无线网络安全威胁—中间人攻击 (ARP 威胁)

作业三

无线网络安全威胁—中间人攻击（ARP威胁）

姓名：陈清早

学号：PT1400158

目录1概述

2ARP欺骗攻击

3防御ARP欺骗的预防方案概览

3.1接入交换机/网关手动绑定

3.2主机端手动绑定

3.3网关定期发送免费ARP

3.4主机安装ARP防御软件

4三重立体ARP防御解决方案

4.1方案原理

4.2方式实现过程及效果

4.3方案总结

1概述

随着科技的发展，无线网络安全越来越受到大家的关注。在无线网络安全中，存在窃听，通信阻断，数据的注入和篡改，中间人攻击，客户端伪装，匿名攻击，漫游造成的问题等等。本次作业就针对中间人攻击中的ARP欺骗做一点了解。

用于攻击个人以及企业的最常见的网络攻击方式就是中间人攻击(MITM)。作为一种主动窃听攻击方式，中间人攻击方式主要是通过与目标机器建立连接并在目标机器间传递信息来发动攻击。在这种情况下，用户会认为自己正在与另一名用户直接通信，而实际上，通过主机的通信流量正在对用户执行攻击。最终结果是，攻击主机不仅能截取重要信息，而且能够注入数据流来进一步控制受害用户。

最常被使用的中间人攻击形式，包括ARP缓存中毒攻击(ARP Cache Poisoning)、DNS

欺骗(DNS Spoofing)、HTTP会话劫持等。

2ARP欺骗攻击

在实验过程中，我的主机（192.168.4.17），telnet虚拟机（192.168.4.116），我的虚拟机（192.168.4.117）作为中间人进行攻击，截获接收方的管理员的密码。在试验之前使用ARP–a检测我的主机的mac地址表。(实验时要把telnet设置成启动)

我的主机（192.168.4.17）的mac地址;

1.打开Cain软件，激活嗅探器，扫描主机.然后设定扫描的mac地址范围.点击配置对话框，设定中间人扫描时使用真实的mac地址

2.点击标签切换到ARP窗口。点击工具栏上+符号类似图标，设置ARP中毒目标IP。

3.点击切换到ARP选项窗口。点击工具栏类似放射性标志的图标。表示开始使目标IP 中毒。

4，在主机192.168.4.17端使用telnet去访问主机192.168.4.116。如下

5.打开wireshark软件抓包，过滤arp协议，同时切换到口令窗口。

可以看到中间人将自己的mac地址，换成接收方的mac地址了

切换到嗅探器，右键telnet建立的连接条目，查看，可以看到接收方的管理员的密码.

6.在主机192.168.4.17查看arp信息如下：

可以看到目标192.168.4.116对应的mac为00-0c-29-1a-17-cc。且为动态的。

实验结果及分析

通过这次的实验了解了ARP工作的原理，以及利用ARP协议的漏洞来进行中间人攻击，只是在实验的后面，被中间人攻击后，发送方无法ping通接收方。可能是中间攻击人所在的虚拟机未完成对发送方帧的发送，致使接收方无法收到。

3防御ARP欺骗的预防方案概览

面对ARP欺骗带来的危害日益升级，越来越多的网络深受其害，在网络安全界也涌现出了多种ARP欺骗的防御方案，这里简单加以总结。

3.1接入交换机/网关手动绑定

目前主流的安全接入交换机/网关都具有IP、MAC绑定功能，像锐捷网络的安全接入交换机甚至提供了6元素（IP、MAC、VLAN ID、交换机端口号、用户名、密码）的绑定，可以通过在接入交换机上将下联每台主机的IP和MAC地址绑定起来，将不符合IP、Mac绑定信息的报文全部丢弃，这样有效的防住了内网用户冒充网关或其他主机来欺骗内网其他用户的目的。

这种方法的局限性：

配置工作量大，每台交换机下所连的所有用户都要一一手动绑定，对于交换机下联客户机变换频繁的场合，基本无可用性；无法防御来自外部的ARP欺骗，只对本交换机所接用户负责；无法适用于采用动态IP的场合；接入交换机/网关手动绑定的方法，是现在采用的比较多的手段，但由于其以上的局限性，所以要配合其他手段才能完善的防御ARP欺骗。

3.2主机端手动绑定

通过Windows自带的ARP-S命令，可以将特定的IP地址和Mac地址进行绑定，实现一定的ARP欺骗防御。

这种方法的局限性：

配置麻烦，主机需要通信的目标很多，不可能一个一个都绑起来。容易失效，这种方法进行的绑定，一拔掉网线或者关机、注销就全部失效了，如果想继续使用，就需要重新绑定。只能进行主机端的防御，如果网关遭欺骗则无能为力。跟接入交换机绑定一样，主机端手动绑定也是只能实现部分防御，需要与其他方法结合来完善。

3.3网关定期发送免费ARP

这是一种抑制的方法，因为ARP表项有老化期，经过一段时间就需要重新更新，所以通过网关定期发送免费ARP，不时的“提醒”主机，真正的网关在这里，来防止伪装成网关的ARP欺骗。

这种方法的局限性：

网关定期发送免费ARP，对于网关设备的性能提出了很高的要求，同时，大量的免费ARP

报文无疑也大大占用了网络的带宽；由于很多ARP欺骗也是通过频繁大量发送免费ARP报文来实现的，所以如果网关这么做，欺骗只需要将发送的频率加大几倍就依然可以欺骗成功。

3.4主机安装ARP防御软件

目前这类软件很多，其基本原理与上一个方法相同，就是每个主机都不停的发送免费ARP广播，来告诉别人自己的IP和MAC的绑定关系，以达到抑制欺骗ARP报文的目的。

这种方法的局限性：

同上一个方法一样，这种方法也是通过耗费大量网络带宽来实现的，所以在许多主机安装了ARP防火墙的网络中，网络性能往往都会非常低下，因为大量的带宽都被免费ARP报文占用了。

以上就是目前常见的几种防范ARP欺骗的解决方案，我们可以看到，每个方案各有利弊，都无法完善方便的防住ARP欺骗。只有通过多种手段的结合，配合完善的内网管理机制，才能实现ARP欺骗的真正防御。

4三重立体ARP防御解决方案

ARP欺骗攻击存在的原因，究其根本在于ARP协议本身的不完善，通信双方的交互流程缺乏一个授信机制，使得非法的攻击者能够介入到正常的ARP交互中进行欺骗。要从根本上解决ARP欺骗的问题，必须要在局域网内的通信双方之间建立起一个可信任的验证体系。“ARP三重立体防御体系”，正是为了应对现在日益严重的ARP欺骗现象而制定的，整个解决方案遵循以下思路进行：

4.1方案原理

用户身份合法性验证

通过部署解决方案，实行基于IEEE802.1X协议的身份认证系统，所有用户都必须要经过统一集中的身份鉴权认证方能允许接入网络。统一的身份认证系统确保了所有网络中的在线用户都有合法的身份信息，并且利用802.1X协议基于MAC地址的逻辑端口认证特性，保障了认证系统的中央服务端能够在用户认证过程中获取到用户真实的IP-MAC对应信息。

确保真实ARP信息来源

防治ARP欺骗的最重要一个环节是确保ARP信息的真实可靠。对于局域网通信最主要的两个对象：网关和用户来说，网关的IP-MAC对应关系是不会轻易变更的；而通过在全网实施的入网身份认证系统，能够确保在用户每次上线时的认证过程中都能提交真实的IP-MAC 信息。网络中各元素的真实ARP信息有了可靠的来源保障。

中立的第三方ARP授信体系

前文已经谈到，要从根本上防治ARP欺骗，必须在通信双方之间建立可靠的验证体系。而由于ARP协议本身的缺陷性，不管是通信双方的网关或是主机都无法胜任对ARP信息的可靠性进行验证的角色，需要通过中立的第三方系统把控ARP协议的通信过程。GSN系统能够