局域网络环境下ＡＲＰ欺骗攻击及安全防范策略.docVIP

局域网络环境下ＡＲＰ欺骗攻击及安全防范策略 　　摘要：该文介绍了ARP地址解析协议的含义和工作原理，并根据ARP协议所存在的安全漏洞，给出了网段内和跨网段ARP欺骗的实现过程。最后，结合网络管理的实际工作，重点介绍了IP地址和MAC地址绑定、交换机端口和MAC地址绑定、VLAN隔离技术等几种能够有效防御ARP欺骗攻击的安全防范策略，并通过实验验证了该安全策略的有效性。 　　关键词：ARP协议；ARP欺骗；MAC地址；IP地址；网络安全 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)34-1883-02 　　The Safety Methods to Avoid the ARP-Cheating in Network 　　LIU Yi, ZHU Yan-jin, CHEN Zhen 　　(Department of Technology and Education, Zhanjiang Normal College, Zhanjiang 524048, China) 　　Abstract: In this article, the meaning and the principle of address resolution protocol (ARP) is introduced. The process of ARP-cheating in LANs and out LANs based on the bug of ARP is given. Some effective methods to avoid the attack from ARP-cheating according to the actual work are submitted. The binding between IP Address and MAC Address, the binding between switch ports and MAC Address, and the technique of VLAN isolation are explained strictly.The effectiveness of above- mentioned have been demonstrated in our work. 　　Key words: address resolution protocol (ARP); ARP-Cheating;MAC address;IP address; network security 　　 　　1 引言 　　ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是包含目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行[1-2]。所以说从某种意义上讲ARP协议是工作在更低于IP协议的协议层。这也是为什么ARP欺骗更能够让人在神不知鬼不觉的情况下出现网络故障，他的危害更加隐蔽。 　　从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是――截获网关数据。第二种ARP欺骗的原理是――伪造网关[3-5]。 　　该文就此提出了IP地址和MAC地址绑定、交换机端口和MAC地址绑定、VLAN隔离技术这几种能有效防范ARP欺骗攻击的方法，希望能给广大网络管理工作者一些启示。 　　2 ARP协议简介 　　ARP(Address Resolution Protocol)即地址解析协议，该协议将网络层的IP地址转换为数据链路层地址。TCP/IP协议中规定，IP地址为32位，由网络号和网络内的主机号构成，每一台接入局域网或者Internet的主机都要配置一个IP地址。在以太网中，源主机和目的主机通信时，源主机不仅要知道目的主机的IP地址，还要知道目的主机的数据链路层地址，即网卡的MAC地址，同时规定MAC地址为48位。ARP协议所做的工作就是查询目的主机的IP地址所对应的MAC地址，并实现双方通信。 　　3 ARP协议的工作原理 　　源主机在传输数据前，首先要对初始数据进行封装，在该过程中会把目的主机的IP地址和MAC地址封装进去。在通信的最初阶段，我们能够知道目的主机的IP地址，而MAC地址却是未知的。这时如果目的