校园网ＡＲＰ欺骗攻击的解决方案研究.docVIP

校园网ＡＲＰ欺骗攻击的解决方案研究 　　摘要:该文通过对目前高校校园网广泛存在的ARP欺骗技术的分析,提出一种针对ARP欺骗的应对解决方案。 　　关键词:ARP欺骗;IP路由;协议;拒绝服务 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)24-6869-02 　　 　　ARP即地址解析协议(Address Resolution Protocol)是局域网中最基本也是最重要的一种协议,局域网使用ARP是将IP地址转化为物理地址(MAC)的一种协议。ARP工作在TCP/IP协议的链路层,将网络层(IP层,也就是相当于ISO OSI的第三层)地址解析为数据链路层(MAC层,也就是相当于ISOOSI的第二层)的MAC地址。它靠维持在内存中保存的一张表(ARP 表)来支持MAC地址和IP地址之间的对应关系。 　　 　　1 ARP的工作原理 　　 　　在TCP/IP参考模型中,IP地址只是主机在网络中的逻辑地址,若将网络层中传输的数据报交给目的主机,必须知道该目的主机的物理地址(MAC地址),这是因为二层的以太网交换设备并不能识别32位的IP地址,而是以48位的物理地址(MAC地址)传输以太网帧的;因此IP地址与MAC地址之间就必须存在一种对应关系,并且计算机中应当存放这种对应关系的转换表,同时能够进行动态更新,而ARP协议就很好地解决了这些问题。 　　ARP协议的基本功能就是通过目的设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。当一个网络设备和另一个网络设备进行数据通信时,它首先把目的设备的IP地址与自己的子网掩码进行“与”操作,来判断目的设备与自己是否位于同一网段内。如果目的设备与自己在同一网段内,并且源设备没有获得与目的设备IP地址相对应的MAC地址信息,则源设备以第二层广播的形式(目标MAC地址为全1)发送ARP请求报文,在ARP请求报文中包含了源设备与目的设备的IP地址。同一网段中的所有其他设备都可以收到并分析这个ARP请求报文,如果某设备发现报文中的目标IP地址与自己的IP地址相同,则它向源设备发回ARP响应报文,通过该报文使源设备获得目的设备的MAC地址信息。如果目标设备与源设备不在同一网段,则源设备首先把IP分组发向自己的缺省网关(Default Gateway),由缺省网关对该分组进行转发。如果源设备没有关于缺省网关的MAC信息,则它同样通过ARP协议获取缺省网关的MAC地址信息。 　　 　　2 ARP的欺骗攻击原理 　　 　　在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如表1所示。 　　主机A(192.168.16.1)向主机B(192.168.16.2)发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP 地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC 地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2 的MAC 地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A 做出这样的回应:“192.168.16.2 的MAC地址是bb-bb-bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。 　　ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A 进行欺骗,A去Ping主机C却发送到了dd-dd-dd-dd-dd-dd那里。如果进行欺骗的时候,把C的MAC地