为了正常的体验网站,请在浏览器设置里面开启Javascript功能!

局域网ARP地址欺骗和篡改网页攻击案例分析

2017-12-20 3页 doc 14KB 15阅读

用户头像

is_266065

暂无简介

举报
局域网ARP地址欺骗和篡改网页攻击案例分析局域网ARP地址欺骗和篡改网页攻击案例分析 网络赚钱:www.beiren.info 局域网ARP地址欺骗和篡改网页攻击案例分析 1,前 言 对互联网Web网页的篡改和攻击是当前危害广泛的恶意网络行为之一,攻防对抗的双方都有多种不同的实施与对抗策略。参考文献[1]对其中一种基于局域网ARP欺骗的网页恶意篡改行为作了很好的分析,本文在此基础上做了进一步的详细讨论,并提供了一个在校园网上捕获的真实的攻击网页的案例,此案例的捕获数据样本可从下载。为了帮助读者和网络管理员能够从本案例中了解如何解决安全管理中遇到的同类问题,本文尽...
局域网ARP地址欺骗和篡改网页攻击案例分析
局域网ARP地址欺骗和篡改网页攻击案例分析 网络赚钱:www.beiren.info 局域网ARP地址欺骗和篡改网页攻击案例分析 1,前 言 对互联网Web网页的篡改和攻击是当前危害广泛的恶意网络行为之一,攻防对抗的双方都有多种不同的实施与对抗策略。参考文献[1]对其中一种基于局域网ARP欺骗的网页恶意篡改行为作了很好的分析,本文在此基础上做了进一步的详细讨论,并提供了一个在校园网上捕获的真实的攻击网页的案例,此案例的捕获数据样本可从下载。为了帮助读者和网络管理员能够从本案例中了解如何解决安全管理中遇到的同类问题,本文尽量写得详细和通俗易懂,以供仿效操作。本案例分析所涉及到的各种背景知识在参考文献[2](即《计算机网络安全与应用》科学出版社,2007)中有全面的介绍。为了叙述简洁,本文中将参考文献[2]简称为“教材”,并在文中各部分给出了相关基础知识在此教材中的页码索引。因此本案例也可以作为《计算机网络安全与应用》课程教学的综合性研究训练课题。建议读者将本文案例的原始数据与该教材相互参照分析、动手实践,在此基础上做进一步的深入研究。 2,以太网ARP欺骗与网页劫持攻击的基本概念 2(1 以太网ARP欺骗的原理 因为IP(Internet Protocol)地址是用于TCP/IP互联网主机之间传输IP数据包的寻址,而MAC(Media Access Control)地址是用于以太网内主机之间传输数据帧的寻址,为了在以太局域网上传输互联网的IP包,必须利用地址解析协议ARP(Address Resolution Protocol)进行IP-MAC地址的映射查询。以太网的动态主机配置协议DHCP(Dynamic Host Configuration Protocol)用于进行反向地址解析以及自动的网络地址分配和管理。关于ARP协议和DHCP协议的详细介绍参看教材第80页3.2节。各类地址的用途和相互关系参看教材25页图1.18。 在一个运行动态主机配置协议DHCP的以太网内,各主机的IP地址是在接入网络时自动向DHCP服务器申请动态分配的(参看本文3.2节的实测数据),但是所有计算机网卡的MAC地址是不变的(参看教材80,86页)。因此在正常工作时,为了及时了解其他网络主机的IP-MAC地址关系,局域网的网关和网内主机每隔一段时间(约几十秒,几分钟)就要更新一次自己的ARP,使自己 的ARP表中各主机的“IP-MAC地址”的对照关系与实际状况吻合,否则IP包的传输投递将产生错乱。若某主机要更新自己的ARP表,它就在局域网内广播发送ARP查询请求数据帧(见教材82页图3.12)。例如:在教材84页图3.15的网络捕获数据实例中,第20号数据帧的查询内容是“Who has 192.168.8.9 ? Tell 192.168.8.1”。这是局域网的网关192.168.8.1发送的ARP广播查询帧,它希望局域网内IP地址为192.168.8.9的主机收到此广播查询请求后,将自己的MAC地址利用ARP的单播响应帧告诉网关,以便网关将此“IP-MAC地址对”加入到自己的ARP表中(参看教材228页图7.7)。 但是在ARP协议中,广播查询者对单播应答者的身份缺乏合法性认证的机制。如果此时网内有一台恶意主机(图1中的主机B)收到网关广播的查询其他IP主机的请求后,冒名顶替给网关发回一个响应帧,将自己的MAC地址配上其他主机的IP地址回答网关,于是网关就将自己的ARP表中此IP地址对应的MAC地址错误地设置为恶意主机的MAC地址。当网关收到来自外网发给内部合法IP主机的IP包后,就错误地将此IP包封装为投递到恶意主机MAC地址的以太网帧内,这就是ARP欺骗。网关在内外网之间转发IP数据报时,必须保持IP包头部的源与目的IP地址不变,但是在转发封装为以太网帧时,要根据ARP表设置以太网帧头部的MAC地址,正常的IP-MAC地址变换处理过程参看教材第21页的例1-4。 2,2 基于ARP欺骗的网页劫持与篡改 以图1为例,如果局域网内的恶意主机B冒名顶替骗取了网关发给主机A的IP包后,将其中HTTP协议的网页内容(如HTML等文档)篡改或加入淫秽恶意网站的链接后,又重新封装为以太网帧发给主机A,而此时主机A并不会产生怀疑,因为网络层收到包中的源IP地址仍然是Web服务器的IP地址,而传输层TCP数据段的传输和应用层网页的通信过程都不会去核查底层MAC参数。这就是基于ARP欺骗的网页劫持和篡改。 恶意主机B重新封装后的以太网数据帧里:应用层网页内容被篡改了,传输层TCP的源与目的端口号不变,互联网层IP包头部的源与目的IP地址不变,而数据链路层的以太网帧头部中源MAC地址由原来的网关MAC地址改为恶意主机的MAC地址,目的MAC地址改为受害主机A的MAC地址。参看教材24页图1.17。 知道上述ARP欺骗和网页劫持篡改攻击的过程后,我们就可以在受害主机A收到不正常的网页时,利用网络协议分析软件Wireshark捕获收到的网页数据帧,从中找到恶意主机B的MAC地址,锁定其身份,对其进行隔离和清除木马处理。图1中各参数是如何获取的,以及详细的分析过程将在后面进行逐步介绍。
/
本文档为【局域网ARP地址欺骗和篡改网页攻击案例分析】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。 本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。 网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。

历史搜索

    清空历史搜索