ARP欺骗分析及快速防御机制的建立.pdf

中国J亡!l等教育学会教育信息化分会第几次学术年会论文集 ·1II· ARP欺骗分析及快速防御机制的建立 金培莉，岳江红，曹东亚，俞丞涛 (北京联合大学信息网络中心，北京，100101) 摘要：近年来ARP欺骗对校同网或企业内部局域网造成’J，巨大的安全威胁，由于ARP欺骗利用了ARP协议自身的缺陷， 这也使得防御ARP欺骗更为棘手。本文通过对ARP协议分析及ARP欺骗分析，对比传统防御ARP欺骗的手段，提山了 更为快速、高效、自动化的防御机制，并给出丫此防御考L*JJ的模型以及技术实现要点。 关键字：ARP；ARP欺骗；网络安全 1引言 随着网络技术的不断发展，出现了许多针对局域网的攻击。典型案例既是校园网或者企业内部局 域网经常出现网络频繁掉线或网络中断的情况。通过检查发现此类故障与“ARP欺骗”病毒有关，该 病毒以窃取主机信息为目的，病毒发作时会引起网络瘫痪，影响面积较大。本文通过对ARP欺骗的分 析，提出了切实可行的快速反应机制，并给出了设计思路。 2ARP协议分析 Resolution ARP是地址转换协议(AddressProtoc01)的英文缩写，它是一个链路层协议，工 作在OSI模型的第二层，在本层和硬件接口间进行联系，同时对上层(网络层)提供服务。 我们知道二层的以太网交换设备并不能识别32位的IP地址，它们是以48位以太网地址(MAC 地址)传输以太网数据包的。也就是说IP数据包在局域网内部传输时并不是靠IP地址而是靠MAC地 址来识别目标的，因此IP地址与MAC地址之间就必须存在一种对应关系，而ARP协议就是用来确定 这种对应关系的协议。 ARP工作时，首先请求主机会发送出一个含有所希望到达的IP地址的以太网广播数据包，然后 目标IP的所有者会以一个含有IP和MAC地址对的数据包应答请求主机。这样请求主机就能获得要到 达的IP地址对应的MAC地址，同时请求主机会将这个地址对放入自己的ARP表缓存起来，以节约不 系统这个时间为2分钟，而Cisco路由器的这个时间为5分钟)，就会被删除，这样可以大大减少ARP 缓存表的长度，加快查询速度。 3ARP欺骗分析 ARP协议虽然是个高效的数据链路层协议，但同时也存在以下缺陷：ARP协议没有连接的概念， 任意主机在没有ARP请求的时候也可以做出应答，这就导致了任何主机都可以向被攻击者发送假冒的 ARP应答包：ARP协议没有人证机制，对数据的发送及接收方都不作任何认证，只要收到的协议包是 有效的，主机就无条件地根据协议包内容刷新本机ARP缓存。因此攻击者有了可乘之机，他们可随时 发送虚假ARP包，更新被攻击者主机上的ARP缓存，进行欺骗。 ARP欺骗的核心就是向被攻击者发送伪造的IP—撇C映射。假设主机C为实施ARP欺骗的攻击者， 其目的是截获主机B和主机A之间的通信数据，且主机C在实施欺骗之前已经知道A和B的IP地址。 的MAC地址。如果此时C打开本地的路由功能，将数据包转发到正确目的主机，那么通信将不会中断， 只是C充当了“中间人”角色，截获了A和B之间的信息：如果此时C没有打_丁f=本地的路由功能，那 中国．鼍等教育学会教育信息化分会第九次学术年会论j[=集 么通信即将中断，随着受攻击的主机数目增多，现象即是网络瘫痪，大面积主机无法正常访问网络。 4快速防御机制的建立 基于以上分析，可以看出ARP欺骗利用了ARP协议自身的缺陷，这也使得防御ARP欺骗更为棘手。 ARP欺骗对网络的影响较大，短时间会导致同网段内众多主机无法上网，网管人员如果不能快速处理， 将陷于被动局面。 传统解决ARP欺骗导致无法上网的方法较多，个人主机以及交换机上都可以采取措施。LP．女U-个 网络用户技术水平及防范意识的客观情况，完全靠个人主机上采取措施也是不现实的，故而防御ARP ARP 多或者依赖于特定设备，并不完全适用各种局域网，特别是网络用户多，主机变化较多的校园网。所 以如何更简单、快速、有效并且自动化的防御ARP欺骗就成为网络管理工作者进一步研究的问题。作 者通过实践工作总结出一套切实可行的办法，供读者参考。 当出现ARP欺骗时，我们常用快