(duì)云計(jì)算程序的控制，意味著企業(yè)信息安全面臨風(fēng)險(xiǎn)。接下來(lái)IT部門(mén)的決策者應(yīng)該推出一套策略，讓IT安全專(zhuān)家們?cè)u(píng)估企業(yè)所正在使用以及未來(lái)將要轉(zhuǎn)向云計(jì)算服務(wù)的各種應(yīng)用程序的安全性。在將應(yīng)用程序遷移到云計(jì)算服務(wù)平臺(tái)前。首先要考慮的就是訪問(wèn)權(quán)限的問(wèn)題，尤其是針對(duì)個(gè)人用戶(hù)，同時(shí)要確保敏感信息在云計(jì)算中的安全性。企業(yè)還應(yīng)該針對(duì)關(guān)鍵