水文信息网络中ARP攻击及防御.docVIP

水文信息网络中ARP攻击及防御 摘 要： 本文针对水文信息网中高发的ARP地址欺骗和攻击方式进行分析。介绍ARP工作原理及欺骗、攻击方式，从计算机IP地址与MAC地址绑定及网关防护等方面，提出如何防御水文信息网中ARP攻击的解决思路和方法，保障水文信息网络的信息高效、安全地运行。 关键词： ARP病毒；ARP攻击与防御；水文信息网；IP-MAC地址绑定 中图分类号：S27 文献标识码：C DOI：10.11974/nyyjs.座机电话号码065 前 言 感染ARP病毒的计算机向信息网内发送大量的ARP病毒包和错误的网络地址信息，对网内的计算机进行地址欺骗及阻塞网络通信，引导信息网内的计算机连接到窃取信息的服务器上，从而窃取网络内计算机中重要数据（用户名、密码、私密信息等）。ARP病毒具有一定的隐秘性和欺骗性，所以给信息网内的计算机带来极大的安全隐患。如何才能有效地防御水文信息网中ARP病毒对网络的攻击，确保水文信息网络安全、畅通成为了首要任务。 1 ARP与PARP的工作原理 ARP地址解析协议，实现计算机IP地址与物理地址的转换。RARP反向地址转换协议，实现计算机物理地址与IP地址的转换。在网络中，源计算机与目的计算机会在各自的ARP地址缓冲区中创建一个ARP地址对应列表，用以表示IP地址和MAC地址的对应关系。当源计算机需要将一个数据包发送到目的计算机时，先检查自己的ARP地址列表中是否存在与该IP地址对应的MAC地址，有则直接将数据包发送到这个MAC地址上；如果没有则向本网段发起一个ARP请求的广播包（包括源计算机的IP地址、硬件地址及目的计算机地址），查询此目的计算机对应的MAC地址。当网络中其他计算机收到这个ARP请求后，会检查此数据包中的目的地址是否与自己的IP地址一致。如不同就放弃此数据包；如相同该计算机首先将发送端的MAC地址和IP地址添加到自己的ARP地址对应列表中，如果ARP地址对应列表中已经存在该IP地址信息，则将其覆盖，然后回发一个ARP回应数据包，表明自己与其查找的MAC地址相同。源计算机收到这个ARP地址响应数据包后，将得到的目的计算机IP地址和MAC地址添加到源计算机的ARP地址列表中，并建立通讯链接。 2 攻击方式 2.1 假冒网关攻击 如果攻击源计算机假冒网关地址，对其已经掌握的局域网内计算机信息，发送具有针对性的攻击ARP病毒报文包，使网络中的计算机无法与其他网络计算机建立联系，甚至会导致整个局域网通信的中断，这种攻击的影响是比较严重的。如图1所示，因计算机A假冒网关向计算机B发送了虚假的网关ARP地址报文包，导致计算机B的ARP地址表中，记录了错误的网关地址对应关系，造成正常的数据不能被网关转发而无法通讯，甚至引导被攻击的计算机和攻击源计算机相连接，从而达到窃取重要的、隐秘的信息与数据，对数据的安全及网络通讯造成极大危害。 2.2 假冒用户攻击 计算机A假冒计算机B向网关发送伪造的ARP报文，导致网关的ARP表记录错误的计算机B地址映射关系，使正常的数据报文不能被计算机B接受。如图2所示。 2.3 DoS拒绝服务攻击 例如攻击的计算机，将目标计算机 ARP缓存中的MAC 地址，全部篡改成一些不存在的MAC地址，造成目标计算机向外发送的所有数据包全部丢失，使得上层应用忙于处理这种异常而无法响应外来请求，导致目标计算机产生拒绝服务。 2.4 虚拟计算机攻击 实施攻击的虚拟计算机通过在链路层捕获所有流经的 ARP请求数据包进行分析，当对虚拟计算机的 ARP 有请求，其就会发送对应虚拟物理地址的 ARP与之响应，同时虚拟计算机本身也会发送ARP 请求。此种攻击的危害是占用局域网内的 IP 地址资源，使正常运行的计算机无法正常获得IP 地址以及发生 IP地址冲突，消耗网络资源，堵塞计算机在网络中正常传输数据。 3 ARP欺骗及攻击的防范措施 3.1 在路由器端进行MAC-IP地址绑定 路由器进行MAC-IP地址绑定，有效地防范ARP冒用网关攻击。如图3所示。 通过路由器端绑定MAC-IP地址，首先要对上网的计算机分配固定和唯一的IP地址，这样既解决了IP地址不被滥用问题，又可以在发现有ARP病毒攻击时，方便快速的查找到受感染的计算机，有效的阻止对路由的攻击。还可以利用路由器自带的安全防护来加强防御。如图4所示。 在此项设置中启动ARP欺骗防御，设置ARP包的发送频率，在局域网内广播正确的网关IP地址，对仿冒网关地址欺骗有一定辅助作用。在路由器中设置ARP信任机制来预防ARP攻击。如图5所示。 同时也可对单机进行IP-MAC地址绑定，也可以有效防止ARP病毒对单机的攻击。 3.2 安装ARP病毒查杀软件 安装新型杀毒软件，且实时对杀毒软件引擎及病毒库进行更新，也是对ARP及其他病毒有效防范的一种措施