基于ARP协议的欺骗及其预防.pdfVIP

基于 ARP 协议的欺骗及其预防 傅军 孙谦 黄家林 中南大学网络中心 湖南省 长沙市(410083)  Email:fujun@，sun_qian@，hjl@  摘 要：本文针对目前校园网内 ARP 病毒的频繁发作，分析了 ARP 病毒的攻击原理，讨论了 ARP 欺骗行为的判定，提出了对 ARP 欺骗的解决方案。 关键词：ARP，ARP 病毒，攻击 1．引言 近来，校园网用户反映网络经常断线，网络链接速度变慢，甚至无法上网。我们通过  MRTG 流量分析和网络协议分析发现是一种 ARP 欺骗程序的攻击所至。运行了 ARP 欺骗 程序的计算机冒充网络网关，截取其他用户的通讯， 导致这些用户的计算机无法正常连接到 网关，严重地影响了用户的正常上网和信息安全。 2．ARP协议及欺骗原理  ARP 是地址解析协议 （Address Resolution Protocol）的缩写。在局域网中，网络中实际 传输的是“帧” ，帧里面需要主机网卡的 MAC 地址。一个主机要和另一个主机进行直接通 信，必须要知道目标主机的 MAC 地址。但如何获得这个目标主机的 MAC 地址呢?它就是通 过 ARP 协议获得的。 所谓 “地址解析” 就是主机在发送帧前将目标 IP 地址转换成目标 MAC  地址的过程。ARP 协议的基本功能就是通过目标设备的 IP 地址，查询 目标设备的 MAC 地 [1]  址，以保证通信的顺利进行  。 每台安装有 TCP/IP 协议的计算机主机里都有一个 ARP 缓存表， 表中的 IP 地址与 MAC  地址是一一对应的，如表 1 所示 表 1：ARP 缓存表 主机  IP 地址  MAC 地址 网关 A    0006.a642.0800 主机 B    0013.d3bd.a7b0 主机 C    0013.d322.a2bf 主机 D    0013.d3db.a162 我们以主机 B()向主机 C()发送数据为例 （图 1） 。 当发送数据时， 主机 B 会在自己的 ARP 缓存表中寻找是否有目标 IP 地址。如果找到了，也就知道了目标 C  的 MAC 地址，直接把 目标 MAC 地址写入帧里面发送就可以了;如果在 ARP 缓存表中没有 找到相对应 的  IP  地址 ，主机  B  就会在 网络上发送一个广播 ， 目标  MAC  地址是 “FF.FF.FF.FF.FF.FF”的广播包，向同一网段内的所有主机发出这样的询问： “  的 MAC 地址是什么?”网络上其他主机并不响应 ARP 询问，只有主机 C 接收到这个帧时， 才向主机 B 做出这样的回应： “ 的 MAC 地址是0013.d322.a2bf” 。这样，主机 B  就知道了主机 C 的 MAC 地址， 它就可以向主机 C 发送信息了。 同时它还更新了自己的 ARP  缓存表，下次再向主机 C 发送信息时，直接从 ARP 缓存表里查找就可以了。ARP 缓存表采 ­ 1 ­  用了老化机制，如果表中的某一行记录在约定的时间内没有使用，就会被删除，这样可以减 [2]  少 ARP 缓存表的长度，加快查询速度  。 在局域网中，是通过 ARP 协议来完成第三层网络 IP 地址到第二层物理地址(即 MAC  地址)  转换的，从 MAC 地址到 IP 地址的转换则是通过 RARP 协议进行的。ARP 协议对网 络安全具有重