浅议ARP 攻击原理和防范措施.docVIP

浅议ARP 攻击原理和防范措施 　　摘要：ARP攻击不仅攻击PC机，还攻击路由器、交换机等各种网络设备，传播和危害范围很广。ARP攻击既可能造成网络内出现随机断线，也可能造成整个网络瘫痪， 还可能造成通信被窃听、信息被篡改等各种严重后果。通过静态绑定，软件法，路由器法等方法，可以有效的防范ARP攻击。 关键词： ARP；网络；攻击；原理；防范 中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）18-4188-02 随着互联网科技的飞速发展，网络安全问题显得越来越重要，特别是在办公网络和学校的校园网络中，经常会由于ARPP攻击而造成大面积的电脑无法上网甚至网络瘫痪的情况时有发生，这不仅影响人们的正常工作和学习，还有可能会影响到个人信息的安全。现通过分析ARP协议及攻击的原理，提出防范ARP网络攻击的对策。 1 ARP协议及工作原理 ARP协议也就是地址解析协议，是一个位于TCP/IP协议栈中的底层协议，对应于OSI七层体系结构之中的数据链路层，在局域网中，该协议的作用是将IP地址转换为与之对应的物理地址即MAC地址。在网络中尤其是局域网中，ARP协议对网络的安全运行起着非常重要的作用。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。 在局域网中，网络中实际传输的数据是“帧”，帧里面包含有目标主机的MAC地址的。在以太网中，如果一个主机要和另一个主机进行直接通信，就必须要知道目标主机的MAC地址。为了获得目标主机的MAC地址，就要通过使用地址解析协议。地址解析的主要功能就是在主机发送帧前将目标IP地址转换成目标MAC地址。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证网络中数据通信的正常进行。 2 ARP攻击的原理分析 ARP实现欺骗攻击的主要手段是伪造IP地址和MAC地址，从而在网络中产生大量的ARP通信量，使得网络变得拥堵不堪。攻击者通过不断的发送伪造的ARP响应包，就能够修改目标主机ARP缓存中的IP-MAC表，造成网络的中断或者是中间人攻击。 每台主机中都有一个用于记录IP地址和MAC地址对应关系的ARP缓存表，在局域网中，数据的传输主要是利用MAC地址实现。假设当前有主机 A 192.168.1.2，B 192.168.1.3，C 192.168.1.4和网关 G 192.168.1.1；在同一局域网内，主机A和B通过网关G相互通信，就好比A和B两个人写信，由邮递员G送信，C永远都不会知道A和B之间说了些什么话。但是并不是想象中的那么安全，在ARP缓存表机制存在一个缺陷，就是当请求主机收到ARP应答包后，不会去验证自己是否向对方主机发送过ARP请求包，就直接把这个返回包中的IP地址与MAC地址的对应关系保存进ARP缓存表中，如果原有相同IP对应关系，原有的则会被替换。这样C就有了偷听A和B的谈话的可能。 一旦局域网中某台主机遭受ARP欺骗攻击并执行木马程序后，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。原本可能通过路由器上网的主机，现成也必须经由病毒主机才能上网，在这个切换过程中，会断网一次。 切换到经病毒主机上网之后，如果用户已经登陆了服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录服务器，这样病毒主机就可以盗号了。 由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断网一次。 3 ARP攻击的危害 ARP的攻击问题的影响很大，其危害主要表现为以下几个方面： 3.1影响局域网正常运行 局域网内一旦有ARP欺骗攻击的存在，可能会欺骗局域网内所有主机和网关，导致用户不能上网，或者所有上网的流量都必须经过攻击者控制的主机。其他用户本来是直接通过网关上网的，现在要由攻击者控制的主机上网，由于被控主机的性能影响，这种转发并不会非常流畅，因此就会导致用户上网的速度变慢或者时断时续甚至频繁断线。另外ARP欺骗需要不停地发送ARP应答包，会造成网络拥塞甚至大面积断网情况的发生。 3.2 攻击手段变化多样，破坏力强 ARP 作为可信任协议，在设计上是有一定缺陷的，黑客可以最大化的利用ARP协议缺陷进行欺骗攻击，将它与其他攻击方法组合运用于多种攻击，如：侦听、拒绝服务、挂载病毒等，使得网络内大面积账号丢失和数据失密等等，以窃取用户机密信息、传播病毒、破坏路由、暴力广告等攻击目。 3.3 攻击范围广，攻击快速隐蔽 由于ARP欺骗攻击不