浅析校园网ARP攻击及对策.docVIP

浅析校园网ARP攻击及对策 　　摘要:该文分析了校园网ARP欺骗攻击的原理、方式及其应对策略。 　　关键词:校园网;ARP欺骗攻击;对策 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)21-5929-02 　　目前,各学校普遍都建立了校园网,这种局域网使用非常方便,内部信息的传输速率非常高,为学校的教学、办公等提供了极大的便利。但是由于校园网采用的技术普遍比较简单,安全措施较少,对来自网络内部的计算机客户端的安全威胁更是缺乏必要的安全管理机制,未经授权的网络设备或用户往往可以通过局域网的网络设备自动进人网络,这样就给病毒传播提供了快速有效的通道和数据信息的安全埋下了巨大的隐患。最典型的是利用ARP协议欺骗攻击网络的病毒在校园网中经常出现,导致网络不稳定甚至造成校园网瘫痪,极大地影响了校园网用户的正常使用,给学校的正常教学、办公造成巨大的影响和损失。 　　1 ARP协议与ARP病毒 　　1.1 ARP协议 　　ARP协议是Address Resolution Protocol地址解析协议的缩写,所谓“地址解析”就是主机在发送数据包前将目标主机的网络IP地址转换成物理MAC地址的过程。在局域网中,一台主机要和另一台主机进行通信,必须要知道目标主机的IP地址,但是最终负责在局域网中传送数据的网卡等物理设备是不能识别IP地址的,只能识别其硬件地址即MAC地址。ARP协议的基本功能就是在网络IP地址和硬件地址(MAC地址)之间提供动态映射,使网络节点间通信的数据帧能够在链路中正确传输。 　　1.2 ARP病毒 　　ARP地址欺骗类病毒(简称ARP病毒)是一类特殊的病毒,属于木马(Trojan)病毒,它不会自我复制、不会主动传播。但是其发作时会向整个局域网内发送伪造的ARP数据包,干扰全网的正常运行,所以其危害性比大多数蠕虫病毒都要严重。 　　1.3 ARP病毒发作时的现象及危害 　　现象:网络频繁掉线、时断时续并且网速很慢,无法ping通网关,但网络连接正常,整个网段内部分计算机不能上网,或者所有计算机无法正常上网,无法打开网页或打开网页慢,访问页面时常常弹出广告窗口,IE浏览器在使用过程中频繁出错或自动关闭等。 　　危害:网络异常、IP冲突;数据窃取、个人隐私泄漏(如MSN聊天记录、邮件等)、账号被盗用(如QQ账号、银行账号等);数据篡改(如访问的网页被添加了恶意内容,俗称“挂马”);非法控制(如某些网页打不开、某些网络应用程序用不了)。 　　2 ARP欺骗及攻击的主要方式 　　2.1 ARP欺骗 　　ARP欺骗分为两种:一种是对内网主机的网关欺骗,其原理是伪造假网关,即把真实网关的IP地址映射到错误的MAC地址,这样主机在向网关发送数据时,根本就不能到达真正的网关,当然也就无法上网了;另一种是对路由器ARP表的欺骗,其原理是攻击者通过截获分析网关数据,并通知路由器一系列错误的内网IP地址和MAC地址的映射,按照一定的频率不断进行,使真实的地址信息映射无法通过更新保存在路由器中,结果路由器转发数据到错误的MAC地址的主机,造成正常主机无法收到信息。 　　2.2 中间人攻击 　　按照ARP协议的设计,一台主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为ARP欺骗创造了条件。例如,有PC-A、PC-B 、PC-C三台主机,现在PC-A和PC-C通过交换机S进行通信。此时,如果有攻击者(PC-B)想探听PC-A和PC-C之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使PC-A中的ARP缓存表中IP-C和MAC-B所对应,PC-C中的ARP缓存表中IP-A和MAC-B所对应。此后,PC-A和PC-C之间看似直接的通信,实际上都是通过攻击者所在的主机间接进行的,即PC-B担当了中间人的角色,它可以对信息进行窃取和篡改。 　　2.3 ARP泛洪攻击 　　攻击主机持续把伪造的IP地址和MAC地址的映射发给受害主机,对于局域网内的所有主机和网关进行广播,抢占网络带宽并干扰正常通信。导致网络中的主机和交换机不停地更新自己的IP地址和MAC地址的映射表,浪费网络带宽和主机的CPU,使主机间不能正常通信。 　　2.4 DoS攻击 　　DoS(Denial of Service)即拒绝服务,造成DoS的攻击行为称为DoS攻击,是指攻击者通过消耗受害网络的带宽、消耗受害主机的系统资源,发掘编程缺陷,提供虚假路由或DNS信息,使目标主机或网络无法提供正常的服务或资源访问甚至系统崩溃。 　　DDoS(Distributed Denial of Service)即分布式