局域网ＡＲＰ攻击及防护.docVIP

局域网ＡＲＰ攻击及防护 　　摘要：在局域网中，利用TCP/IP协议安全漏洞进行欺骗攻击是目前最常见的一种方法。攻击者通过伪造网关MAC地址来阻断主机访问服务，控制网络通信。通过ARP协议原理分析，对ARP协议欺骗的方式进行揭示，并给出相应的防护方法。 　　关键词：局域网；ARP；攻击；防御 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)34-1633-01 　　 　　随着计算机网络的发展，特别是众多局域网的出现，如网吧、高校校园网、中小企业局域网的组建，给人们的学习、工作、生活带来方便，与此同时也带来了严重的网络安全问题，其中ARP欺骗就是近期最让人头疼的问题之一。局域网用户常常会受到ARP攻击，致使MSN、QQ、IM经常掉线，还可能造成网络大面积瘫痪的后果。 　　1 ARP协议工作原理 　　在TCP/IP协议中，每一个网络结点都有一个唯一的IP地址作为网络标识，而以太网设备并没有识别32位IP地址的能力。在以太网中，数据的传输是靠48位MAC地址寻址的。因此，必须在IP地址与MAC地址之间建立一个映射关系，ARP协议就是为完成这个工作而设计的。 　　ARP（Address Resolution Protocol）是地址解析协议，它工作在数据链路层，和硬件接口直接联系，同时对上层提供服务，负责通知主机要连接的目标MAC地址。简单的说，ARP的作用就是通过IP地址来查询目标主机的MAC地址，其报头结构如图1所示。一旦这个环节出错，主机就不能正常地和目标主机通信了。 　　主机的TCP/IP协议栈中保存着一个ARP cache 表,在构造网络数据包时,主机会首先从ARP cache 表中查找目标IP对应的MAC地址;如果找不到,主机会发送一个ARP request 广播包,请求具有该IP地址的主机报告其MAC地址，当收到目标IP所有者的ARP reply后，更新本地 ARP cache ，并完成通信连接。 　　2 ARP 协议缺陷 　　ARP协议的可靠性是建立在局域网内所有结点均为受信结点的基础上的，它很高效，但却不安全。因为它是无状态协议，不会检查自己是否发过请求包，同时也没有相应的安全机制检验接收到的数据包是否为合法应答，只要收到目标MAC是自己的ARP reply包或ARP 广播包（包括ARP request和ARP reply），都会接受并更新本地ARP cache。这就为ARP欺骗提供了可能，攻击者可以发布虚假的ARP报文对主机进行欺骗，从而影响网内结点间的通信。 　　3 ARP攻击原理分析 　　ARP协议工作时会从ARP cache 中读取IP-MAC记录，提供目标主机MAC地址，进行通信。默认情况下，ARP cache 中的IP-MAC条目会根据ARP reply动态更新，但ARP协议并不是在发送了ARP request后才接收ARP reply，而是一直处于接收状态，中人主机接收到ARP reply，就会对本地的ARP cache进行同步更新。因此，攻击者发出伪造的ARP reply主能很轻易地更改目标主机ARP cache中的IP-MAC条目。在Windows系统里，ARP cache中的记录生存时间一般为60秒，起始时间从记录被创建时开始，只要攻击数据的发送时间间隔小于60秒，就能持续不断地对目标主机进行欺骗，造成该主机网络中断。 　　4 ARP欺骗攻击的防护 　　最早的ARP欺骗解决方法是在主机和网关进行双向绑定，无论网络中是否存在ARP欺骗信息，都不影响正常的数据转发，无视ARP的存在；虽然其本身直接针对ARP原理进行防御，效果较好，但其存在双向绑定管理难度大，难以大规模部署的缺点。除此之外，还可以从以下几个方面加强对ARP欺骗攻击的防护： 　　1) 使用可防御ARP攻击的三层交换机，绑定端口MAC-IP，限制ARP流量，及时发现并自动阻断ARP攻击端口，合理划分VLAN，彻底阻止盗用IP、MAC地址，从根本上杜绝ARP的攻击。 　　2) 上网用户应增强安全意识，不要浏览缺乏可信度的网站；不要轻易下载和安装盗版的、不可信任的软件或者程序；不要随便打开不明来历的电子邮件，尤其是邮件附件；不要随便点击打开QQ、MSN等聊天工具上发来的链接信息； 　　3) 及时修补系统漏洞（比如，打上ARP补丁KB842168等）；关闭不必要的系统服务；安装正版的杀毒软件，经常更新病毒库等。 　　5 结束语 　　总之，通过正确的网络管理和用户控制，可以有效地抵御ARP攻击带来的破坏，同时合理而有效的安全手段能够进一步提高用户的网络使用效率。 　　参考文献： 　　[1] 王达.管员必读――网络安全[M].2版.北京:电子工业出版社,2007. 　　[2]