校园网防护ＡＲＰ欺骗案例应用.docVIP

校园网防护ＡＲＰ欺骗案例应用 　　摘要：对校园网内存在ARP欺骗现象，利用DHCP Option 82应用与交换机防范技术相结合，实现用户IP与MAC地址自动绑定，有效控制了校园网内部ARP欺骗。 　　关键词：校园网；ARP欺骗；DHCP Option 82 　　中图分类号：TP309文献标识码：B文章编号：1009-3044(2008)21-30422-03 　　 　　The Campus Network Protection ARP Cheats an Application 　　SHI Xiang-bing 　　(Xinghai Conservatory of Music,Guangzhou 510006,China) 　　Abstract: Cheat the phenomenon to the campus net memory in the ARP, make use of the DHCP Option 82 application and exchange the machine to guard against the technique to combine together, carry out the customer IP and address of MACs to bind to settle automatically, controled the internal ARP of the campus network to cheat effectively. 　　Key words: The campus network;ARP cheats;DHCP Option 82 　　 　　1 引言 　　 　　经过多年的建设，大部分院校大体完成了校园网基础环境建设，将建设重点逐步转移到信息资源、应用服务上，网络安全事件的频繁发生，校园网的安全问题就凸显重要，特别是出现网络经常频繁掉线现象，个别用户计算机感染了某种ARP病毒影响了部分用户、甚至全部用户的网络正常使用，伴有ARP病毒伪装为应用服务器盗取用户信 　　息的情况。作者认为校园网引入Option 82技术实现ARP欺骗防护是一项可行的选择。 　　 　　2 ARP 欺骗原理分析 　　 　　IP数据包通过以太网发送，以太网设备不能识别32位IP地址，它们以48位MAC地址传输以太网数据。因此，必须把IP目的地址转换成以太网目的地址。主机之间要求通信，得要知道目标主机的MAC地址，只有通过地址解析协议获得，通过ARP协议用于将网络中的IP地址解析为硬件地址（MAC地址），才能实现主机之间通信的正常。ARP协议是“Address Resolution Protocol”的英文缩写，实现把IP地址解析成LAN硬件使用的媒体访问控制地址。 　　ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia―物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当校园网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于校园网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。 　　ARP病毒造成网络瘫痪的原因可以分为对路由器ARP表的欺骗和对内网PC的网关欺骗两种。 　　第一种必须先截获网关数据。它使路由器就收到一系列错误的内网MAC地址，并按照一定频率不断更新学习进行，使真实的地址信息无法通过更新保存在路由器中，造成的PC主机无法正常收到回应信息。第二种是通过交换机的MAC地址学习机制，当校园网内某台主机已经感染ARP欺骗的木马程序时，就会欺骗网内所有主机和路由器，