《网络安全技术》课程期末考核论文局域网ARP攻击及防范.docVIP

《网络安全技术》课程期末考核（论文） 题目名称：局域网ARP攻击及防范 院系名称：计算机学院 班 级：网络122班 学 号：201200824206 学生姓名：王莹 授课教师：倪亮 2014 年 12月摘要 摘要：?ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接。目前，ARP欺骗是黑客常用的攻击手段之一，且ARP欺骗攻击的后果一般都是比较非常严重的，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器被认为是“罪魁祸首”，而事实并非如此。鉴于此，本文将论述ARP地址解析协议的含义和工作原理，分析了ARP协议所存在的安全漏洞，分析网段内和跨网段ARP欺骗的实现过程。最后，结合网络管理的实际工作，介绍IP地址和MAC地址绑定、交换机端口和MAC地址绑定、VLAN隔离等技术等几种能够有效防御ARP欺骗攻击的安全防范策略。最后通过使用文中介绍安全防范策略成功阻止P2P终结者、Arpkiller等ARP攻击软件的攻击验证了该安全策略的有效性。? 关键词：?ARP协议??IP地址??局域网??MAC地址??网络安全 目 录 图1 网段内ARP工作原理 图2 跨网段ARP工作原理 我们还是来通过实验更加深入直观地了解ARP协议的工作原理吧。我们假设有两台主机：A机的IP地址是，MAC地址是52-54-ab-27-82-83?。B机的IP地址是，MAC地址是52-54-ab-27-82-84?。当主机A想与主机B进行通讯时，A机只知道B机的IP地址是,当数据包封装到MAC层时他如何知道B的MAC地址呢，一般的OS中是这样做的，在OS的内核中保存一分MAC地址表，就是我们一中介始到的。用arp?-a就可以看见这个表的内容了，例如：?? C:/arp?-a?? Interface:?192.168.0.X?on?Interface?0x1000002?? Internet?Address?? ?Physical?Address?????Type?????? 52-54-ab-27-82-83?????dynamic??其中表内有IP和MAC地址的对应关系，当要过进行通讯时，系统先查看这个表中是否有相关的表项，如果有就直接使用，如果没有系统就会发出一个ARP请求包,这个包的目的地址为ff-ff-ff-ff-ff-ff的广播地址，他的作用就是询问局域网内IP地址为的主机的MAC地址，就像是A在局域网中发信息找一个IP地址为的主机MAC地址，同样A机把自已的MAC地址告诉出去是52-54-ab-27-82-83?，随后所有主机都会接收到这个包，但只有IP为的B才会响应一个ARP应答包给主机A,?B机会回信息给A机说他的MAC地址是52-54-ab-27-82-84,好这下主机A就知道B的MAC地址了，于时他就可以封包发送了，同时主机A将B的MAC地址放入ARP缓冲中，隔一定时间就将其删除，确保不断更新。?? 注意，在这个过程中，如果主机A在发送ARP请求时，假如该局域网内有一台主机C的IP和A相同，C就会得知有一台主机的IP地址同自已的IP地址相同，于时就蹦出一个IP冲突的对话筐。与ARP相对应的还有一个协议RARP（Reverse?Address?Resolution?Protocol），反向地址解析协议，该协议主要用于工作站模型动态获取IP的过程中，作用是由MAC地址向服务器取回IP地址。 第三章 ?分析ARP协议存在的安全漏洞 一、分析ARP协议存在的安全漏洞? ARP协议是建立在信任局域网内所有结点的基础上的，它很高效，但却不安全。它的主要漏洞有以下三点: (1)主机地址映射表是基于高速缓存、动态更新的，ARP将保存在高速缓存中的每一个映射地址项目都设置了生存时间，它只保存最近的地址对应关系。这样恶意的用户如果在下次交换前修改了被欺骗机器上的地址缓存，就可以进行假冒或拒绝服务攻击。 (2)由于ARP是无状态的协议，即使没有发送ARP请求报文，主机也可以接收ARP应答，只要接受到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机的高速缓存。这就为ARP欺骗提供了可能，恶意节点可以发布虚假的ARP报文从而影响网内结点的通信，甚至可以做“中间人”。 (3)任何ARP应答都是合法的，ARP应答无须认证，只要是区域内的ARP应答分组，不