摘 要:本文主要分析了arp病毒攻击的工作过程以及欺骗技术的基本原理,通过分析发现大多数的网络安全措施都存在巨大漏洞,然后采用一些处理arp病毒的手段解决了这些存在的缺陷,最后提出了今后网络管理所面临的重要问题和发展的主要方向。
关键词:arp欺骗;入侵检测系统;网络监控平台
计算机网络是一个开放性的平台,这就决定了网络先天就存在安全的问题。网络安全一直是限制网络发展的一个重要原因。现今的网络架构中采用交换机互联,使用网关地址转发网络数据包,这种交换式连接的局域网一直是很成熟的技术,但近年来它在一种新型网络攻击面前却毫无办法进行防范,这种攻击就是arp欺骗。
1.arp欺骗
ARP欺骗是黑客常用的攻击手段之一,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
假设一个网络环境中,网内有三台主机,分别为主机A、B、C。主机详细信息如下描述: A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC 正常情况下A和C之间进行通讯,但是此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A被欺骗了),这时B就伪装成C了。同时,B同样向C发送一个ARP应答,应答包中发送方IP地址四192.168.10.1(A的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA),当C收到B伪造的ARP应答,也会更新本地ARP缓存(C也被欺骗了),这时B就伪装成了A。这样主机A和C都被主机B欺骗,A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么:)。这就是典型的ARP欺骗过程。
2.目前的网络防御方法
2.1 防火墙
虽然防火墙可以有效地保护网络免遭黑客的攻击,但是也现存着一些明显的不足:①对内部网络发起的攻击无法阻止;②可以阻断外部攻击而无法消灭攻击来源;③做nat转换后,由于防火墙本身性能和并发连接数的限制,容易导致出口成为网络瓶颈,形成网络拥塞;④对于网络中新生的攻击行为,如果未做出相应策略的设置,则无法防范;⑤对于利用系统后门、蠕虫病毒以及获得用户授权等一切拥有合法开放端口掩护的攻击行为将无法防范。为了弥补防火墙存在的不足,许多网络管理者应用入侵检测来提高网络的安全性和抵御攻击的能力。
2.2 入侵检测系统(intrusiondetectionsystem)
入侵检测系统(ids)按照收集数据来源的不同一般可以分为三大类:
①由多个部件组成,分布于内部网络的各个部分的分布式入侵检测系统。
②依靠网络上的数据包作为分析、监控数据源的基于网络型入侵检测系统。
③安装在网段内的某台计算机上,以系统的应用程序日志和审计日志为数据源主机型入侵检测系统。
虽然入侵检测系统以不同的形式安装于内部网络的各个不同的位置,但由于采集数据源的限制,对arp病毒形式的攻击行为却反应迟钝。入侵检测系统一般部署在主干网络或者明确要监控的网段之中,而一个内部网络往往有很多个独立的网段;由于财力的限制,网络管理者一般都不能在每个网络中部署用于数据采集的监控计算机。一旦未部署的网段中arp欺骗阻塞了本网段与外界的正常通讯,入侵检测系统无法采集到完整的数据信息而不能迅速准确的作出反应。除此以外,现有的各种入侵检测系统还存在着一些共同的缺陷,如;较高的误报率,无关紧要的报警过于频繁;系统产品对不同的网络或网络中的变化反应迟钝,适应能力较低;系统产品报告的专业性太强,需要管理者、使用者有比较高深的网络专业知识;对用于处理信息的设备在硬件上有较高的要求,在大型局域网络中检测系统受自身处理速度的限制,容易发生故障无法对网络进行实时监测。
2.3 入侵防御系统(intrusionpreventsystem)
(1)入侵防御系统(ips)是针对入侵检测系统(ids)所存在的不足,借用网络防火墙的部分原理而建立的。入侵防御系统有效的结合了入侵检测技术和防火墙原理;不但能检测入侵的发生,而且通过一些有效的响应方式来终止入侵行为;从而形成了一种新型的、混合的、具有一定深度的入侵防范技术。
入侵防御系统(ips)按照应用方式的不同一般可以分为三大类:
①基于主机的入侵防御系统hips:是一种驻留在服务器、工作站等独立系统中的安全管理程序。这些程序可以对流入和流出特定系统的数据包进行检查,监控应用程序和操作系统的行为,保护系统不会被恶意修改和攻击。
②基于网络的入侵防御系统nips:是一种以嵌入模式部署与受保护网段中的系统。受保护网段中的所有网络数据都必须通过nips设备,如果被检测出存在攻击行为,nips将会进行实时拦截。
③应用服务入侵防御系统(aips):是将hips扩展成位于应用服务器之间的网络设备。利用与hips相似的原理保护应用服务器。
相对与ids而言,ips是以在线方式安装在被保护网络的入口处,从而监控所有流经的网络数据。ips结合了ids和防火墙的技术,通过对流经的数据报文进行深层检查,发现攻击行为,阻断攻击行为,从而达到防御的目的。
(2)但同时,我们也认识到:由于ips是基于ids同样的策略特征库,导致它无法完全克服ids所存在的缺陷,依然会出现很多的误报和漏报的情况,而主动防御应建立在精确、可靠的检测结果之上,大量的误报所激发的主动防御反而会造成巨大的负面影响;另一方面,数据包的深入检测和保障可用网络的高性能之间是存在矛盾的,随着网络带宽的扩大、单位时间传输数据包的增加、ips攻击特征库的不断膨胀,串连在出口位置的ips对网络性能的影响会越来越严重,最终必将成为网络传输的瓶颈。
3. 新的网络安全发展方向
分析目前网络安全技术的特点不难发现:现有的安全技术无法保证100%发现和阻断外来的网络攻击行为;同时,内网中的计算机以及其它网络通讯设备中存在的系统安全漏洞基本上没有得到任何监控。
所以网络安全新的发展方向就是要建立起上述的网络故障自动监控平台,在建网时就要尽量做到以下几个方面的工作:
①设计大规模的局域网时,网内的交换机应该联入一个或多个独立的网段中,这样既可以让交换机之间形成一个独立的管理网络,又可以避免远程操作交换机时受到用户网段通信的影响。
②应尽量多的在网络中部署管理型网络交换机,这样既可以缩小故障源的范围便于定位,又便于网络管理员进行远程操作以迅速处理网络故障。
③应在核心交换机上部署一个基于全网拓扑图的网络监控软件,网络值班人员(非核心技术人员)可以通过网络交换机的图形化管理软件对网络信息进行收集、分析和进行故障分析和排除,达到动态监控的目的。
④努力开发收集交换机数据的软件,开发分析网络行为的策略库,不断提高网络监控平台的故障反应速度和故障源定位的准确性。
参考文献
[1]张仕斌,易勇。网络安全技术[m]清华大学出版社
[2]任侠,吕述望。arp协议欺骗原理分析与抵御方法[j]计算机工程2004
[3]张海燕。arp漏洞及其防范技术。网络与信息安全2006
[4]楮建立,马雪松,局域网arp欺骗防范技术探讨。网络安全技术与应用2007
中国论文网(www.lunwen.net.cn)免费学术期刊论文发表,目录,论文查重入口,本科毕业论文怎么写,职称论文范文,论文摘要,论文文献资料,毕业论文格式,论文检测降重服务。