校园网中ARP攻击研究及防御探析.docVIP

校园网中ARP攻击研究及防御探析摘要：分析ARP病毒对联网计算机实验室PC机的危害和攻击方式，通过指出各防御方式的利弊，分析各种ARP病毒防御方式的可行性。 关键词：ARP病毒；ARP协议；MAC地址 中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)20-4855-02 The Campus Network ARP Attack Analysis and Defense Explore SU Ning （City College of Dongguan University of Technology，Dongguan 523106,China） Abstract: Analysis of ARP virus hazards and attacks on a networked computer lab PC, to analyze the feasibility of the approach of a variety of ARP virus defense by pointing out the pros and cons of each defense style. Key words: ARP virus; ARP protocol; MAC address 近年来随着基于TCP/IP的以太网架构不断发展与成熟，计算机实验室基本采用了该种架构进行局域网联网。此架构在ISO模型中的二层数据链接层的寻址方式一般采用ARP协议，由于早期的设计并没有考虑到该层的安全性，导致ARP协议只能满足寻址功能，而不能抵御欺骗性攻击。由此在二层容易产生各种类型的安全漏洞，对七层模型中的三层以上的应用产生了严重的影响。如今各种大容量移动介质的量产与普及，使得基于ARP协议的各种病毒无孔不入。校园网中的计算机实验室由于PC机集中，数量多，往往最容易受到ARP病毒的攻击。由此给实验室管理员带来了巨大的工作量，并影响了师生正常开展各做实验。该文根据实验室的管理经验分析ARP病毒的原理，并结合校园网的一些技术提出一些解决方法。 1 ARP简介与ARP病毒攻击方式 1.1 ARP的原理和作用 ARP全称为Address Resolution Protocol，是ISO七层模型中的二层地址解析协议， 是一种将IP地址转化成物理地址的协议。ARP协议的主要功能具体说来就是将网络层地址解析为数据链路层的物理地址，目前计算机实验室中的联网PC一般采用以太网架构，数据链路层的物理地址一般为MAC地址。 在正常的局域网中，一般一个IP地址只对应一个MAC地址，该MAC地址为全世界唯一的物理地址，在硬件出厂时已经固化，不允许修改。以太网中的二层交换机通过广播方式学习MAC地址，并与端口对应，形成一张MAC地址与端口的对应表，以中兴2826S交换机为例，该表如图1。这样局域网内同个网段的交换机能够通过这张表找到相应的MAC地址所在的端口。 图1 如果以太网的PC机不在网个网段，由于二层广播包无法穿越三层，所以在汇聚层三层交换机中会将MAC地址对应上IP地址，形成ARP地址表，以方便使用三层路由协议进行路由。如图2。 以太网正是采用这种一一对应的方式，让互联网的计算机中能够寻找到其位置，并进行数据传输。MAC地址和IP地址的组合就有如家里的门牌号，让数据如信件一样能找到对应的门户传输到位。 1.2 ARP病毒的攻击方式 根据以上的介绍，我们知道了ARP协议在数据传输中的重要性，值得注意的是，MAC地址虽然是唯一并且固化，但没有任何加密方式，采用明文传输，可在传输过程中被修改，且二层交换机的地址表是可以学习变化的缓存。这就是ARP协议中的安全漏洞，一旦地址在传输过程中被篡改，那么直接造成数据的目的地发生改变，可以利用此获得他人数据，严重的可让他人数据无法传输。 利用以上漏洞，在校园网计算机实验室中最常见的ARP病毒攻击方式主要集中在地址欺骗，而地址欺骗分为两种，一种是对ARP表进行欺骗；另一种是对局域网中的PC机进行网关欺骗。 第一种ARP的欺骗原理是截获网关数据。它利用感染病毒的PC机对三层交换机或路由器通知一系列错误的或者不存在的局域网MAC地址，并按照一定的频率进行，使真实的地址信息无法通过更新保存在ARP地址表，造成正常的PC机无法收到信息。 第二种ARP欺骗原理是网关欺骗。受欺骗的对象是PC机而不是网关，所有基于TCP/IP协议的以太网架构中的PC机都有一个网关IP地址，该网关地址对应着固定的MAC地址，在需要数据发送或者接入时，都首先从该网关发送出去或接入。而此种欺骗方式正是利用感染病毒的PC机本身修改了