浅析ARP攻击及防范.docVIP

浅析ARP攻击及防范 　　[摘 要]局域网遭遇ARP攻击，轻则通信缓慢，重则网络瘫痪，甚至机密信息泄漏。在越来越重视网络安全的今天，认识防范ARP攻击会使网络畅通安全。本文从ARP协议入手介绍ARP攻击、后果、ARP攻击判断，并做出相应防范。 　　[关键词]ARP攻击；防范技术；网络安全 　　中图分类号：S68 文献标识码：A 文章编号：1009-914X（2016）08-0284-01 　　一、ARP协议 　　ARP全称AddressResolutionProtocol。基于TCP/IP协议的局域网，假设使用了IPV4协议，网络连接时要通过48位MAC地址来确定目的接口，而非IP数据报中的32位目的IP地址。主要原因是设备的MAC地址唯一。那如何解决32位目的IP地址到48位MAC地址的变换呢这就要依靠地址解析协议ARP了。ARP协议功能就是为IP地址到对应MAC地址之间提供动态映射。该实现过程可简单描述为局域网内某主机先以广播方式发送ARP请求报文，等待目的主机收到此报文，会以单播方式发送ARP应答，发起请求的主机收到应答后确定目的MAC地址，两台主机通信。 　　二、ARP攻击及后果 　　局域网中攻击者通过伪造IP地址实现ARP攻击，过程中产生大量ARP通信量使网络阻塞，甚至秘密泄露，严重威胁网络安全。ARP攻击过程可简单描述如下： 　　第一种情况，假设局域网中有三台主机，要与交互通信。先以广播方式发出ARP请求，收到后将IP地址伪装成的IP地址，MAC地址为的真实MAC地址，将此虚假报文发给，会把误认为，将要给的报文发到上。作为攻击者不会就此满足，他会持续不断给发虚假报文，造成的ARP高速缓存表存储错误IP-MAC对应条目，同时还会将IP地址伪装成的IP地址，MAC地址为的真实MAC地址，将此虚假报文发给，会将误认为，将本应给的报文发到上。同样，的ARP高速缓存表中IP-MAC对应条目也是错误的。如此，通信断开，和通信过程中，便截获了双方的私密信息。 　　第二种情况，假设局域网中有三台主机，均未发送ARP请求，作为攻击者，要窃取的信息，他将IP地址伪装成的IP地址，MAC地址为的真实MAC地址，持续向外发送ARP请求广播，通信后，会不断处理的虚假报文，不断丢弃请求报文，无法通信。 　　由以上两种情况可知，局域网中一台主机发动ARP攻击，都会造成网络中断、泄密的严重后果。若局域网中服务器受到ARP攻击，服务器就会无暇提供服务，使网络崩溃。重启服务器或交换机以后，问题解决，但是过一段时间又会出现同样的问题。遭受攻击时泄露的私密信息也会严重影响到受害者的权益。 　　三、 如何判断ARP攻击源 　　当遭受到ARP攻击时，受害主机的ARP高速缓存表会记录错误的IP-MAC对应条目信息， 使用“arp -a”命令可以查到 IP-MAC对应条目，将此结果与网络正常时的缓存表比对，若相同的IP地址对应的MAC地址不相同，那就表示遭受了ARP攻击，而且与网络正常时IP-MAC对应条目信息不一样的MAC地址就是ARP攻击者的MAC地址了。设备的MAC地址唯一，通过MAC地址可以准确找到攻击源头。 　　另外，发动ARP攻击的主机网卡一般会处于混杂模式。网卡的混杂模式是指一台机器能够接收所有经过他的数据流，而不论目的地址是否是他。可用ARPkiller此类扫描工具对局域网中主机进行扫描，查看哪台主机的网卡是混杂模式来判断“真凶”。 　　四、ARP攻击防范 　　第一种方法，绑定IP地址和MAC地址。 　　在用户本人的计算机上，以网关为例，利用“arp -s”命令，对IP地址和MAC地址进行绑定，将其做成批处理文件，计算机启动时都会执行该文件，如此ARP高速缓存表中绑定的IP-MAC对应条目不再受到ARP攻击时的影响，主机在与网关通信交互时，主机先查询本机ARP高速缓存表中对应的IP-MAC条目，然后对正确的MAC地址进行发报。 　　该方法比较适用于个人计算机操作，但在大型局域网中慎用，不仅是因为大型网络中需要绑定的IP-MAC对应条目复杂且绑定操作繁琐，更是运行中太多的绑定条目会影响执行速度，降低效率。 　　第二种方法，利用“arp ?Cd”清除命令。“arp -d”命令的作用是清除本机ARP高速缓存中所有IP和MAC地址的对应条目。利用清除命令可编写批处理文件，例如： 　　：c 　　Arp -d 　　Ping 1.1.1.1 -n 1 -w 100 　　Goto c 　　将文件保存为“c.bat”，双击后在用户的计算机上执行，该程序会在打开的DOS窗口中循环执行。循环的周期为0.1s，只要不关闭该窗口即可每过0.1s清除一次ARP高速缓存表，解决ARP攻击造成的IP-MAC条目存储错误的问题