网络中ARP攻击发现和定位以和防御方法.docVIP

网络中ARP攻击发现和定位以和防御方法 　　【摘要】本文首先介绍了ARP协议，其次探讨了ARP攻击原理及ARP攻击类型及ARP攻击的发现与定位，最后提出ARP攻击防御策略。本文的讨论不仅推动网络的发展，而且可以提高人们信息的安全。 【关键词】网络；ARP攻击；发现；定位；防御；方法 中图分类号：TN711 文献标识码：A 文章编号： 一、前言 当今社会是一个信息时代，网络的发展对人类的贡献是巨大的。网络的普及在让人类享受好处的同时，也带来不少的安全问题，例如ARP的病毒就是一项对局域网攻击的内容，其危害是巨大的。因此，我们应该加强对ARP的学习，掌握其相关的知识，达到更好阻止ARP的效果。 二、ARP协议简介 ARP，即地址解析协议（Address Resolution Protocol），通过IP地址来得到MAC地址。因为在TCP/IP网络环境中，每个主机都分配有一个32位的IP地址。但是以太网协议中规定，主机之间进行通信，源主机必须知道目标主机的MAC地址，即物理地址。TCP/IP协议分为四层，最上层为应用层，往下依次是传输层、网络层和数据链路层。在TCP/IP协议栈中，网络层和传输层只是关心目标主机的IP地址，因此，当主机之间进行通信的时候，数据链路层的以太网协议接到上层的IP协议提供的数据中，只包含有目标主机的IP地址。这个时候，就需要一种方法，将目标主机的32位IP地址转换成48位的MAC地址，ARP协议应运而生。一台主机安装有TCP/IP协议之后，就会在主机里面形成一个ARP缓存表，在这个缓存表中，IP地址和MAC地址是一一对应的。 三、ARP攻击原理及ARP攻击类型 1、ARP攻击原理 ARP在当初设计时，并没有在数据链层上进行安全防范，之所以这样做是为了能够获得更高的传输效率。因此，在使用 ARP 协议时，是不需要通过认证，而局域网在使用 ARP 协议时是假定相互通信的双方是值得信赖和相互独立的，因此任何主机在没有得到请求时，也是可以做出应答的，这时，一旦其接受到 ARP 应答包，就会对缓存中的内容进行更改刷新。因此，ARP 欺骗手段就是通过将伪造的ARP应答发送到目标主机，使目标主机接收伪造应。答中的IP与MAC的对应关系，达到改变目标主机的ARP缓存。 2、由于ARP协议设计之初，并没有考虑到网络中主机的不安全性，因此，在ARP协议中存在着一些不安全因素，主要体现在以下四个方面，无连接性、无认证性、无状态性和广播性。 （1）IP地址冲突攻击 因为IP地址对主机来说相当于一个唯一的身份证号码，每台主机的IP地址都不能相同，如果，有IP地址相同的两台主机，就会导致IP地址冲突。一台主机检测自身IP地址是否与网络中其他主机IP地址冲突的方法是向网络中发送广播，将目标主机的IP地址设为自身的IP地址，如果收到应答则证明网络中存在于自身IP地址相同的主机，这时，本机上会弹出IP地址冲突的警告。很多ARP攻击者利用这一原理，将ARP数据包中的源主机IP地址和目标主机IP地址均设置为被攻击者的IP地址，将目标主机的MAC地址设置为被攻击者的MAC地址，被攻击者收到这个数据包之后，就会以为IP地址存在冲突，从而释放掉自身的IP地址，导致无法正常通信。 （2）ARP泛洪攻击 在网络中的每一个网络设备中都存在着一张ARP表，ARP表的大小是固定的，攻击者不断的发送伪造的ARP广播数据包，让交换机不停的处理广播数据包，耗尽了带宽，另外，大量虚假的MAC地址填充了整个ARP表，从而让网络设备无法根据ARP表进行正常的通信。 （3）ARP欺骗 ARP协议并不只有在发送了ARP请求之后才接收ARP应答，当主机接收到一个ARP应答数据包之后，它就会更新自己的ARP缓存表。如果攻击者伪造一个ARP应答，主机也会将这个伪造的IP地址和MAC地址的映射存入ARP缓存表中，从而可能让网络出现问题。ARP欺骗分为两种，一种是攻击者将自己伪装成主机，给网关发送一系列错误的MAC地址，并且按照一定的频率不断进行，让真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送到错误的MAC地址，从而导致主机无法正常收到信息。第二种是伪造网关，即建立假网关，让被它欺骗的主机向假网关发送数据，从而截获了这些信息。 四、ARP攻击的发现与定位 要定位感染 ARP木马电脑的MAC地址有三种方法可供选择： 方法一：可以查看三层交换机网段里面的ARP信息（如 cisco 6509 中可以输入show ARP|include网段相同部分），如果发现里面存在有不同 IP 对应相同 MAC列表的情况，就可以肯定该网段内有 ARP 欺骗，这个MAC地