局域网中ARP欺骗攻击分析及安全防范策略.docVIP

局域网中ARP欺骗攻击分析及安全防范策略 　　摘要:介绍ARP地址解析协议的含义和工作原理,分析ARP协议所存在的安全漏洞,给出了网段内和跨网段ARP欺骗的实现过程。结合网络管理的实际工作,重点介绍了IP地址和MAC地址绑定、交换机端口和MAC地址绑定、VLAN隔离等几种技术能够有效防御ARP欺骗攻击的安全防范策略,并通过实验验证了该安全策略的有效性。 　　关键词:ARP协议;ARP欺骗;MAC地址;IP地址;网络安全 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)33-9212-04 　　LAN ARP Spoofing Attack Strategy Analysis and Safety Precautions 　　XING Yong-hong 　　(Municipal CPC Party School in Zhanjiang,Zhanjiang 524032,China) 　　Abstract: This paper describes the meaning of ARP Address Resolution Protocol and working principle of ARP protocol analysis of security vulnerabilities that exist, gives the network segment and cross-segment ARP spoofing implementation process. With the practical work of network management, focusing on the IP address and MAC address binding, the switch port and MAC address binding, VLAN isolation of several technology can effectively prevent ARP spoofing attacks, the security policy, and through experimental verification of the security strategys effectiveness. 　　Key words: ARP protocol; ARP deception; MAC address; IP address; network security 　　在局域网的日常管理中,常常会遇到网络上的计算机经常掉线,过一段时间后又会恢复正常,严重影响局域网中计算机的正常使用。其实这都是ARP病毒在作怪。ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,给用户造成了很大的不便和巨大的经济损失。那么什么是ARP?它的攻击方式有哪些?怎样防御?本文将逐一进行探讨。 　　1 ARP协议简介 　　ARP(Address Resolution Protocol)即地址解析协议的缩写,该协议将网络层的IP地址转换为数据链路层地址。TCP IP协议中规定,IP地址为32位,由网络号和网络内的主机号构成,每一台接入局域网或者Internet的主机都要配置一个IP地址。在以太网中,源主机和目的主机通信时,源主机不仅要知道目的主机的IP地址,还要知道目的主机的数据链路层地址,即网卡的MAC地址,同时规定MAC地址为48 位。ARP协议所做的工作就是查询目的主机的IP 地址所对应的MAC地址,并实现双方通信。 　　2 ARP协议的工作原理 　　源主机在传输数据前,首先要对初始数据进行封装,在该过程中会把目的主机的IP地址和MAC地址封装进去。在通信的最初阶段,我们能够知道目的主机的IP地址,而MAC地址却是未知的。这时如果目的主机和源主机在同一个网段内,源主机会以第二层广播的方式发送ARP请求报文。ARP请求报文中含有源主机的IP地址和MAC地址,以及目的主机的IP地址。当该报文通过广播方式到达目的主机时,目的主机会响应该请求,并返回ARP响应报文从而源主机可以获取目的主机的地址同样目的主机也能够获得源主机的MAC地址。如果目的主机和源主机地址不在同一个网段内,源主机发出的IP数据包会送到交换机的默认网关,而默认网关的MAC地址同样可以通过ARP协议获取。经过ARP协议解析IP地址之后,主机会在缓存中保存IP地址和MAC地址的映射条目,此后再进行数据交换