ＡＲＰ攻击原理及有效防止方法.docVIP

ＡＲＰ攻击原理及有效防止方法 　　摘要：从ARP原理入手。探讨解决ARP攻击的方法，确保单位局域网正常连接，从而避免因局域网延误工作，学习。 　　关键词：ARP协议；ARP工作原理；ARP；攻击；ARP欺骗；MAC绑定 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)21-30434-01 　　 　　The Discussion on the Principle of ARP Attack and Effective Methods 　　ZHAO Chong,WANG Hong-yan 　　(Baoding Fuchang Secondary Specialized Schools, Baoding 071000,China) 　　Abstract: Start from the arp principle and discuss the attack method of arp,make sure the narmal working of lan in company,prevent it from cutting off and lead to the delay. 　　Key words: arp agreement; arp principle; arp deception; mac bind 　　 　　1 引言 　　 　　近来，局域网中ARP病毒肆虏，尤其是传奇，QQ，网银等盗号木马。此类病毒轻则导致网络经常掉线，重则劫持网关设备，导致网关掉线，整个网络中的PC上网受限，影响工作和学习。靠杀毒只能暂时解决问题，且病毒传播速度快，令人防不胜防，安装ARP防火墙只能针对PC，对于路由器等网关设备起不到任何作用。要彻底解决此问题，我们需要从ARP协议及其工作原理入手，找出根本解决方法。 　　 　　2 ARP协议 　　 　　ARP协议(Address Resolution protocol)即地址解析协议。在以太网中，数据帧从一个主机到达另一个主机是根据48位以太网地址(MAC)来确定接口的，而不是根据IP地址，因此必须把32位IP地址转换为对应的48位物理地址，整个转换过程由一台主机先向目标主机发送包含IP地址信息的广播数据包，即ARP请求，然后目标主机向该主机发送一个含有IP地址和MAC地址的数据包，通过MAC地址两个主机就可以实现数据传输了。 　　 　　3 ARP协议的作用验证 　　 　　以ping命令为例如，我们ping网络中的一台主机54，该命令通过ICMP协议发送ICMP数据包，提交给网卡驱动程序，驱动程序检查能否转化该IP与MAC对照表，如果存在该对应关系，则网卡驱动把IP转换为MAC地址，然后封装在以太网头结构中，再把数据发送出去，如果没有IP与MAC的对应关系，则网卡驱动进行ARP广播，目的地址为FF-FF-FF-FF-FF-FF，即向同一网段所有主机发出询问，并且在广播数据包中包含自己的MAC地址，54主机接收到该ARP请求后，发送一个ARP的回应命令，其中包含自己的IP和MAC地址，本地主机获得该对应关系后，存入ARP缓存，转换地址，执行PING命令。 　　执行完后，ARP缓存就会存在一个IP54与MAC地址的对应，可以在命令行中用ARP-A命令查看。同样，其它主机PING本机时，也可以在本机中存放一个IP与MAC的对应关系。由此可见，ARP协议不只在发送了ARP请求后才接收ARP应答，当其接收到数据包后就会更新缓存。 　　 　　4 ARP欺骗原理 　　 　　有了以上基础，我们了解一下ARP欺骗的原理。 　　在计算机中，ARP协议是一个“思想”不坚定，易被外界影响的“人”，ARP欺骗就是利用这个特性，误导计算机作出错误的选择。 　　每台主机都有一个ARP高速缓存，且生存时间一般为60秒，起始时间从被创建开始。默认 情况下，ARP从缓存中读取IP-MAC对应条目，缓存中的IP-MAC条目是根据ARP响应包动态，变化的，因此，只要网络上有ARP响应包发送到本机，即会更新高速缓存中的IP-MAC对照表，攻击者只需要持续不断的发出伪造的ARP响应包就能更改同标主机ARP缓存中的IP-MAC对照表。我们在ARP作用验证中验证过，ARP协议不只在发送了ARP请求后才接收ARP应答，因此，如果主机B向主机A发送了一个自己伪造的ARP应答，而这个数据中的发送方IP为（主机C）Mac地址为DD-DD-DD-DD-DD-DD(主机B的MAC地址)当A接收到B的伪造ARP应答，就会更新本地缓存，将C的IP与B的MAC地址对应起来，而这一切A并不知情，只是按照对应关系将发往C的数据包错误的发到了DD-DD-DD-DD-DD-DD这个MAC