大型局域网ARP攻击与防护.pdfVIP

大型局域网 ARP 攻击与防护 ARP attacks and large-scale LAN protection (中国矿业大学)金业兵, 夏阳 JIN YEBING, XIA YANG 摘要：本文针对目前大型局域网 ARP 欺骗的严峻形势，分析现有的防治方法，提出了一个优 化的解决方案。 关键字：大型局域网、ARP 、IP、MAC； 中图分类号：TP393 文献标识码：A Abstract: With analysis of existing control methods of large-scale LAN ARP cheat ，a reasonable and effective solution method are presented in this paper . Keywords: large-scale LAN, ARP, IP, MAC 1、引言 大型局域网内出现了频繁断网，网页劫持使 web 服务访问变得很慢,引起这种现象的主 要原因是局域网中存在 ARP 攻击。传统的应对策略主要是 ARP echo 、 ARP 绑定、使用 ARP 防护软件。但是随着病毒不断的变种，其表现方式也在不断的进化，变得更加隐蔽，更加难 以觉察。最新的病毒居然绕过防火墙在没有任何迹象的情况下窃取用户的机密信息，传统的 应对策略就显得力不从心，这就迫切需要一种新的解决方法。 大型局域网由于其计算机数量庞大，使得局域网内极易产生广播风暴；物理分布的不均 匀，终端机群有的数量大，有的终端只有几台甚至只有一台微机，有的终端机群距离中心机 房数千米甚至几十千米，这就各局域网布线复杂性和施工维护难度大大增加，而且有的企业 终端微机的流动性较大，物理布线往往比较困难，有时要租用无线网络连接，在普通民用无 线网络不能覆盖的区域甚至要租用卫星通道进行网络互联。基于大型局域网的特殊性，我们 提出了一个优化的解决方案。使用三层交换机构建物理网络，结合使用虚拟局域网使得广播 风暴的影响局限在一个很小范围内；合理利用交换机的端口绑定功能，单向绑定和双向绑定 相结合，有效抑制 ARP攻击源的局域网的影响；有效利用交换机端口映像功能进行监听，及 时、准确定位欺骗源。 2、地址解析协议（ARP）概述 2.1 ARP 工作原理 地址解析协议（Address Resolution Protocol，ARP）[1]是在仅知道主机的 IP 地址时 确定其物理地址的一种协议。因 IPv4 和以太网的广泛应用，其主要用作将 IP 地址翻译为以 太网的 MAC 地址，但其也能在 ATM 和 FDDI IP 网络中使用。从 IP 地址到物理地址的映射有 两种方式：表格方式和非表格方式。ARP 具体说来就是将网络层（IP 层，也就是相当于 OSI 的第三层）地址解析为数据连接层（MAC 层，也就是相当于 OSI 的第二层）的 MAC 地址。假 设计算机 A 的 IP 为 192.168.0.1,MAC 地址为 00-11-22-33-44-01;计算机 B 的 IP 为 192.168.0.2,MAC 地址为 00-11-22-33-44-02。在 TCP/IP 协议中,A 给 B 发送 IP 包,在包头 中需要填写B的IP为目标地址,但这个IP包在以太网上传输的时候,还需要进行一次以太包 的封装,在这个以太包中,目标地址就是 B 的MAC地址。计算机A 是如何得知 B 的MAC地址的 呢？解决问题的关键就在于 ARP 协议。在 A 不知道 B 的MAC地址的情况下,A 就广播一个 ARP 请求包,请求包中填有 B 的 IP(192.168.0.2),以太网中的所有计算机都会接收这个请求,而 正常的情况下只有 B 会给出 ARP 应答包,包中就填充上了 B 的 MAC 地址,并回复给 A。A 得到 ARP 应答后,将 B 的MAC地址放入本机缓存,便于下次使用。 本机 MAC 缓存是有生存期的,生 存期结束后,将再次重复上面的过程。 2.2 ARP 协议的缺陷 ARP 协议是建立在信任局域网内所有结点的基础上的，它高效，但不安全。它是无状态 的协议，不会检查自己是否发过请求包，也不管（其实也不知道）是否是合法的应答，只要 收到目标 MAC 是自己的 ARP reply 包或 AR