Arp攻击与防方案.doc

Arp攻击与防范方案 第一部分 Arp基础知识介绍 ARP协议分析 ARP（AddressResolutionProtocol）地址解析协议用于将计算机的网络地址（IP地址32位）转化为物理地址（MAC地址48位）[RFC826]。 ARP协议是属于链路层的协议，在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址（硬件地址）来确定接口的，而不是根据32位的IP地址。内核（如驱动）必须知道目的端的硬件地址才能发送数据。当然，点对点的连接是不需要ARP协议的。 ARP协议的数据结构： typedefstructarphdr { unsignedshortarp_hrd;/*硬件类型*/ unsignedshortarp_pro;/*协议类型*/ unsignedchararp_hln;/*硬件地址长度*/ unsignedchararp_pln;/*协议地址长度*/ unsignedshortarp_op;/*ARP操作类型*/ unsignedchararp_sha[6];/*发送者的硬件地址*/ unsignedlongarp_spa;/*发送者的协议地址*/ unsignedchararp_tha[6];/*目标的硬件地址*/ unsignedlongarp_tpa;/*目标的协议地址*/ }ARPHDR,*PARPHDR; 为了解释ARP协议的作用，就必须理解数据在网络上的传输过程。这里举一个简单的PING例子。 假设我们的计算机IP地址是，要执行这个命令：ping。该命令会通过ICMP协议发送ICMP数据包。该过程需要经过下面的步骤： 1、应用程序构造数据包，该示例是产生ICMP包，被提交给内核（网络驱动程序）； 2、内核检查是否能够转化该IP地址为MAC地址，也就是在本地的ARP缓存中查看IP-MAC对应表； 3、如果存在该IP-MAC对应关系，那么跳到步骤9；如果不存在该IP-MAC对应关系，那么接续下面的步骤； 4、内核进行ARP广播，目的地的MAC地址是FF-FF-FF-FF-FF-FF，ARP命令类型为REQUEST（1），其中包含有自己的MAC地址； 5、当主机接收到该ARP请求后，就发送一个ARP的REPLY（2）命令，其中包含自己的MAC地址； 6、本地获得主机的IP-MAC地址对应关系，并保存到ARP缓存中； 7、内核将把IP转化为MAC地址，然后封装在以太网头结构中，再把数据发送出去； 使用arp-a命令就可以查看本地的ARP缓存内容，所以，执行一个本地的PING命令后，ARP缓存就会存在一个目的IP的记录了。当然，如果你的数据包是发送到不同网段的目的地，那么就一定存在一条网关的IP-MAC地址对应的记录。 知道了ARP协议的作用，就能够很清楚地知道，数据包的向外传输很依靠ARP协议，当然，也就是依赖ARP缓存。要知道，ARP协议的所有操作都是内核自动完成的，同其他的应用程序没有任何关系。同时需要注意的是，ARP协议只使用于本网络。 ARP协议的利用和相关原理介绍。 一、交换网络的嗅探 ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，在上面的假设网络中，B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存，将本地的IP-MAC对应表更换为接收到的数据格式，由于这一切都是A的系统内核自动完成的，A可不知道被伪造了。 ARP欺骗的主要用途就是进行在交换网络中的嗅探。有关交换网络的嗅探不是本文的讨论内容。 二、IP地址冲突 我们知道，如果网络中存在相同IP地址的主机的时候，就会报告出IP地址冲突的警告。这是怎么产生的呢？ 比如某主机B规定IP地址为，如果它处于开机状态，那么其他机器A更 改IP地址为就会造成IP地址冲突。其原理就是：主机A在连接网络（或更改IP地址）的时候就会向网络发送ARP包广播自己的IP地址，也就是freearp。如果网络中存在相同IP地址的主机B，那么B就会通过ARP来reply该地址，当A接收到这个reply后，A就会跳出IP地址冲突的警告，当然B也会有警告。 因此用ARP欺骗可以来伪造这个ARPreply，从而使目标一直遭受IP地址冲突警告的困扰。 三、阻止目标的数据包通过网关 比如在一个局域网内通过网关上网，那么连接外部的计算机上的ARP缓存中就