局域网ARP攻击防范.docVIP

局域网ARP攻击防范 　　【 摘 要 】 在单位网络维护过程中，经常遇到ARP病毒导致网络不稳定的情况 ， 本文介绍了ARP协议的工作原理及ARP攻击的基本原理与方式，提出预防欺骗的常用防范措施。 　　【 关键词 】 ARP；攻击；防范 　　Prevention on LAN ARP Attack 　　Luo Xue-yi 　　（Computer Department of Kunming Fire School YunnanKunming 650221） 　　【 Abstract 】 In the process of network maintenance in offices， ARP virus often causes the network unstable. This paper introduces the basic principle of ARP protocol and the elements？and method of ARP attack. In the end the prevention on common fraud means will be raised. 　　【 Keywords 】 ARP； attack； prevention 　　1 引言 　　在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址 （即 MAC地址），ARP协议对网络安全具有重要的意义。通过伪造 I P地址和 MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。近两年来，针对ARP网络的攻击不断增加，已经对局域网构成了严重威胁。 　　2 ARP原理 　　ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的 MAC 地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的 MAC地址。但这个目标 MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的 I P地址，查询目标设备的 MAC地址，以保证通信的顺利进行。每台主机都会在自己的ARP缓冲区 （ARP Cache）中建立一个ARP列表，以表示IP地址和MAC地址的对应关系。如下所示： 　　A： 192.168.0.1 AA-AA-AA-AA-AA-AA； 　　B： 192.168.0.2 BB-BB-BB-BB-BB-BB； 　　C： 192.168.0.3 CC-CC-CC-CC-CC-CC； 　　D： 192.168.0.4 DD-DD-DD-DD-DD-DD。 　　当源主机需要将一个数据包要发送到目的主机时，会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址，如果有就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。 　　3 ARP常见攻击方式 　　3.1 ARP欺骗攻击 　　ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。通过发送伪造的ARP包来欺骗路由和目标主机，让目标主机认为这是一个合法的主机，便完成了欺骗。这种欺骗多发生在同一网段内，因为路由不会把本网段的数据包向外转发，当然也可以实现不同网段的攻击，但要通过ICMP协议来告诉路由器重新选择路由。 　　对目标A进行欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A发送到C上的数据包都变成发送给D的了。这正好是D能够接收到A发送的数据包，嗅探成功。因为A和C连接不上了，D对接收到A发送给C的数据包可没有转交给C。做“man in the middle”，进行ARP重定向。打开D的IP转发功能，A发送过来的数据包，转发给C，好比