中国思科华为3Com微软网络技术社区 › 论坛 › 「网络技术交流区」 › 网络技术交流区 › 基于DoS带宽攻击的ARP欺骗及ICMP攻击技术的分析

报CCNP送CCNA培训获取名企职位	誉天RHCE+CCNP班，不就业退学费	ITAA返利回归季,最高优惠25%	艾迪飞五一培训优惠进行中
泰克实验室启动CCNA免费重考活动	团购CCNA课程,仅需99元,名额有限!	武汉引航CCNP就业班	深圳思科培训首选嘉华盛世
赛贝尔计算机入侵与防范实验室	ThinkMo新盟教育天津独家CCIE培训	武汉引航CCIE包过班火热上线	武汉引航2012年“五一”思科培训优惠

返回列表

查看: 420|回复: 1

[转载] 基于DoS带宽攻击的ARP欺骗及ICMP攻击技术的分析 [复制链接]

kissed

IT初级

Rank: 5 Rank: 5

该用户从未签到

最后登录: 2011-5-16
在线时间: 10 小时
金币: 2407
注册时间: 2008-3-25
积分: 597
帖子: 36
主题: 0
精华: 0
UID: 80516

发表于 2008-7-2 00:03:49 |显示全部楼层

基于DoS带宽攻击的ARP欺骗及ICMP攻击技术的分析
摘　要　ARP欺骗及ICMP攻击是以太网中常用的攻击手段，两者都可对目的网络进行DoS（拒绝服务）带宽攻击。通过分析防范应对措施方面的异同得出实施ARP欺骗更容易达到带宽攻击的结论。

关键词　ARP欺骗　拒绝服务　ICMP攻击

拒绝服务（Denial of Service，DoS）攻击，指利用TCP/IP协议的缺陷攻击目标主机或网络，使之无法提供正常的服务或资源访问，其根本目的是使受害主机或网络无法及时接收并处理外界请求，或无法及时回应外界请求。DoS攻击主要分为网络的带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。连通性攻击指用大量的连接请求冲击计算机，使得可用的操作系统资源都被消耗殆尽，最终使计算机无法处理合法用户的请求。本文从带宽攻击方面给出了ARP欺骗和ICMP攻击的实施方法，由于路由器、防火墙等网络设备对接收到的ICMP数据包设置了严格的安全策略，而ARP欺骗又主要应用于安全性较差的局域网中，因此ARP欺骗在带宽攻击方面实施起来较ICMP攻击更容易些。

1　ARP欺骗

在实际网络的链路上传送数据帧时，是采用硬件地址来寻址，地址解析协议（Address Resolution Protocol，ARP）解决了从IP地址到硬件地址的映射问题。比如，源主机欲向本网内的主机发送数据包时，先在源主机的ARP高速缓存中查看有无目的主机的硬件地址，如存在，就将目的主机的硬件地址写入MAC帧并发送；如不存在，源主机自动在网内广播一个ARP请求报文来获得目的主机的硬件地址。网内的所有主机都收到此ARP请求，只有目的主机才会发回一个ARP响应报文，并写入自己的硬件地址。当源主机收到目的主机的ARP响应后，就在其ARP高速缓存中写入目的主机的IP地址到硬件地址的映射。

ARP协议的无连接、无认证特性，使得局域网中的任何主机可随意发送ARP请求包，也可以接收ARP应答包，并且无条件的根据应答包内的内容刷新本机的ARP缓存，因此ARP欺骗广泛应用于交换式以太网络中。

举一个简单的ARP欺骗的例子：攻击者为了达到恶意占用网络带宽的目的，会对局域网内的所有主机发送伪造的ARP应答报文，假冒网关的IP地址，但将应答报文中的MAC地址设为不存在的硬件地址，所有主机都会接收此报文，并错误地刷新ARP高速缓存中对应的网关IP地址与MAC地址的映射关系，导致所有的主机网络通信中断。这种攻击手段就属于带宽攻击，网络上流行的网络执法官等软件就是采用ARP欺骗机制，发送错误的网关MAC地址给目标主机，使其通讯中断。

2　ICMP攻击

ICMP（Internet Control and Message Protocol），经常被认为是IP层的一个组成部分，它负责传递差错报文以及控制信息，并且ICMP协议也具有无连接性，只要发送端完成了ICMP报文的封装，就可以传递给任意主机。ICMP最广泛的应用是Ping程序，采用的是声纳原理，发出一个带有ICMP_ECHO标志的ICMP包，它可以探测网络上某台主机的存在，并可以分析链路的畅通与网络速度、跟踪网络路由、了解网络拓扑。对目标网络实施带宽攻击的原理是高速发送大量的ICMP Echo Reply数据包，耗尽目标网络的带宽，并阻止合法的数据包通过网络。

3　分析研究

针对ICMP的Ping攻击，现阶段的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，包括：从Windows98之后的Windows NT、Linux、Solaris、和MAC OS都具有抵抗一般“死亡之Ping”攻击的能力。此外，合理配置防火墙的安全策略，比如防火墙应该强制执行一个缺省的拒绝策略。除了出站的ICMP Echo Request、ICMP Source Quench、进站的TTL Exceeded、进站的ICMP Destination Unreachable之外，其他ICMP消息类型都应该被阻止。

为了防范ARP欺骗，可以将主机与交换机双向的MAC地址绑定,或对数据进行加密处理，以及建立DHCP服务器等等，而且某些交换机每隔一段时间就会自动向全网播放ARP应答，这些措施都可以在一定程度上防范连通性攻击的ARP欺骗。

但是，若攻击者恶意针对网络带宽资源进行攻击，增强伪ARP应答报文的发送频率使得整个网络充斥着大量的无用信息，网络速度变慢，因此针对带宽攻击的防范仍是一个急待解决的问题。

4　结束语

随着人们对Internet的依赖性不断增加，DoS攻击的危害性也在不断加剧。不少安全专家都曾指出及早发现系统存在的攻击漏洞、及时安装系统补丁程序，以及不断提升网络安全策略，都是防范DoS攻击的有效办法。为了不断增强信息系统的安全防御能力，必须深刻理解系统内核及网络协议的实现，并熟知针对各种攻击手段的预防措施，只有这样才能尽最大可能保证网络的安全。

作者：杨杨房超刘辉来源：中国新通信（原《中国数据通信》3月）

ARP, DoS, icmp, 带宽