局域网ＡＲＰ攻击原理与防范.docVIP

局域网ＡＲＰ攻击原理与防范 　　摘要：局域网ARP攻击会导致网络大面积的瘫痪，威胁整个网络的安全。该文通过对ARP攻击的分析，详细讨论了ARP攻击原理，提出几种常用的防范ARP攻击的方法。 　　关键词：ARP攻击；ARP病毒；ARP欺骗；ARP防范 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)32-1320-01 　　LAN ARP Attack Principle and Guard Against Attacks 　　TANG Xuan, LIU Juan 　　(Department of Computer Science and Technology, Bengbu College, Bengbu 233000, China) 　　Abstract: ARP LAN network attacks would lead to large areas of paralysis and threaten the security of the entire network. Based on the analysis of ARP attacks, this paper describes the ARP attacks principles and several commonly used methods to prevent the ARP attacks. 　　Key words: ARP attack; ARP virus; ARP spoofing; ARP defense 　　1 引言 　　常见的局域网ARP攻击是由ARP病毒导致的。一旦某台计算机中了ARP病毒，则威胁整个局域网的安全，导致整个局域网通信被监听，大面积掉线等情况，严重影响了局域网的安全。因此，防范ARP病毒攻击是一个局域网上刻不容缓的事情。 　　2 ARP工作原理 　　ARP全称是Address Resolved Protocol，地址解析协议，用于实现IP地址到网络接口硬件地址的映射。网络接口硬件地址一般是一个48位的值，这个地址通常被叫做MAC地址，它可以唯一地标识一个网络接口，局域网中数据通讯就使用这个地址来识别发送数据端和接收数据端。ARP就是通过一定的机制，把IP地址映射为这种硬件地址，获得数据的发送端和接收端地址，保证了数据的正确传输。 　　 　　 　　图1ARP协议工作原理 　　ARP是通过一个高速缓存表来实现这个映射的。在每个主机上设置了一个ARP高速缓存表，这个高速缓存表中存放着最近使用过的IP地址和网络接口硬件地址的映射记录。ARP高速缓存表里的映射关系主要有静态和动态的两种。静态的需要手工创建（使用arp -s命令）。动态创建的ARP高速缓存表中的映射关系一般在20分钟后自动过期清除。可以使用arp -a命令查看本机ARP高速缓存表。 　　 　　图2本机ARP高速缓存表 　　局域网内，源主机若要和目的主机通信，必须知道其IP地址和MAC地址。假设源主机已经获知目的主机的IP地址，它会先查看本地ARP高速缓存表中是否存在包含目的主机IP地址的条目。如存在，则使用该条目中目的主机IP所对应的MAC地址。否则，源主机会向整个局域网广播一个ARP请求数据帧。在这个请求包中包含了源主机IP地址和目的地址，以及目的主机的IP地址。当局域网中其他主机接收到这个请求时，会检查自己的IP地址和ARP请求数据帧中的目的IP地址是否相同，如果不同，则抛弃；否则，便会发出一个ARP响应包，并记录源主机的IP地址至MAC地址的映射至本机ARP高速缓存表。该数据包中包含源主机IP、源主机MAC地址、目的主机IP地址、目的主机MAC地址。源主机接到这个ARP响应数据帧，便获得了目的主机的MAC地址，并把目的主机IP地址与MAC地址映射记入本机ARP高速缓存表。 　　3 ARP攻击原理 　　常见的ARP攻击表现形式为监听局域网中所有数据通信、提示IP冲突、频繁上网掉线。它是使用改变ARP高速缓存表的方法来进行攻击的。ARP攻击者构造一个自己设计的ARP响应包，循环发送给目标主机，直至目标主机ARP高速缓存被更改，从而达到自己的攻击目的。 　　假设，在局域网内有三台主机Host1、Host2、Host3，假设Host1的IP地址为192.168.0.1，MAC地址为11:11:11:11:11:11，Host2的IP地址为192.168.0.2，MAC地址为22:22:22:22:22:22，Host3的IP地址为192.168.0.3，MAC地址为33:33:33:33:33:33。 　　此时若Host3的使用者想监听Host1和Host2之间的通信，它就构造一个包含源IP