几种ARP地址欺骗防范方法比较 毕业设计.docVIP

目录 1．引言 1 1.1 问题 1 1.2 任务 1 2． ARP病毒介绍 1 2.1 ARP协议介绍 1 2.2 ARP欺骗攻击新的表现形式 2 2.3 ARP工作原理 2 2.4 ARP病毒分析 3 2.5 ARP通讯模式 4 2.6 ARP攻击类型 4 2.6.2 ARP欺骗 4 2.6.3 欺骗原理 5 2.6.4 两种情况 5 2.7 快速检测定位出局域网中的ARP病毒电脑 6 2.8 ARP协议的缺陷 7 2.9 常见ARP欺骗形式 7 3． 几种ARP地址欺骗防范方法 8 3.1 静态绑定 8 3.2 使用ARP防护软件 9 3.2.1 欣向ARP工具 9 3.2.2 Antiarp 13 3.3 具有ARP防护功能的路由器 14 3.4 一个简易的ARP防御 15 3.5基于ARP的DOS防御 17 3.6 防止ARP欺骗终极免疫 18 3.7利用批处理文件防御ARP攻击 19 3.8对以上几种ARP地址欺骗防范方法总结 22 3.9 防范ARP欺骗的一种算法 24 4.毕业设计的总结 25 5. 致谢 25 参考文献： 26 1．引言 1.1 问题 ARP地址欺骗是一类特殊的，一般木马(Trojan)病毒，不具备主动传播的特性，不会自我复制。但是由于其发作的时候会向全网发送伪造ARP数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。网络掉线，但网络连接正常，内网的部分PC机不能上网或者所有电脑不能上网，无法打开网页或打开网页慢，局域网时断时续并且网速较慢等。介绍 2.1 ARP协议介绍 ARP全称为Address Resolution Protocol，地址解析协议。所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。协议在局域网中，一台主机要和另一台主机进行通信，必须要知道目标主机的IP地址，但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的，只能识别其硬件地址即MAC地址。MAC地址是48位的，通常表示为 12个16进制数，每2个16进制数之间用“-”或者冒号隔开，如：00-0B-2F-13-1A-11就是一个MAC地址。每一块网卡都有其全球唯一MAC地址，网卡之间发送数据，只能根据对方网卡的MAC地址进行发送，这时就需要一个将高层数据包中的IP地址转换成低层MAC地址的协议，而这个重要的任务将由ARP协议完成ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。这时就涉及到一个问题，一个局域网中的电脑少则几台，多则上百台，这么多的电脑之间，如何能准确的记住对方电脑网卡的MAC地址，以便数据的发送呢？这就涉及到了另外一个概念，ARP缓存表。在局域网的任何一台主机中，都有一个ARP缓存表，该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。当这台主机向同局域网中另外的主机发送数据的时候，会根据ARP缓存表里的对应关系进行发送。由于现在的网络游戏数据包在发送过程中，均已采用了强悍的加密算法，因此这类ARP 病毒在解密数据包的时候遇到了很大的难度。现在又新出现了一种ARP欺骗攻击，与以前的一样的是，该类ARP欺骗攻击也是向全网发送伪造的ARP欺骗广播，自身伪装成网关。但区别是，它着重的不是对网络游戏数据包的解密，而是对于HTTP请求访问的修改。 HTTP是应用层的协议，主要是用于WEB网页访问。如果局域网中一台电脑S要请求某个网站页面，如想请求这个网页，这台电脑会先向网关发送HTTP请求，说：我想登陆 网页，请你将这个网页下载下来，并发送给我。这样，网关就会将页面下载下来，并发送给S 电脑。这时，如果A这台电脑通过向全网发送伪造的ARP欺骗广播，自身伪装成网关，成为一台ARP中毒电脑的话，这样当S电脑请求WEB网页时，A电脑先是好心好意地将这个页面下载下来，然后发送给S电脑，但是它在返回给S电脑时，会向其中插入恶意网址连接该恶意网址连接会利用MS06-014和MS07-017等多种系统漏洞，向S电脑种植木马病毒同样，如果D电脑也是请求WEB页面访问，A电脑同样也会给D电脑返回带毒的网页，这样，如果一个局域网中存在这样的ARP病毒电脑话，顷刻间，整个网段的电脑将会全部中毒沦为黑客手中的僵尸电脑首先，每台主机都会在自己的ARP缓冲区中建立一个ARP列表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址，如果有就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所