文档介绍：基于ARP漏洞的网络监听的研究与防范
詹可强
(福建信息职业技术学院,福建福州 350003)
摘要:从ARP协议所存在的漏洞及安全隐患出发,在对利用ARP欺骗实现对网络中数据包的嗅探与监听进行研究的基础上,提出了被动式防范与主动式防范的相应措施。
关键词:网络安全;网络监听;ARP;防范
中图分类号: 文章标识码:A 文章编号:K124(2008)01-0020-05
0 引言
随着计算机网络技术的高速发展,网络正日益成为政治、经济、文化、生活中不可缺少的一部分。它在给人们的生活、学习、工作带来前所未有的方便和机遇的同时,由网络自身固有的不安全性,网络安全问题也越来越引起人们的关注。
网络监听,又称为网络嗅探技术,它是网络安全攻防体系中的一项重要技术。它是一种在他方未察觉的情况下将网络上传输的数据捕获并进行分析的行为[1]。网络监听在协助网络管理员监测网络传输数据、排除网络故障等方面具有十分重要的作用。然而,网络监听也给网络的安全带来了极大的隐患,许多的网络入侵往往都伴随着以太网内网络监听行为,从而造成口令失窃、敏感数据被截获等连锁性安全事故。收稿日期:2007-12-08
作者简介:詹可强(1981-),男,硕士,福建福州人,助教,硕士,主要研究方向:网络技术及应用、网络安全。
1网络监听原理
当前网络监听主要用于局域网中,根据监听环境的不同,网络监听可分为两类:共享式网络监听和交换式网络监听。在共享式网络中,由于是基于广播的方式来发送数据,所以数据包会被发送到连在一起的所有主机。因此,只要使主机的网卡工作在混杂模式下,并辅以相应的捕获机制就可以实施网络监听,其实现方式较为容易。而随着交换机的快速发展,交换式网络越来越普及。交换机与共享式网络环境下的集线器相比,最重要的特点是它的每个端口都单独占有一个信道,数据包的发送并不是通过广播的方式发送。每台交换机的端口都有一张ARP地址转换表,交换机是通过该地址表的内容对数据包的走向进行判断,从而实现数据包的转发。因此,在交换式网络中实施网络监听的关键,就是要使发送给其它主机的数据帧能够到达运行的网络监听程序的主机。
MAC地址
MAC地址又叫硬件地址或物理地址,它存放于网卡的ROM中,唯一标识每一块网卡。其结构如图1所示。
图1 MAC地址的结构
MAC地址长度为6Byte (48bits),在这48bits中前24bits由IEEE统一分配,anizationally Unique Identifier)。后24bits是一组序列号,由生产厂家自行分配,其作用是保证MAC地址的唯一性。
ARP协议
ARP协议是TCP/ IP协议簇中的一个协议,ARP(Address Resolution Protocol)协议全称为地址解析协议[2]。在数据包传送时,无论源主机和目标主机是否在同一个局域网内,都需要对目标主机进行寻址,即将数据包的IP地址转化为MAC地址,而这个工作正是通过ARP协议来实现的[3]。
ARP解析地址的过程就是主机在传输数据包时将目标主机的IP地址转换成目标主机的MAC地址的过程。ARP协议规定每一台主机都设有一个ARP高速缓存表,当主机A欲向本网络的主机B发送数据包时,就先在其ARP高速缓存表中查看有无主机B的IP地址