浅析ARP欺骗对校园网的危害及防范.docVIP

浅析ARP欺骗对校园网的危害及防范 　　摘要:ARP欺骗是利用地址解析协议的漏洞扰乱局域网正常运行,有较大危害的一种黑客行为.ARP欺骗在校园网中的传播,既影响了正常的教学工作,也给网络管理带来极大的不便。该文通过对ARP欺骗工作原理的分析,试图寻找较好的防范方法。 　　关键词:ARP欺骗;网络安全;防范 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)27-7655-02 　　 　　Analyze and Guard the Damage of ARP Spoofing to Campus Network 　　CHEN Yi-kuang 　　(Dept. of Phys. and Elec. Tech. Hanshan Teachers College, Chaozhou 521041, China) 　　Abstract: ARP spoofing can bring the great damage to campus network because of the limitation of Address Resolution Protocol. It can cause inconvenience in study. And it is also the great disturbance of campus network management. This paper analyses the principle of ARP attacking. And try to find out the best defense to ARP spoofing. 　　Key words: ARP spoofing; network safety; guard 　　 　　校园网是局域网的一种特例,它既有局域网通信速率高、共享资源方便等优点,也存在病毒易传播而难清除等缺点.负责将网络层IP地址转变成数据链路层MAC地址的地址解析协议(ARP)自身存在一些缺陷,从而在应用中存在一些安全隐患.ARP欺骗正是利用这些缺陷发动攻击,给网络管理带来严峻的考验。由于ARP攻击发生在局域网内部,很容易被系统管理人员或用户误判为网络主干设备工作不稳定。因此准确判断和有效防范ARP欺骗的方法在校园网管理中显得非常的重要。 　　本文首先简要介绍ARP协议并浅析ARP欺骗的工作原理,以及ARP欺骗的分类.在此基础上,对防御ARP攻击提出一些建议。 　　 　　1 ARP协议的工作原理 　　 　　以太网上的每台主机都有两个地址,一个是48位的物理地址,也叫MAC地址,它储存在网卡中且不能更改;另一个是32位的IP地址,用于在网络中区别不同的主机,如图1所示.地址解析协议(ARP)负责将IP地址转换为MAC地址.每台主机上都有一张ARP缓存表,记录着IP地址与MAC地址的对应关系.当其中一台主机需要将一个数据包发送到另外一台主机时,因为只知道目的主机的IP地址,并不知道目的主机的MAC地址.所以发出数据包的主机会首先检查自己的ARP缓存表,看是否存在该IP地址对应的MAC地址.如果有,就直接将数据包发送到这个MAC地址;如果没有,就会向本地网络发出一个ARP请求的广播包.广播包中包含了发出广播包的主机的IP地址、MAC地址和目的主机的IP地址.本地网络中的主机在收到这个ARP广播包后会检查广播包中目的主机的IP地址,看是否跟自己的IP地址相同.如果不同,丢弃这个广播包;如果相同,回复一个包含自身MAC地址的ARP应答。 　　 　　2 ARP欺骗的工作原理 　　 　　ARP协议的基础是信任局域网内所有的人,而ARP欺骗恰恰是利用了这种信任.欺骗者的主机首先发出一个ARP回复,注意,这是一个并非对应ARP请求广播包的回复,而是欺骗者伪造的一个ARP回复.在以太网中,没办法对数据包进行真实性检查,因此没法发现这是一个伪造的ARP回复.而且在ARP协议中并没有规定要提出请求然后才能有回复,这是为了在某台主机的IP地址发生改变时可以第一时间通知其它主机.因此该回复会被该回复数据包中的目的主机所接受,这个目的主机又称为被欺骗的主机,它会根据数据包内的错误内容刷新自己的ARP缓存表.当被欺骗的主机要发送数据包给另一个主机的时候会先查询ARP缓存表中目的主机的IP地址所对应的MAC地址.如果这个MAC地址恰好根据之前欺骗者伪造的ARP回复而做了错误的修改,那么被欺骗主机所发出的数据包就没办法到达目的主机。 　　 　　3 ARP欺骗的分类 　　 　　ARP欺骗可以大致分成两类,一类是对网关的欺骗,即篡改网关的ARP缓存表.首先伪造IP地址及其对应的MAC地址,通知网关做修改,其中IP地址是正确