ARP 欺骗在局域网中的分析及全面防御_计算机网络论文.docVIP

ARP 欺骗在局域网中的分析及全面防御_计算机网络论文 ARP 欺骗在局域网中的分析及全面防御_计算机网络论文 【摘要】本文将对近期校园局域网种频繁发生的ARP欺骗基本原理进行介绍，并且通过网关 等实际生活中的例子加以解释，同时介绍几种常见的ARP欺骗和攻击方式，并且从客户端、 网关等多个方面提出关于如何防御ARP攻击的多种方法，以达到全面防御维护局域网络安全 的目的。 关键词：地址解析协议，介质访问控制，网络安全 Abstract In this paper , a fraudulent action which was called ARP Cheating happens frequently in the LAN of campus . The basis on the elements will be introduced and explained through the example of gateway and so on . At the same time, a few familiar manners of ARP cheating will be introduced . Finally , it will bring forward some methods in different angle by which we will built a more secure environment of the LAN. Keywords：Address Resolution Protocol，MAC Address，ARP Cheating，security of network 1. 引言 ARP欺骗是一种利用计算机病毒是计算机网络无法正常运行的计算机攻击手段。 近期，一种叫“ARP 欺骗”的木马病毒在校园网中扩散，严重影响了校园网的正常运行。 感染此木马的计算机试图通过“ARP 欺骗”手段截获所在网络内其它计算机的通信信息，并 因此造成网内其它计算机的通信故障。ARP欺骗木马的中毒现象表现为：使用校园网时会突 然掉线，过一段时间后又会恢复正常。比如出现用户频繁断网，IE浏览器频繁出错等现象。 如果校园网需要通过身份认证的，会突然出现认证信息（无法ping通网关）。重启机器或在 MS-DOS窗口下运行命令arp -d后，又可恢复上网。这种木马危害也很大。各大学校园网、 公司网和网吧等局域网都出现了不同程度的灾情。ARP欺骗木马只需成功感染一台电脑，就 可能导致整个局域网无法上网，严重的可能带来整个网络的瘫痪。此外，此木马还会窃取用 户密码，如盗取QQ密码、网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法 交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。 2. ARP与MAC ARP（Address Resolution Protocol）[1]是地址解析协议的简称，是一种将 IP 地址转化为 物理地址的协议。在 OSI 网络参考模型的第二层（数据链路层）中，存在着两个子层：介 质访问控制（MAC）和逻辑链路控制（LLC）。由 MAC 子层提供的最广为认知的服务或许 就是它的地址了，就像以太网的地址一样。在以太网中，数据传输的目的地址和源地址的正 式名称是 MAC 地址。此地址大多数情况下是独一无二的固化到硬件设备上的，而 IP 地址 所要转化的物理地址就是 MAC 地址。[2] 在网络数据传输中实际传输的是“帧”(Frame)，它以比特流的方式通过传输介质传输出 去，其中帧里面就包含有所要传送的主机的 MAC 地址。在以太网中一台主机要同另一台主 机进行通信就必须要知道对方的 MAC 地址（就如同我们要给对方邮信一定要知道对方的地 址一样）。但是我们如何知道这个 MAC 地址呢？这时就用到了地址解析协议，所谓“地址 解析”就是主机在发送帧前将目标 IP 地址转换成目标 MAC 地址的过程。ARP 协议的基本功 能就是通过目标设备的 IP 地址，查询目标设备的 MAC 地址，以保证通信的顺利进行。 每台安装有 TCP/IP 协议的计算机主机里都有一个 ARP 缓存表，表中的 IP 地址与 MAC 地址是一一对应的，如表 1 所示： 表 1 地址解析协议缓存地址表值得注意的一点是：ARP 缓存表采用了一种老化机制，在一定的时间内如果某一条记 录没有被使用过就会被删除。这样可以大大减少 ARP 缓存表的长度，加快查询速度。 首先根据上表用两个主机通过一个网关进行通信的例子说明一下：假设当主机 A （）向主机 B（）发送数据时，主机 A 首先会在自己的 ARP 缓存 表中查找是否存在“IP = ”的记录。若找到就会根据 ARP 缓存表中 IP#61638