ARP攻击及其防范措施.docVIP

ARP攻击及其防范措施 　　摘 要：在网络日益复杂化、多样化的今天，网络安全问题已经成为影响网络发展重要因素之一。在局域网内部，利用TCP/IP协议的漏洞进行攻击是用户常遇见的网络故障，本文将详细介绍ARP的工作原理，ARP攻击手段及几种防范措施。 　　关键词：ARP攻击；地址欺骗；安全防范 　　中图分类号：TP393.08 　　ARP攻击是针对以太网地址解析协议（ARP）的一种攻击技术。攻击者通过截取或是篡改局域网上的数据封包，使得网络上特定计算机或所有计算机无法正常连接。 　　ARP协议的工作原理是：当主机A要向本局域网上的某主机B发送IP数据包时，若发现在其ARP高速缓存中查不到主机B的IP地址，此时主机A自动运行ARP，按以下步骤找出主机B的硬件地址： 　　（1）ARP进程在本局域网上广播发送一个ARP请求分组，向本局域网内所有主机询问主机B的硬件地址。 　　（2）在本局域网上的所有主机上运行的ARP进程都收到此ARP请求分组。 　　（3）主机B在ARP请求分组中见到自己的IP地址，就向主机A发送ARP响应分组，并写入自己的硬件地址。其余所有主机则忽略这个ARP请求分组。 　　（4）主机A收到主机B的ARP响应分组后，就在其ARP高速缓存中写入主机B的IP地址到硬件地址的映射。值得注意的是，虽然ARP请求分组是广播发送的，但ARP响应分组是普通单播。 　　何为ARP攻击？就是通过伪造IP地址和MAC地址，在网络中产生大量的无用数据包使得网络拥阻。攻击者不断发出伪造的ARP响应分组以期望改变目标主机ARP高速缓存中的IP地址到MAC地址的映射，造成网络中断或中间人攻击，使得在同一局域网内，有人可以正常上网，有人却无法访问任何页面。 　　ARP欺骗有二种，分别为：对内网PC的网关欺骗、对路由器ARP映射表的欺骗。 　　对内网PC的网关欺骗的原理是：建立假网关，让被它欺骗的PC向假网关发数据，而无法通过正常的路由器上网。ARP欺骗攻击可能会造成大量机器无法正常进行网络连接。 　　对路由器ARP映射表的欺骗是：截获网关数据。攻击者发送伪造的ARP响应分组给路由器，内含一系列错误的内网MAC地址，并按照一定的频率不断发送，使得真实的地址信息无法通过更新保存到路由器中，结果路由器只能将所有数据发送给错误的MAC地址，造成正常PC无法收到信息。 　　1 对于ARP攻击，我们可采取以下方法进行防范 　　1.1 捆绑IP地址和MAC地址 　　此方法可避免IP地址盗用。若是通过代理服务器上网，可在代理服务器端把静态IP地址与上网计算机网卡的MAC地址进行捆绑。若是通过交换机连接，可将交换机端口与计算机的IP地址、网卡的MAC地址绑定。 　　1.2 修改物理地址 　　将真实的物理地址隐藏，也就是修改上网机的MAC地址，欺骗过ARP欺骗，从而躲过ARP攻击。 　　1.3 使用ARP服务器 　　通过ARP服务器查找自己的ARP转换表来响应其他机器的ARP广播，并且要确保这台ARP服务器不被攻击。 　　1.4 交换机端口设置 　　端口保护：ARP欺骗需要交换机的两个端口直接通讯，将端口设为保护端口即可简单方便地隔离用户之间信息互通，不必占用VLAN资源。 　　数据过滤：如需对报文做更进一步的控制用户可以采用ACL（访问控制列表）。ACL利用IP地址、TCP/UDP端口等对进出交换机的报文进行过滤，可以预设条件，对报文做出允许转发或阻塞的决定。 　　1.5 利用硬件屏蔽主机 　　设置路由，确保IP地址能到达合法的路径（静态配置路由ARP条目），使用交换集线器和网桥无法阻止ARP欺骗。 　　1.6 禁止网络接口做ARP解析 　　在相对系统中禁止某个网络接口做ARP解析（对抗ARP欺骗攻击），可以做静态ARP协议设置。 　　1.7 定期检查ARP缓存 　　利用响应的IP包中获得的RARP请求，检查ARP响应的真实性。定期检查主机上的ARP缓存，使用防火墙连续监控网络。但是在使用SNMP的情况下，ARP欺骗有可能导致陷阱包丢失。 　　2 ARP防火墙对于ARP攻击的防范 　　2.1 防火墙针对ARP欺骗的对策 　　在系统内核层做策略，拦截可能发生的外来虚假数据或本机对外的ARP攻击数据包，在保障本机不受ARP攻击的同时，减少如感染恶意程序后对外的攻击机会，保证网络畅通。 　　（1）拦截IP冲突：在系统内核层做策略，拦截IP冲突数据包。 　　（2）Dos攻击抑制：在系统内核层做策略，拦截对外的攻击数据包，定位恶意发动DoS攻击的程序。 　　（3）安全模式：除网关外，不响应其它机器发送的ARPRequest数据包，达到隐身效果。 　　（4）ARP数据分析：对本机接收到的所有ARP