浅谈局域网内ARP攻击的防范策略.docVIP

浅谈局域网内ARP攻击的防范策略 　　摘要：ARP攻击是当前我们遇到的一个非常典型的安全威胁，受到ARP攻击后会出现无法正常上网、拷贝文件无法完成、出现错误、ARP包爆增、不正常的MAC地址，或错误的MAC地址，一个MAC地址对应多个IP的情况。 　　关键词：局域网；ARP攻击；防范策略 　　中图分类号：TP393.1 文献标识码：A文章编号：1007-9599 (2011) 14-0000-01 　　ARP Attacks Prevention Strategy in the LAN 　　Liu Jiaqing 　　(Shanghai200125,China) 　　Abstract:ARP attack is the current we encountered a very typical security threats,will appear by the ARP attacks can not normally access,copy the file can not be completed,error,ARP packets explosion,not the normal MAC address,or the wrong MAC address,a MAC address corresponding to the number of IP cases. 　　Keywords:LAN;ARP attacks;Prevention strategies 　　引言：ARP（Address Resolution Protocol）地址解析协议用于将计算机的网络IP地址转化为物理MAC地址。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如果系统ARP缓存表被人为篡改，并不停的通知路由器一系列错误的内网IP或者干脆伪造一个假的网关进行欺骗的话，会导致网络出现大面积掉线等问题。ARP攻击在现今的网络中频频出现，有效的防范ARP形式的网络攻击已成为确保网络畅通必要条件。 　　一、ARP工作原理及通讯模式 　　（一）工作原理。首先，每台主机都会在自己的ARP缓冲区中建立一个ARP列表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址，如果有?o就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。 　　（二）通讯模式。通讯模式（Pattern Analysis）：在网络分析中，通讯模式的分析是很重要的，不同的协议和不同的应用都会有不同的通讯模式。更有些时候，相同的协议在不同的企业应用中也会出现不同的通讯模式。ARP在正常情况下的通讯模式应该是：请求-应答-请求-应答，也就是应该一问一答。 　　二、常见ARP攻击方式及防御手段 　　现在最常用的基本对治方法是“ARP双向绑定”。由于ARP攻击往往不是病毒造成的，而是合法运行的程序（外挂、网页）造成的，所以杀毒软件多数时候束手无策。 　　所谓“双向绑定”，就是在路由器上绑定ARP表的同时，在每台电脑上也绑定一些常用的ARP表项。“ARP双向绑定”能够防御轻微的、手段不高明的ARP攻击。ARP攻击程序如果没有试图去更改绑定的ARP表项，那么ARP攻击就不会成功；如果攻击手段不剧烈，也欺骗不了路由器，这样就能够防御50％的ARP攻击。但是现在ARP攻击的程序往往都是合法运行的，所以能够合法的更改电脑的ARP表项。在现在ARP双向绑定流行起来之后，攻击程序的作者也提高了攻击手段，攻击的方法更综合，另外攻击非常频密，仅仅进行双向绑定已经不能够应付凶狠的ARP攻击了，仍然很容易出现掉线。 　　于是技术人员在路由器中加入了“ARP攻击主动防御”的功能。这个功能是在路由器ARP绑定的基础上实现的，原理