高职校园网中ARP欺骗原理及防御对策探讨.docVIP

高职校园网中ARP欺骗原理及防御对策探讨 　　摘要：在目前的高职校园网中，对网络安全威胁最大的就是ARP欺骗。ARP欺骗不但会威胁用户的信息安全，还会导致网络出现故障，网速缓慢或者根本无法上网。笔者根据多年的经验，在本文中介绍了ARP协议的概念、工作原理、ARP协议存在的设计缺陷以及感染ARP病毒的症状，然后介绍了常见的ARP欺骗形式，最后介绍了防御ARP欺骗的对策。 　　关键词：高职校园网；ARP欺骗；防御对策 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）13-3012-02 　　随着信息化水平的不断提高和计算机技术的普及，很多高职都加大了对校园网的建设力度，校园内的网络越来越普及。人们在感受到网络带来的快捷和方便之外，也感受到了网络带来的危害，比如说网络安全问题。ARP攻击是校园局域网中最为常见的一种攻击方式，很多学校的校园网都深受其害，有些还造成了大面积的计算机网络中断，给学校都正常教学和工作带来了极为不利的影响。 　　校园网内的计算机实验室饱受ARP攻击最为严重的场所之一，主要原因为实验室中计算机数量多而且集中，而且由于用户的I知识水平参差不齐，容易收到ARP病毒的攻击。ARP病毒攻击给校园网络管理人员带来了巨大的工作量，而且也严重影响了学校正常的工作和教学秩序。要减小或者消除ARP欺骗的攻击，我们必须对ARP有个全面而准确的了解。 　　1 ARP简介及ARP病毒攻击原理 　　1.1 ARP协议概念 　　ARP是Address Resolution Protocol的简称，即地址解析协议。ARP协议的作用是将计算机的网络地址转化为物理地址，即将IP地址转化为MAC地址。使用ARP协议，通过目标计算机的IP地址查询到目标计算机的MAC地址，从而达到与目标计算机通信的目的。在网络中，只有知道目标设备的物理地址，才能实现通信，因此，在学校的局域网中，所有的IP通讯最终都要转化为物理地址的通信，而这些就是ARP协议所要实现的功能。IP地址与物理地址的映射方式有两种，表格方式和非表格方式。 　　1.2 ARP协议的工作原理 　　每一个安装了TCP/IP协议的计算机都有一个ARP高速缓存，里面放着一个IP地址-MAC地址的映射表，映射表中包含目前计算机所知道的的局域网中各个主机和路由器的IP地址与MAC地址的对应关系。 　　下面我们以实例来对说明ARP协议的工作原理。假设有一台主机A，其IP地址是192.168.0.112，MAC地址为00-36-ac-78-24-cb，有一台主机B，其IP地址是192.168.0.36，MAC地址是00-ca-65-40-cb-78。 　　当主机A想要向主机B发送数据包的时候，主机A会去查询自己的ARP高速缓存表，看自己的ARP高速缓存表中是否有主机B的映射信息，即主机B的IP地址和MAC地址的对应关系。如果主机A的ARP高速缓存表中有主机B的映射信息，那么找出主机B的MAC地址，然后根据主机B的MAC地址向主机B发送数据包。如果主机A的高速缓存表中没有主机B的映射信息，那么主机A会向网络中的所有主机都发送一个ARP请求的广播数据包，这个数据包是向所有主机询问“192.168.0.36”的主机的MAC地址。别的主机在接收到这个广播数据包之后，不会回应这个广播数据包，只有主机B接收到这个广播数据包之后，会以ARP应答包的方式回应主机A，即告诉主机A，本机的IP地址就是“192.168.0.36”，本机的MAC地址是“00-ca-65-40-cb-78”。主机B发出的数据会发送给主机A，主机A在接收到主机B的MAC地址之后会根据这个MAC地址向主机B发送数据包。同时，主机A还会把主机B的IP地址与MAC地址对应关系写入高速缓存表中，这样，当主机A下次还要向主机B发送数据包的时候就可以直接在ARP高速缓存表中找到主机B的MAC地址。 　　ARP高速缓存表采用了老化机制，即ARP表中的IP地址与MAC地址的对应关系只会存在一定的时间，超过这个设置的时间之后，如果缓存表中有一行没有使用的话就会被删除，从而加快查询的速度。 　　1.3 ARP协议的设计缺陷 　　ARP协议在设计之初就没有考虑过安全性，在设计ARP协议时，是认为局域网的所有节点都是可以信任的，网络是绝对安全的，因此，不会去检查是否发送过广播数据包，也不会去检查受到的应答是否合法。因此，ARP协议是存在着设计缺陷的，主要表现如下： 　　1）主机的ARP高速缓存表是依据接收到的ARP应答包来进行动态更新的。主机的高速缓存表会在一个设置时间后进行刷新，很多攻击者就是利用更新数据之前的时间段来修改被攻击机器上的地址缓存，从而来进行拒绝服务或者假冒的攻击的。 　　2）AR