校园网ARP欺骗分析与防范检测技术.docVIP

校园网ARP欺骗分析与防范检测技术 　　摘要:地址解析协议(ARP)是建立在友好通信、充分信任基础上的协议,很容易受到攻击。如何防范校园网络流行的ARP欺骗攻击,已成为网络管理员与用户高度关注的问题。该文介绍ARP协议工作机制、协议安全漏洞, ARP欺骗攻击原理和现象,然后从用户和网络管理人员的角度入手,提出了多种ARP欺骗的防治方法并分析这些方法的优缺点及适用范围。 　　关键词:校园网;ARP;ARP欺骗;防范;检测 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)13-3364-03 　　 　　1 引言 　　各个高校都纷纷建立了自己的局域网方便师生使用校园网特色资源。高校校园网主机规模庞大,用户以学生为主,对互联网上各种文件进行下载与应用(其中很多软件未必安全)的用户也较多,使得高校校园网存在较多的安全隐患。其中ARP欺骗是最常见的一种病毒攻击方法, 直接的后果就是造成受攻击用户网络不稳定、上网速度特别慢或网络中断。因此如何防范ARP欺骗攻击,已成为网络管理员与用户高度关注的问题。 　　 　　2 ARP欺骗 　　2.1 ARP协议简介 　　ARP协议是地址解析协议(Address Resolution Protocol)的英文缩写,它是一个数据链路层协议,工作在OSI七层模型的第二层,它将网络层的IP地址映射到数据链路层的MAC地址,以便将IP报文封装成以太帧发送,达到通过IP地址访问以太网的目的。 　　在局域网中,一台主机要和另一台主机进行通信,必须要知道目标主机的IP地址,但是以太网中传输的数据包是以太包,其寻址是依据其首部的物理地址(MAC地址) 。因此仅仅知道某主机的逻辑地址( IP地址)并不能发送数据给目标主机。在网络数据链路层中传输的是“帧”,帧里面就有目标主机的MAC地址,是通过地址解析协议获得的。 “地址解析”是指主机在发送帧前将目标主机IP地址转换成目标主机MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址查询其MAC地址,使两者之间建立了一种对应关系,从而保证通信的顺利进行。对这种对应关系的查询基于ARP缓存表。在局域网的任何一台主机都在自己的ARP缓冲区中建立一个ARP缓存表,该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。 　　2.2 ARP协议漏洞分析 　　ARP协议是建立在各主机之间的相互信任的基础上的,因此存在一些安全问题: 　　1) 主机ARP缓存表是动态更新的。假冒者就可以在下次更新之前成功地修改被攻击机器上的地址缓存进行假冒活动。 　　2) ARP请求以广播方式进行。使网内机器都可以收到请求。攻击者就可以用包含伪造信息的应答包与广播者真正要通信的机器竞争。 　　3) 机器可以随意发送ARP应答包。由于ARP协议是无状态的,只要应答包是有效的,接收到ARP应答包的主机不会检查自己是否发过请求包就无条件地根据应答包的内容刷新本机高速缓存[1]。 　　4) ARP应答无需认证。局域网中主机间通信是相互信任的,没有考虑传输的安全问题,在使用ARP协议时,无需认证,只要是收到来自局域网的应答包,就根据其信息刷新本机ARP缓存[1]。 　　2.3 ARP欺骗攻击时的主要现象 　　在局域网中,原本可以正常上网的计算机,当被ARP病毒攻击后,常常出现以下不正常的现象:使用身份认证上网的用户,能够通过认证,但不能正常上网(无法ping通网关);网络时断时续、反复掉线,或突然不能上网,过段时间又能上网,上网速度变慢、IE浏览器频繁出错无法打开网页;在IP地址设置正常的情况下,可能电脑会显示“IP地址冲突”或者IP地址设置被更改;重启计算机或在MS-DOS窗口下运行命令ARP-d后,又可恢复上网一段时间[2]。 　　2.4 ARP欺骗攻击的常用方法 　　攻击者利用ARP协议的弱点进行阻止或破坏双方通信、数据包的转发、网络信息的截获以及拒绝服务等攻击活动,攻击者通常采用以下手段: 　　1) 阻止或破坏局域网内通信 　　在正常情况下ARP缓存表里保存了正确的IP地址与MAC地址对,保证了数据传输的一对一性.但当感染了病毒(木马)后,机器就会以伪造的IP地址和MAC地址通过单播或广播形式不断向同一子网的其它机器发送假冒的ARP请求包或者ARP应答包,散播虚假的IP、MAC映射关系,冒充网关欺骗同一网段的其他主机、冒充同一网段其他主机欺骗网关、冒充另一主机欺骗同一网段的其他主机、冒充不存在主机将用户数据导向不存在的地址等,使内网PC机的ARP表混乱,欺骗网络中主机的正常通信。E网关(交换机或路由器)无法接受到联网主机的MAC,更新不了网关ARP表,就无法转发数据帧。这样将破坏内网中的主机和路由交换设备ARP 高速缓