基干ARP欺骗校园网防御策略探讨.docVIP

基于ARP欺骗的校园网防御策略研究 　　摘要：互联网时刻面临着各种各样的攻击和威胁，校园网也面临着严重的挑战和威胁. ARP协议欺骗是网络欺骗的行为之一，利用 ARP 协议自身的安全缺陷， 攻击者可以重新伪造一个以太网上的 IP 数据报以取得目标主机的信任，在校园网上可以进行各类的攻击。文中在分析 ARP 协议工作原理、ARP协议的设计缺陷、攻击方式的基础上，详细论述了几种基于ARP协议的校园网防御策略，为校园网的安全建设提供参考 关键词：ARP欺骗；网络攻击；校园网 中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）22-0021-03 Internet的发展极大地提高了人们的生活和工作效率，计算机已经进入千千万万的家庭当中。2016年1月的第37次中国互联网络发展状况统计报告显示：截至2015年12月，中国网民规模达6.88亿，互联网普及率为50.3%。因特网的开放性造成的网络和信息安全等问题也越来越受到人们的重视，校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络，校园网的安全状况直接影响到教学、科研、管理等活动的进行。目前针对网络的攻击方式有很多种类：嗅探扫描攻击，网络系统缺陷攻击、Email攻击、堆溢出攻击、ARP攻击等，其中基于ARP的攻击是危害较大的、比较典型一种攻击方式，本文重点研究基于ARP欺骗的校园网攻击防御方法，希望给校园网的安全建设提供一些借鉴 1 ARP协议的工作原理和典型应用 ARP（Address Resolution Protocol）地址解析协议）是 TCP/IP协议族中的一个重要协议， ARP 是解决同一个局域网上的主机或路由器的 IP 地址和硬件地址的映射问题，在 IPV4 版本下， ARP协议的功能是完成从32位的IP地址到48位的MAC地址的转换 1.1 ARP 协议工作原理 在局域网中的每台计算机都同时拥有两个地址，一个是 MAC 地址， 另一个是 IP 地址。MAC地址就是以太网卡硬件地址（Physical Address）， 它在生产时就已经固化在网卡上的ROM中， 是全球唯一的。IP地址是网络层和以上各层使用的地址，是一种逻辑地址，它是由软件分配的， 根据使用情况需要是可以更改的。不管网络层使用的是什么协议，在实际网络的链路上传送数据帧时，最终还是必须使用硬件地址。 每一个主机都设有一个 ARP 高速缓存（ARP cache），里面有所在的局域网上的各主机和路由器的 IP 地址到硬件地址的映射表。当主机A欲向本局域网上的某个主机B发送 IP 数据报时，就先在其 ARP 高速缓存中查看有无主机B的 IP 地址。如有，就可查出其对应的硬件地址，再将此硬件地址写入 MAC 帧，然后通过局域网将该 MAC 帧发往此硬件地址。为了减少网络上的通信量，主机A在发送其 ARP 请求分组时，就将自己的 IP 地址到硬件地址的映射写入 ARP 请求分组。主机B收到A的 ARP 请求分组时，就将主机A的这一地址映射写入主机B自己的 ARP 高速缓存中。这对主机B以后向A发送数据报时就更方便了 1.2使用 ARP 的四种典型情况 如果所要找的主机和源主机不在同一个局域网上，那么就要通过ARP找到一个位于本局域网上的某个路由器的硬件地址，然后把分组发送给这个路由器，让这个路由器把分组转发给下一个网络。剩下的工作就由下一个网络来做。从IP地址到硬件地址的解析是自动进行的，主机的用户对这种地址解析过程是不知道的。只要主机或路由器要和本网络上的另一个已知 IP 地址的主机或路由器进行通信，ARP 协议就会自动地将该 IP 地址解析为链路层所需要的硬件地址。使用 ARP有以下四种情况如图1所示： 发送方是主机，要把IP数据报发送到本网络上的另一个主机。这时用 ARP 找到目的主机的硬件地址，如图1：主机B与主机C之间发送信息 发送方是主机，要把 IP 数据报发送到另一个网络上的一个主机。这时用 ARP 找到本网络上的一个路由器的硬件地址。剩下的工作由这个路由器来完成，如图1：主机A与主机B或主机C之间发送信息 发送方是路由器，要把 IP 数据报转发到本网络上的一个主机。这时用 ARP 找到目的主机的硬件地址。如图1：路由器R1与主机A之间发送信息或路由器R2与主机B或主机C之间发送信息 发送方是路由器，要把 IP 数据报转发到另一个网络上的一个主机。这时用 ARP 找到本网络上另一个路由器的硬件地址。剩下的工作由这个路由器来完成，如图1：路由器R1与路由器R2之间发送信息 2 ARP 协议的漏洞 TCP/IP 协议栈中的的ARP 协议，其最初设计是建立在同一个局域网内各站点之间互相信任的基础之上