校园局域网中ARP问题攻防解析.docVIP

校园局域网中ARP问题攻防解析 　　摘 要：近年来，在校园网络化的快速建设中，网络安全成为制约校园网建设的一大阻碍，校园网络安全最大的威胁就是ARP欺骗，ARP欺骗是近年来局域网环境中常见和最顽固的安全问题之一，轻则影响网络通信速度或致大面积局域网瘫痪，重则造成用户信息的外泄。本文从ARP工作原理着手，分析局域网中利用ARP进行伪装欺骗实施攻击的原理，对是否遭遇了ARP攻击进行判断，从而提出针对ARP欺骗的诊断分析与防御方法。 关键词：局域网；ARP欺骗；网络安全 中图分类号：TP393.1 随着网络的普及，网络日渐成为我们生活和工作中不可或缺的重要工具，它给我们提供服务的同时，网络安全也受到病毒的严重挑战，尤其在校园局域网中，ARP欺骗已成为最普遍最严重的网络攻击之一，ARP欺骗不但会导致局域网的网络故障，还会威胁用户的信息安全，给学校的正常教学工作带来了很大影响。要想减少或者避免ARP欺骗的攻击，就需要我们对ARP本身有一个全面而且透彻的了解。 1 ARP的简介 1.1 ARP协议及其工作原理 ARP协议是“Address Resolution Protocol”的缩写即地址解析协议。ARP是处于数据链路层的网络通信协议，在本层和硬件接口联系并对上层提供服务，ARP协议的作用就是将计算机的网络地址转化成物理地址。 在装有TCP/IP协议的计算机里面都有一个ARP高速缓存，缓存里面放有一个IP地址和MAC地址对应的映射表，映射表中包含目前计算机所知道的的局域网中各个计算机和路由器的IP地址和MAC地址的对应关系。我们举一个实例来详细说明一下ARP的工作原理，在一个局域网内，有一台计算机A1，其IP地址是192.168.1.8，MAC地址为00-b2-bc-15-34-cb，有另一台计算机A2，其IP地址是192.168.1.9，MAC地址是00-b3-23-56-bc-56。计算机A1想要向计算机A2发送信息时即数据包的时候，计算机A1首先去查询自己的ARP的高速缓存表，看看自己的缓存表中是否有计算机A2的映射信息，即计算机A2的IP地址和MAC的对应关系。如果计算机A1的ARP高速缓存表中有计算机A2的映射信息，那么找出计算机A2的MAC地址，然后根据A2的MAC地址向A2发送数据包。反之，没有的话，计算机A1会向网络中的所有计算机发送一个ARP请求的广播数据包，局域网中这个数据包是向所有计算机询问“192.168.1.9”的计算机的MAC地址。别的计算机接受到这个广播之后，不会回应任何信息，只有计算机A2接受到这个广播数据包之后，回以ARP应答包的方式回应计算机A1，告诉计算机A1，“我”的IP地址就是“192.168.1.9”，“我”的MAC地址是00-b3-23-56-bc-56。计算机A2发出的数据会发给计算机A1，计算机A1受到计算机A2的MAC地址之后会依据这个MAC地址向计算机A2发送数据包。同时，计算机A1的缓存表回更新，把计算机A2的IP地址与MAC地址的对应关系写进高速缓存表中，这样当计算机A1在此向计算机A2发送信息的时候就咳咳直接从ARP高速缓存表中找到计算机A2的MAC地址。ARP的高速缓存表不是一成不变的，它对应映射关系也有一定的时间限制，超过一定的时间没有使用即相互通信，高速缓存表中会自动删除，ARP高速缓存表是采用的老化机制，这样的机制能提高相应的查询速度。 1.2 ARP协议的先天缺陷 ARP协议是建立在信任局域网内所有结点的基础上的，它很高效，但却不安全。它是无状态的协议，不会检查自己是否发过请求包，也不管（其实也不知道）是否是合法的应答，只要收到目标MAC是自己的ARP reply包或ARP广播包（包括ARP request和ARP reply），都会接受并缓存。这就为ARP欺骗提供了可能，恶意节点可以发布虚假的ARP报文从而影响网内结点的通信，甚至可以做“中间人”。 1.3 ARP欺骗攻击的症状 （1）局域网突然断线不能上网，网络质量时分不稳定，不经处理，过一段时间后又可恢复正常，网速很慢； （2）局域网中用户频繁断线，浏览器出现错误，通讯等软件会出现故障，时断时通； （3）在局域网中需要身份认证的上网，会突然提示需要认证，但是还是不能上网；使用ping命令，无法ping通网关。 （4）受到ARP攻击出现的另一现象是，不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。当出现这两种现象只要重启路由即可恢复上网，但ARP攻击没有被清除时，过一段时间后，网络又会掉线。 2 ARP欺骗常见的形式 2.1 欺骗主机 欺骗主机就是采用伪造、假冒的方法来迷惑局域网中的主