ARP攻击的网络分析和防范.pdfVIP

ARP攻击的网络分析和防范 庄海燕 王刚 (铁道警管高等专科学校) 摘要本文通过网络分析技术，对ARp攻击原理、攻击过程进行了详细分析，并提出了具体的防御方法和防范措施。 关键词ARP协议网络攻击网络分析 目前各种利用ARP进行攻击的木马和病毒多而流行，不断造成 内实现．易于修改和移植，而RARP服务器存在于内核中，清求，应 局域网的严重阻塞，客户机之间相百ping时严重丢包，局域网用户答保温在同一个物理网络内实现；RARP只能获得自己的IP地址， 访问互联网的速度非常慢，甚至不能访问。本文通过网络分析技 而Bootp贝ll能够使客户机从服务器得到自己的lP地址、文件服务器 术，对AR瞰击原理、攻击过程进行了详实的分析，并针对性地提 的lP地址、启动映射文件名、网关lP等。 出了具体的舫御的方法和防范措施。 2 ARP攻击 1 ARP协议理解 ARP攻击有如下几种： 1．1 Ip地址和MAC地址以及地址映射 (1)欺骗攻击。同一网段内路由不会把本网段的包向外转 网络层地址(1P地址)实现了底层网络物理地址的统一，但网发，攻击主机通过发送伪造的AR咆欺骗路由和目标主机，让其认 络上的数据传输最终是在物理网络上使用物理地址进行。因此，在 为自己是一个合法的主机，之后可以通过ICMP协议做路由重定向 网络中同时存在两套地址：IP地址，又称为逻辑地址；物理地址， 实现，甚至在此基础上，可以利用局域网的广播方式，把自己的主 即通常所说的MacJ《LfIL。而这两种地址之间需要建立的映射关系由 机伪造成—个中间转发站来监听两台主机的通信。 TCP／IP协议簇中的ARP(AddressResolutionProtoc01)和RARP (ReverseAddressResolution Protoc01)实现。二者分别实现从lP地 乎都是对网段内的所有主机进行扫描，从而会占用网络带宽资源。 址到物理地址的转换以及从物理地址到IP地的转换。 最近，新出现的一种攻击方式是利用ARP攻击产生Dos，将大量连 1．2 ARP／RARP协议 接请求发送到一台主机时，消耗该主机的处理能力，使得不能为正 ARP，中文名为地址解析协议，它工作在数据链路层，用于将 常用户提供服务，最后出现拒绝服务，如果被攻击主机是交换机， 喇络中的协议地址(当前嘲络中大多是IPtO_趾)解析为本地的硬件 那么可以溢出交换机的ARP表，使整个网络不能正常通信。这个过 地址(MAC地址)。RARP，中文名为逆向地址解析协议，它工作 程中可以使用ARP来隐藏自己，在被攻击主机的日志上就不会出现 在数据链路层，用于将本地的硬件地址(MACJfll址)解析为网络 真实的IP，因而这种攻击威胁性大，而且攻击主机被隐蔽。 中的协议地址(当前大多是IP地址)。ARP／RARP协议在正常情况 3 ARP攻击分析 下的通讯模式是：请求-应答一请求-应答，也就是应该一问 一答。 3．1网络协议方面分析攻击原理 网络中每台主机都会在自己的ARP缓冲区(ARPCache)中建立 一个ARP列表，以表示JP地址和MA似的对应关系。 栈的设备，一般情况下都通过该表维护IP地址和MAC地址的对应 源主机需要发送一个数据包到目的主机，首先检查本机 关系，ARP表一般通过主动解析或者被动请求两个途径建立：如果 一台计算机想与另外一台不知道MAc