局域网ARP欺骗及共防治.pdfVIP

信息技术 《西藏科技~2008年11期(总第188期) 局域网ARP欺骗及共防治 拥 措 (西藏大学现代教育技术中心，西藏 拉萨 850000) 摘 要：ARP攻击是3-前我们在局域网中遇到的一个非常典型的安全威胁，严重影响到企业网络、网 吧、校园网络等局域网的正常运行。本文通过分析ARP欺骗原理、现象，提 出了查找定位被 ARP欺骗 的源头主机和防范ARP欺骗攻击措施。 关键词 ：局域网 ARP欺骗 防治 中图分类号：TP393．1 1 引言 中删除。 ARP攻击是当前我们遇到的一个非常典型的安 假如主机A需要和主机C进行通讯，它首先会通 全威胁，ARP病毒也叫ARP地址欺骗类病毒，这是一 过比对掩码发现这个主机 C的IP地址并不是 自己同 类特殊的病毒。该病毒一般属于木马病毒，不具备主 一 个网段 内的，因此需要通过网关来转发，它会检查 自 动传播的特性，不会 自我复制，但是由于其发作的时候 己的ARP缓存表里是否有网关 1(192．168．1．1)对应 会向全网发送伪造的ARP数据包，严重干扰全网的正 的MAC地址，如果没有就通过ARP请求获得，如果有 常运行，其危害甚至比一些蠕虫病毒还要严重得多。 就直接与网关通讯，然后再 由网关 1通过路由将数据 ARP病毒发作时，通常会造成网络掉线，但网络连接 包送到网关2，网关 2收到这个数据包后发现是送给 正常，内网的部分电脑不能上网，或者所有电脑均不能 主机C(10．1．1．2)的，它就会检查 自己的ARP缓存， 上网，无法打开网页或打开网页慢以及局域网连接时 看看里面是否有 10．1．1．2对应的MAC地址，如果没 断时续并且网速较慢等现象，严重影响到企业网络、网 有就使用ARP协议获得，如果有就是用该 MAC地址 吧、校园网络等局域网的正常运行。 将数据转发给主机C。 2 ARP病毒 2．2 ARP病毒的原理 2．1 ARP协议 在以太局域网内数据包传输依靠的是MAC地址， ARP是地址转换协议 (AddressResolutionProto． IP地址与 MAC对应的关系依靠 ARP表，每台主机 co1)的英文缩写，它是一个链路层协议 ，工作在 OSI模 (包括网关)都有一个ARP缓存表。在正常情况下这 型的第二层，在本层和硬件接 口间进行联系，同时对网 个缓存表能够有效地保证数据传输。但是在ARP缓 络层提供服务，它用于将计算机的网络 IP地址转化为 存表的实现机制中存在一个不完善的地方，当主机收 物理MAC地址。ARP协议的基本功能就是通过 目标 到一个ARP的应答包后，它并不会去验证 自己是否发 设备的lP地址，查询 目标设备的MAC地址，以保证通 送过这个ARP请求，而是直接将应答包里的MAC地 信的顺利进行。通过图 1我们可以理解ARP的工作 址与 IP对应的关系替换掉原有的ARP缓存表里的相 机制 。假如主机A要与主机 B通讯，它首先会通过网 应信息。如图2所示，这就导致主机B截取主机A与 络掩码比对，确认出主机 B是否在 自己同一网段 内， 主机 c之间的数据通信成为可能。首先主机 B向主 如果在，它就会检查 自己的 ARP缓存 中是 否有 机A发送一个ARP应答包说 192．168．1。1的MAC地 192．168．1．3这个地址对应的 MAC地址，如果没有， 址是 03一o3—03—03一O3—03，主机A收到这个包后 它就会向局域网的广播地址发送ARP请求包，但是只 并没有去验证包的真实性而是直接将 自己AR