ARP欺骗技术深度剖析:防范策略与校园网络安全案例

0 下载量 63 浏览量 更新于2024-06-24 收藏 517KB DOC 举报
该篇计算机应用专业的毕业论文《计算机应用毕业论文-ARP欺骗技术的研究与实践.doc》由吕珊珊撰写,学号20134062036,系部为数学与计算机系,专业为08级计算机应用。论文主要针对网络协议中的ARP协议进行深入研究,背景是随着网络的飞速发展,网络安全问题日益突出,尤其是ARP协议的安全漏洞引发的欺骗攻击。 论文首先介绍了ARP协议的基本概念,包括其定义和工作原理,阐述了它在网络通信中的关键作用。接着,作者详细探讨了ARP欺骗的原理,解释了什么是ARP欺骗,其带来的危害以及产生欺骗的根本原因。论文列举了多种常见的ARP欺骗攻击方式,如冒充主机或网关欺骗、"中间人"攻击、Flooding攻击和网页劫持,并通过实际操作进行了模拟演示。 针对防范ARP欺骗,论文讨论了两种检测方法:手动检测和自动检测,以及相应的防御策略。手动防御涉及到用户自行识别和处理,而自动检测则依赖于系统或软件工具来实时监控和防护。此外,作者还分享了在学院校园网络安全项目中的实践经验,结合了锐捷GSN(网络设备管理技术)、IEEE802.1x(身份验证协议)和ARP-Check(专门用于检测和防止ARP欺骗的技术)来构建了一种立体化的防御方案。 论文最后部分,作者提到了对IPv6邻居发现协议的研究,虽然这部分内容篇幅较短,但暗示了后续可能对IPv6时代的网络安全挑战进行进一步探讨。这篇论文不仅提供了对ARP欺骗技术的深入理解,还提出了解决方案,具有很高的实用价值和理论参考意义。关键词包括ARP、锐捷GSN、IEEE802.1x、邻居发现协议等,展示了作者在网络安全领域的专业素养。
2023-06-07 上传
《计算机网络安全》实验报告 实验名称: arp欺骗 提交报告时间: 年 月 日 1. 实验目的 程序实现ARP欺骗,对ARP欺骗进行进一步的认识并提出防范措施。 2. 系统环境 主机1 windows系统 主机2 windows系统 主机3 linux操作系统 3. 网络环境 同一网段下的网络 四、实验步骤与实验结果 将主机A、C、E为一组,B、D、F为一组。实验角色说明如下: "实验主机 "实验角色 " "主机A、B "目标主机一/Windows " "主机C、D "黑客主机/Linux " "主机E、F "目标主机二/Windows " 首先使用"快照X"恢复Windows/Linux系统环境。 一.ARP欺骗攻击 实验需求: (1)本实验使用交换网络结构(参见附录B),组一、二和三间通过交换模块连接(主 机A、C、E通过交换模块连接,主机B、D、F也通过交换模块连接)。因此,正常情况下 ,主机C无法以嗅探方式监听到主机A与主机E间通信数据,同样主机D也无法监听到主机 B与主机F间的通信数据。 (2)主机C要监听主机A和主机E间的通信数据;主机D要监听主机B与主机F间的通信数据 。 分析: 黑客主机通过对目标主机进行ARP欺骗攻击,获取目标主机间的通信数据。 1.正常通信 图6-1-1 目标主机正常通信示意图 (1)目标主机二单击工具栏"UDP工具"按钮,启动UDP连接工具,创建2513/udp服务端。 主机1发送数据 (2)目标主机一启动UDP连接工具,将"目标机器"IP地址指定为目标主机二的地址,目 标端口与服务器一致。在"数据"文本框中输入任意内容,单击"发送"按钮,向服务端发 数据。服务端确定接收到数据。 主机2接收到数据 (3)黑客主机单击工具栏"控制台"按钮,切换至/opt/ExpNIC/NetAD- Lab/Tools/ids目录(Snort目录),命令如下: 主机3 通过上述命令snort仅会监听源IP地址为目标主机一的、传输协议类型为UDP的网络 数据(详细的snort使用命令见实验10|练习一)。 (4)目标主机一再次向目标主机二发送消息,黑客主机停止snort监听(Ctrl+C),观 察snort监听结果,是否监听到目标主机间的通信数据。为什么? 主机1向主机2发送消息 主机3不能监听到主机1发送到的数据 因为命令snort只会监听源IP地址为目标主机一的、传输协议类型为UDP的网络数据,并 不能截获数据 (5)目标主机一查看ARP缓存表,确定与目标主机二的IP相映射的MAC地址是否正常。 此时主机1arp缓存正常 2.ARP攻击 图6-1-2 ARP攻击示意图 (1)黑客主机单击平台工具栏"控制台"按钮,进入实验目录,运行ARPattack程序攻击 目标主机一,将其ARP缓存表中与目标主机二相映射的MAC地址更改为黑客主机的MAC地址 ,命令如下: 其中第一个参数为被攻击主机IP地址,第二个参数为被攻击主机MAC地址,第三个 参数为与被攻击主机进行正常通信的主机IP地址。 通过上述命令在目标主机一的ARP缓存表中,与目标主机二IP相绑定的MAC被更改为黑客 主机MAC。 (2)黑客主机启动snort,同样监听源IP地址为目标主机一的、传输协议类型为UDP的网 络数据。 (3)目标主机一继续向目标主机二发送数据,目标主机二是否接收到数据?目标主机间 的通信是否正常?黑客主机停止snort监听,观察snort监听结果,是否监听到目标主机 间的通信数据。为什么?主机2不能接收到数据,通信不正常 主机1发送数据"ee" 主机三监听到发送的数据"ee" 因为运行ARPattack程序攻击目标主机一,将其ARP缓存表中与目标主机二相映射的M AC地址更改为黑客主机的MAC地址,主机3已经截获了主机1发给主机2的数据;命令snor t会监听源IP地址为目标主机一的、传输协议类型为UDP的网络数据。 (4)目标主机一查看ARP缓存表,确定与目标主机二的IP相映射的MAC地址是否正常。 Ip为主机2ip,但MAC已经改成黑客主机的MAC地址了 3.单向欺骗 正如步骤2中所示的实验现象,在黑客实施了简单的ARP攻击后,目标主机二会接收不到 目标主机一的消息,在接下来的时间里目标主机一、二很容易会对网络状况产生怀疑。 他们会去查看并修改ARP缓存表。所以应尽量减少目标主机由于受到ARP攻击而表现出的 异常,将黑客主机做为"中间人",将目标主机一发送的数据转发给目标主机二,是一种 很可行的方法。 图6-1-3 ARP单向欺骗示意图 (1)黑客主机开启路由功能,具体操作如下: 在控制台中输入命令:echo 1 >/proc/sys/net/ipv4/ip_forward 主机3 (2)黑客主机捕获来自目标主机一的数据包,并将