公共图书馆ARP欺骗分析与防范.docVIP

公共图书馆ARP欺骗分析与防范 　　摘要：“快捷、高效、海量信息、交互式服务”的网络给图书馆的发展提供了良好的契机。本文介绍了ARP协议，对利用ARP协议漏洞进行网络攻击的常见方式作了分析，从ARP原理出发，根据ARP病毒攻击原理， 结合公共图书馆电子阅览室管理实践，分析了常见的ARP地址欺骗攻击的表现形式、主要危害，提出了实际可操作的、比较完善的解决方案。 　　关键词：局域网 MAC地址 ARP地址欺骗 　　中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2015）04-0173-02 　　随着网络的快速普及和数字资源的海量增长，信息网络传播已成为图书馆信息服务的主流模式，一般的公共图书馆都是由几个局域网组成，例如：电子阅览室、互联网体验区、办公用网及一些专网组成。“快捷、高效、海量信息、交互式服务”的网络给图书馆的发展提供了良好的契机，但是网络安全问题却成了图书馆网络化发展的绊脚石。现就我馆最近发生的ARP攻击问题提出个人见解和防范措施。 　　1 局域网ARP攻击的原理 　　1.1 ARP协议运行原理 　　ARP地址解析协议是一个基于链路层的网络协议，负责将某个IP地址解析成对应的MAC地址。协议运行在OSI模型的第二层，在该层和硬件设备接口间进行数据交换，由于处在第二层的以太网交换设备并不能有效识别局域网内的IP地址，因此IP地址与局域网终端设备的MAC地址之间就必须存在一条可以进行数据交换的“通道”，ARP协议就是用来维持这个“通道”畅通的物质。ARP协议进行数据交换时，它首先请求主机发送出一条含有本机希望访问的终端设备的IP地址数据条目，而后根据终端设备回复的一条含有IP和MAC地址相对应的数据包来回复局域网主机，这样局域网内的主机就获得了需要数据交换设备的IP地址对应的MAC地址，与此同时局域网内的主机将这个IP―MAC地址相对应的数据放入自己的ARP表缓存起来，以节约ARP通信信道占用率，提高数据交换效率。局域网内主机都拥有一个ARP缓存池，这个缓存池存放了自主机启动以来所有的本局域网内终端设备的IP地址与MAC地址之间的映射记录。主机每隔一定的时间或者当收到终端设备ARP应答，都会用最新采集到的IP―MAC地址对应信息来对ARP缓存池进行数据更新。ARP协议就是通过目标设备的IP地址，查询该设备的MAC地址，以保证局域网内设备间的数据通信的畅通。ARP地址欺骗就是通过伪造IP地址和MAC地址之间的对应关系，制作虚假的数据信息并在局域网内产生大量的ARP通信量，占用大量网络资源，造成网络阻塞，从而影响网络的安全。 　　1.2 ARP协议自身存在的弊端 　　ARP协议是一个高效的数据链路层协议，作为一个局域网协议它自身也存在着弊端，由于协议的基础是建立在各主机之间的相互信任，且其本身不具备认证功能，换句话说就是本局域网内终端设备的IP地址与MAC地址之间的映射记录必须是真实有效的， 然而ARP缓存池所接收到的ARP协议包是不定期进行数据更新的，局域网内任意一台主机即使在没有ARP请求下也可以做出应答，只要接收到的协议包是完整有效的，局域网内的主机就会根据最新采集到的IP―MAC地址对应信息来对ARP缓存池进行存储数据更新。这一过程中主机并不检验这条协议包的真实性。这样局域网内的攻击者就可以随时上传虚假的地址映射信息来进行网络攻击了。 　　1.3 ARP协议攻击方式 　　常见的局域网ARP攻击方式有两种：断网服务和ARP地址欺骗。 　　1.3.1 断网服务 　　断网服务攻击是通过外部网络向局域网内路由主机提供大量的虚假ARP协议数据包，这些虚假的ARP协议数据包所含的IP―MAC地址对应信息来都是错误的，从而导致通信失败，并大量占用网络带宽资源，使得整个图书馆局域网性能显著下降或网络瘫痪， 　　1.3.2 ARP地址欺骗 　　ARP地址欺骗技术在现如今的以太网中，并没有对报文信息进行真实性校验，ARP协议包数据也不例外，图书馆内的主服务器也无法识别出伪造的ARP协议数据包，当不段的有新的IP―MAC地址对应信息来对ARP缓存池进行存储数据更新的时候，局域网主机就处于被动接收协议状态，不会主动地发出ARP地址协议的请求。ARP地址欺骗的核心就是修改每个局域网系统ARP缓冲池中缓存的MAC地址与IP地址映射表数据。最终ARP地址欺骗攻击的重要手段就是是发送错误的ARP广播数据消息给局域网主机或者路由器，这些错误的ARP协议信息诱骗本地局域网或路由器转发到不正确的交换端口，这样就造成了局域网的故障，其中大部分的木马或病毒使用ARP地址欺骗攻击也是为了达到这个目的，这种现象主要发生在图书馆局域网中的电子阅览室和办公网络内，我们需要严加防范。 　　2 ARP攻击现象