局域网ARP协议漏洞分析防御研究.pdfVIP

局域网ARP协议漏洞分析与防御研究 邹承俊 郑洪凯 杨三惊 （成都农业科技职业学院，电教网络中心 四川 成都 611130） 摘 要：本文将针对成都农业科技职业学院校园局域网中前期频繁发生的ARP攻击展开研究，论述 了ARP地址解析协议的背景及其工作原理，分析了ARP协议漏洞，论述了ARP欺骗原理。并根据长 期的实践经验，总结了一套ARP欺骗防御技术。以达到全面防御校园内网络安全的目的。 关键词: 局域网;地址解析协议;ARP 漏洞;ARP 欺骗 1、引言 成都农业科技职业学院网络建设建立于 1999 年，近年来，随着学院规模的扩大，建筑 面积不断的增加，对网络的覆盖面积要求越来越广，对网络的依赖性越来越强。在网络的管 理与维护方面加大了难度，经常收到无法上网的故障报告，主要是上网的时候时断时续，维 修人员查看网线、网络设置、计算机配置都没有异常。对计算机进行查毒也没有发现。用干 净的系统重新安装后及时安装最新的杀毒软件后，运行没有任何问题。经过管理人员研究分 析发现在学院校园网内出现ARP 频繁攻击，曾采取了在用户端安装ARP 防火墙等相关软件， 但从根本上任然没有解决问题。经过多种试验，对网络设备的改造，加强网络策略的设置与管理， 针对频繁发生的ARP攻击现象展开了深入研究。 2、什么是ARP 协议 [1] ARP 协议是 “AddressResolution Protocol”（地址解析协议）的缩写 。ARP 协议工作在数据 链路层，在本层和硬件接口联系，同时对上层提供服务。在局域网中，网络实际传输的是“帧”， 在传输帧里面有目标主机的MAC 地址。在以太网中，一个主机要和另一个主机进行直接通信，必 须要知道目标主机的MAC 地址，目标MAC 地址是通过地址解析协议获得的。所谓“地址解析”就 是主机在发送帧前将目标IP 地址转换成目标MAC 地址的过程。ARP 协议的基本功能就是通过目 标设备的IP 地址，查询目标设备的MAC 地址，以保证通信的顺利进行。 3、ARP协议工作原理 在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对 应的。首先，每台主机都会在自己的ARP缓冲区中建立一个 ARP列表，以表示IP地址和MAC地址 的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否 存在该IP地址对应的MAC地址，如果有，就直接将数据包发送到这个MAC地址；如果没有，就向 本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括 源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后，会 1 检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机 首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息， 则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址； 源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表 中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败 [2] 。 例如： A 的地址为：IP：192.168.169.1MAC:00-01-6c-36-d1-7f B 的地址为：IP：192.168.169.2MAC:00-05-5d-60-c7-18 根据上面的所讲的原理，简单说明这个过程：A 要和B 通讯，A 就需要知道B 的以太网地址， 于是A 发送一个ARP 请求广播 （谁是192.168.169.2 ，请告诉 192.168.169.1），当B 收到该广播， 就检查自己，结果发现和自己的一致，然后就向A 发送一个ARP 单播应答 （192.168.169.2 在 00-05-5d-60-c7-18）。 4、ARP协议漏洞分析 尽管ARP是数据链路层中一个高效的地址解析协议, 但是由于其设计初衷是为了方便数据传输,