互联网ARP欺骗与防范方法探讨.docVIP

互联网ARP欺骗与防范方法探讨 　　摘 要： ARP协议负责实现IP地址到网络接口硬件地址的映射，是计算机网络运行的基础协议之一。它最早运行在可信局域网之上，而今局域网已经不再是可信网络，因而ARP运行中出现一些不安全因素。目前在网络上出现了很多利用ARP协议进行黑客攻击的行为，给网络安全造成很大的影响。本文将对这一问题给出全面深刻的剖析及有效的解决方案。 　　关键词： 互联网 ARP欺骗 ARP防范 　　随着信息技术的发展，人们工作和生活已经离不开互联网。但人们使用互联网的同时，或多或少遭遇到计算机病毒的毒害或黑客的攻击，甚至许多人在经济上还有一定的损失，在这纷繁的网络世界里，人们有时会谈网色变。那么我们在日常工作和生活中是不是无法防范互联网安全问题呢？不是，其实互联网安全还是可以防范的。下面就谈互联网欺骗与防范的一种方法―ARP欺骗与防范。ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。在局域网中一台主机要和另一台主机进行通信，必须知道目标主机的IP地址，但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的，只能识别其硬件地址即MAC地址。MAC地址是48位的，通常表示为12个16进制数，每两个16进制数之间用“-”或者冒号隔开，如00-0D-7E-2F-E8-EA就是一个MAC地址。每一块网卡都有其全球唯一的MAC地址，网卡之间发送数据，只能根据对方网卡的MAC地址发送，这时就需要一个将高层数据包中的IP地址转换成低层MAC地址的协议，而这个重要的任务将由ARP协议完成。 　　一、ARP工作原理与欺骗原理 　　（一）ARP工作原理。 　　首先，每台主机都会在自己的ARP缓冲区（ARP Cache）中建立一个ARP列表，以表示IP地址和MAC地址的对应关系。当源主机要将一个数据包发送到目的主机时会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址，如果有就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址及目的主机的IP地址。网络中所有主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据传输。如果源主机一直没有收到ARP相应的数据包，表示ARP查询失败。 　　（二）ARP欺骗原理。 　　1.ARP欺骗原理的分类 　　从影响网络连接通畅的方式看，ARP欺骗分为两种：一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了（网络掉线了）。 　　2.ARP欺骗新的表现形式 　　现在又新出现了一种ARP病毒，与以前一样的是，该类ARP病毒也是向全网发送伪造的ARP欺骗广播，自身伪装成网关。但区别是它着重的不是对网络游戏数据包的解密，而是对HTTP请求访问的修改。还是以上面的局域网环境举例，如果局域网中一台电脑B要请求某个网站页面，这台电脑会先向网关发送HTTP请求，说：“我想登录这个网页，请你将这个网页下载下来，并发送给我。”这样，网关就会将这个页面下载下来，并发送给B电脑。这时，如果A这台电脑通过向全网发送伪造的ARP欺骗广播，自身伪装成网关成为一台ARP中毒电脑的话，这样当B电脑请求WEB网页时，A电脑先是“好心好意”地将这个页面下载下来，然后发送给B电脑，但是它在返回给B电脑时，会向其中插入恶意网址连接，该恶意网址连接会利用MS06-014和MS07-017等多种系统漏洞，向B电脑种植木马病毒。同样，如果C电脑也是请求WEB页面访问。A电脑同样会给C电脑返回带毒的网页，这样，如果一个局域网中存在这样的ARP病毒电脑的话，顷刻间，整个网段的电脑将全部中毒。 　　二、ARP攻击类型分析 　　由于ARP协议