局域网ＡＲＰ欺骗攻击及防御方案.docVIP

局域网ＡＲＰ欺骗攻击及防御方案 　　摘要：ARP欺骗攻击是一种利用ARP 协议存在的安全隐患对局域网内计算机的通信实施攻击的行为。在对ARP 欺骗攻击的原理进行分析的基础上，本文结合网络管理的工作实际，介绍了三种定位ARP攻击源主机的方法，并提出了三种防御ARP攻击的方案。 　　关键词：ARP攻击；ARP缓存表；MAC地址 　　中图分类号：TP393 文献标识码：A文章编号：1009-3044(2008)31-0869-03 　　ARP Spoofing in the LAN and Defending Project 　　WU Hui-min 　　(Orient Today, Zhengzhou 450003, China) 　　Abstract: The ARP spoofing is a spoofing behavior which utilizes ARP protocol loopholes to attack communicationg of two computers in the LAN. Based on analysis of the principle of ARP spoofing, combined with the practice of network administrating, the paper proposed three ways of finding the computer which sent the ARP spoofing and three solutions of defending ARP spoofing. 　　Key words: ARP Spoofing; ARP cache form; MAC Adress 　　1 引言 　　近年来，不少企事业单位的局域网因遭受ARP欺骗攻击而陷入瘫痪，这使“ARP”这个本来并不为人熟知的名词变得声名大噪。攻击者利用ARP协议本身存在的缺陷，对局域网内的主机进行攻击。因此，有必要深入研究ARP欺骗攻击的原理并探讨方案加以防御。 　　2 ARP欺骗攻击原理 　　2.1 ARP协议简介 　　ARP是Address Resolution Protocol（地址解析协议）的英文缩写，它工作在OSI模型七层结构的第二层即数据链路层。我们知道，工作在网络中的任何一台计算机都有两个唯一标识，一个是32位的IP地址(由软件分配)，一个是48位的MAC地址（由网卡生产厂家分配）。由于工作在第二层的网络交换设备不能识别IP地址，两台主机之间的通信要靠MAC地址来实现，因此，必须确定IP地址与MAC地址之间的对应关系。ARP协议就是一种将计算机的网络IP地址转化为物理MAC地址的协议。 　　2.2ARP协议工作过程 　　为了提高IP地址与MAC地址的转换效率，在每台安装有TCP/IP协议的计算机内都有一个ARP高速缓存表，用于存放最近一段时间内与该计算机通信的其他计算机的IP地址及其对应的MAC地址（即IP-MAC条目）。如表1所示。 　　我们以表一中的源主机A向目标主机B发送数据为例，对ARP协议的工作过程进行分析。当源主机A准备向目标主机B发送数据时，会先在自己的ARP缓存表中查询是否有B的IP地址。如果有，也就找到了目标主机的MAC地址，直接把B的IP地址和MAC地址封装入数据帧中发送就可以了。如果没有，主机A就会在局域网内发送一个广播数据包，向同网段内的所有主机发出请求：“10.10.2.22的MAC地址是什么？”该网段内的其他主机并不响应这一ARP请求，只有B接收到这个数据包时，才向A 做出响应：“10.10.2.22的MAC地址是00-0E-1B-2B-3B-4B。”这样，A 就按这个MAC 地址向B发送信息。同样，目标主机B也获得了源主机A的MAC地址。在这一次完整的ARP 请求与响应过程中，通信双方都更新了各自的ARP 缓存表。此后再进行数据交换时，直接从缓存中读取IP-MAC条目即可。 　　从以上分析可以看出，ARP 协议是建立在信任局域网内所有节点的基础上，它很高效，但不安全。采用该协议的计算机不会检查自己是否发过请求包，也不管（其实也不知道）是否为合法的应答，只要接收到ARP 响应包，就会对本机的ARP缓存进行更新。 　　2.3 ARP欺骗攻击的实现 　　ARP欺骗攻击的核心是发送伪造的ARP应答。下面借助我报社局域网的网络拓扑图（如图1所示）来说明ARP欺骗攻击实现的过程。 　　在正常情况下，主机A 访问互联网的路径应该是主机A→交换机S2→核心交换机（网关）C→防火墙→互联网。在主机A 的DOS窗口下运行ARP查看命令“arp -a”，将有如下输出： 　　Interface： 1