arp的攻击与防范.docVIP

摘要 近来，ARP攻击日益严重ARP攻击问题日渐突出。严重者甚至造成大面积网络不能正常访问外网，学校深受其害。 目前校园网内的计算机所感染的“ARP欺骗”系列病毒已经有了几十个变种。有仿冒网关攻击、 欺骗网关攻击、 “中间人”攻击、 ARP报文泛洪攻击、虚拟主机攻击、 ARP扫描攻击、ARP溢出攻击等。应对ARP攻击作出相应的防御工作，例如：配置ARP报文限速功能、配置认证模式的ARP攻击防御解决方案(CAMS下发网关配置功能)、配置IP静态绑定表项、ARP入侵检测功能，自定义ACL、配置DHCP Snooping、ARP入侵检测功能。ARP类的防护软件出的比较多了，大家使用比较常用的ARP工具主要是欣向ARP工具，Antiarp360安全卫士等。它们除了本身来检测出ARP攻击外，防护的工作原理是一定频率向网络广播正确的ARP信息。我们还是来简单说下这两个小工具。ARP攻击、ARP的欺骗、ARP检测、ARP的防范等 目录 第一章 ARP概述 1 §1.1 ARP协议概述 1 §1.1.1地址解析报文格式 1 §1.1.2 地址解析报文封装 2 §1.1.3 反向ARP 3 §1.1.4 代理ARP 4 §1.1.5 无故ARP 5 §1.2 ARP工作原理 6 §1.2.1 ARP协议工作原理 6 第二章 ARP攻击 9 §2.1 ARP攻击原理 9 §2.2 ARP攻击造成的现象 9 §2.2.1网关仿冒 9 §2.2..2欺骗网关 10 §2.2.3欺骗终端用户 11 §2.2.4 ARP泛洪攻击 12 §2.3 ARP攻击种类 13 §2.3.1 ARP泛洪攻击 13 §2.3.2 ARP溢出攻击 14 §2.3.3 ARP扫描攻击 15 §2.3.4虚拟主机攻击 15 §2.3.5 “中间人”攻击 15 第三章 ARP的欺骗 17 §3.1 基本的ARP欺骗 17 §3.2 ARP欺骗种类及对象 17 §3.2.1 ARP欺骗种类 17 §3.2.2 ARP欺骗对象 18 §3.2.3 ARP欺骗的危害 20 §3.3 ARP欺骗的方式 20 §3.3.1 同一网段的ARP欺骗 20 §3.3.2 不同网段的ARP欺骗 22 第四章 ARP的检测 23 §4.1 ARP攻击检测 23 §4.1.1 网络主机侧攻击检测 23 §4.1.2 网关设备侧攻击识别 23 §4.2 ARP检测工具 26 §4.2.1 使用防护软件 27 第五章 ARP防范 28 §5.1常用的防范方法 28 §5.1.1 DHCP Snooping功能 28 §5.1.2 ARP入侵检测功能 29 §5.1.3 静态绑定 30 §5.1.4 自定义ACL防范网关欺骗 32 §5.1.5 ARP报文限速功能 33 第一章 ARP概述 §1.1 ARP协议概述 ARP协议和ICMP协议是常用的TCP/IP底层协议。在对网络故障进行诊断的时候，它们也是最常用的协议。ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写，是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。 在局域网中，网络中实际传输的是“帧（frame）”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机或网关进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是通过ARP（地址解析协议）获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。 §1.1.1地址解析报文格式 ARP和RARP都是通过一对请求和应答报文来完成解析的。ARP和RARP请求应答报文格式是相同的，通过操作类型字段来区分，这个思想在TCP/IP协议的设计中被反复利用。 00 01 02 03 04 05 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 Bit 广播MAC地址（全1） 广播MAC地址（全1） 源MAC地址 源MAC地址 协议类型 硬件类型 协议类型 硬件地址长度 协议地址长度 操作类型 源MAC地址 源MAC地址 源IP地址 源IP地址 目标MAC地址（全0） 目标MAC地址（全0） 目标IP地址 图1.1地址解析报文格式 图1.1所示中黄色的部分是以太网（这里是Ethernet II类型）的帧头部