论文ARP欺骗与防范.docVIP

目 录 1　ARP协议简介 1 2 ARP协议的工作原理 2 2.1 ARP欺骗的原理 2 2.2 中毒现象 3 3　ARP欺骗攻击的实现过程 3 3.1　网段内的ARP欺骗攻击 3 3.2　跨网段的ARP欺骗攻击 4 4? ARP欺骗攻击安全防范策略 ……………………………………………………5 4.1用户端绑定 5 4.2 网管交换机端绑定 6 4.3 采用VLAN技术隔离端口 7 5.1 ARP欺骗的主要方式 8 5.2 ARP欺骗的防御技术 8 6　结束语 9 [论文摘要] 文章对ARP欺骗的原理、中毒现象进行了分析，同时归纳了ARP欺骗的主要方式，重点论述了ARP欺骗的防御技术，以达到全面防御维护局域网络安全的目的。[Abstract] ARP article on the principle of deception, toxicity analysis, and summed up the main form of deception ARP, ARP deception focuses on defense technology, in order to achieve a comprehensive defense to maintain local area network security. [论文关键词] ARP欺骗 防御引言 ??? 协议欺骗是指通过对通信双方使用协议弱点的利用，冒充其中一方与另一方进行通信的行为。对于广播式网络，只要更改自己网卡的接收模式为混杂模式，理论上就可以截获所有内网上的通信。对于交换式网络环境，如果要截获网络上不属于自己的通信，可以通过协议欺骗来实现。内网渗透指的是在网络内部的渗透，在本地局域网内部对网内的其他系统进行渗透的过程。基于ARP欺骗的内网渗透指网络攻击者利用ARP欺骗截获不属于自身的通信，并从这一条件中获取更多利益的行为。 1　ARP协议简介 ??? ARP(Address Resolution Protocol)即地址解析协议，该协议将网络层的IP地址转换为数据链路层地址。TCP IP协议中规定，IP地址为32位，由网络号和网络内的主机号构成，每一台接入局域网或者Internet的主机都要配置一个IP地址。在以太网中，源主机和目的主机通信时，源主机不仅要知道目的主机的IP地址，还要知道目的主机的数据链路层地址，即网卡的MAC地址，同时规定MAC地址为48位。ARP协议所做的工作就是查询目的主机的IP地址所对应的MAC地址，并实现双方通信。 ARP协议的工作原理.1 ARP欺骗的原理　　ARP病毒是一种木马程序, 其本质就是利用ARP本身的漏洞进行欺骗,即通过伪造IP地址和MAC地址实现欺骗,在网络中产生大量的ARP通信量使网络阻塞,或使信息流向本不存在的有正确的“IP地址和MAC地址”虚拟主机,而使个人主机无法收到信息。 　　典型的ARP欺骗过程如下： 　　假设局域网分别有IP地址为、和的A、B、C三台主机,假如A和C之间正在进行通讯,此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是 (C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB,当A接收到B伪造的ARP应答,就会更新本地的ARP缓存,这时B就伪装成C了。同时,B同样向C发送一个ARP应答,应答包中为发送方IP地址(A的IP地址),MAC地址BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA) ,当C收到B伪造的ARP应答,也会更新本地ARP缓存,这时B 又伪装成了A。这时主机A和C都被主机B欺骗,A和C之间通讯的数据都经过了B,主机B完全劫持目标主机与其他主机的会话源主机在传输数据前，首先要对初始数据进行封装，在该过程中会把目的主机的IP地址和MAC地址封装进去。在通信的最初阶段，我们能够知道目的主机的IP地址，而MAC地址却是未知的。这时如果目的主机和源主机在同一个网段内，源主机会以第二层广播的方式发送ARP请求报文。ARP请求报文中含有源主机的IP地址和MAC地址，以及目的主机的IP地址。当该报文通过广播方式到达目的 主机时，目的主机会响应该请求，并返回ARP响应报文，从而源主机可以获取目的主机的MAC地址，同样目的主机也能够获得源主机的MAC地址。如果目的主机和源主机地址不在同一个网段内，源主机发出的IP数据包会送到交换机的默认网关，而默认网关的MAC地址同样可以通过ARP协议获取。经过ARP协议解析IP地址之后，主机会在缓存中保存IP地址和MAC地址的映射条目，此后再进行数据交换时只要从缓存中读取映射条目即可。ARP协议工作原理详见图1和图2。2.2 中毒现象 　　局域网出现突然掉