ARP协议概述及局域网内预防与处理ARP攻击方案.docVIP

ARP协议概述及局域网内预防与处理ARP攻击方案 　　中图分类号：TP393 文献标识码：A 文章编号：1003-2738（2011）11-0243-01 　　 　　 摘要：ARP协议是“Address Resolution Protocol”的缩写，将目的主机的IP地址转换成目的主机的硬件地址才能互相通信。它能够将不同的OSI模型中的不同层的协议最终解释成硬件地址，正是由于ARP完成的是将IP地址转换成以太网的硬件地址，所以它是必不可少的最后一步。ARP协议同样也应用到其他的不是基于以太网的网络中，比如Token Ring、FDDI或者IEEE 802.11。 　　 关键词：ARP；硬件地址；IPV4；以太网；OSI层 　　 　　 国家计算机病毒应急处理中心对互联网监测发现，近期一些校园网、小区网、企业网以及网吧等局域网中的计算机系统受到一种“地址解析协议欺骗”(简称ARP欺骗)的恶意木马程序的入侵，当有ARP木马程序入侵局域网中的计算机系统时，木马会截获所在本网段络中所有计算机之间的通信信息，导致该网段经常性掉线，主机IP地址冲突， IE浏览器出错以及软件出现故障等问题，这是因为MAC地址冲突引起的，当带毒机器的MAC映射到如路由器、防火墙之类的NAT设备，导致全网断线；如果只映射到某网段内的计算机，则只有这部分机器出问题。 　　 一、ARP协议概述 　　 （一）什么是ARP协议 　　 局域网按OSI模型的层次分属于第二层数据链路层，在局域网中传输的是“帧”，而帧里面包含目标主机的MAC地址的。一个主机要和另一个主机进行通信，最终要知道目地主机在网络上的唯一地址，它们是以48位以太网地址传输以太网数据包。因此，必须把目的IP的地址转换成以太网目的地址。这个目地MAC地址是如何获得的呢？它就是通过ARP协议获得的。 　　 （二）ARP协议的工作原理 　　 在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，在Windows中可以在“运行”―“CMD”―“arp ?a”查看如图1的IP地址与MAC地址的一一对应关系。 　　 　　 图1 MAC地址和IP地址的一一对应 　　 以主机A（172.16.1.254）向主机B（172.16.1.252）发送数据为例。主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址加入到要发送的帧里面；如果没有，主机A就会在本网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，网络上其他主机并不响应ARP询问，只有主机B向主机A做出的回应：“172.16.1.252的MAC地址是00-C0-9F-3E-E2-1D”。这样，AB之间就能传递数据了。同时它还更新了自己的ARP缓存表。 　　 二、ARP攻击类型和中毒的反应 　　 （一）常见ARP攻击类型 　　 （1）ARP扫描（ARP请求风暴） 　　 通讯模式为：请求 - 请求 - 请求 - 请求 - 请求 - 请求 - 应答 - 请求 - 请求 - 请求… 　　 在这种情况下，网络中出现大量ARP请求广播包，几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播会极大的浪费网络带宽资源。 　　 （2）ARP无请求应答(ARP欺骗) 　　 ARP欺骗是黑客常用的攻击手段之一，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 　　 第一种ARP欺骗――截获网关数据。它通知有路由功能的设备一系列错误的局域网MAC地址，并按照一定的频率不断进行，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。 　　 第二种ARP欺骗――伪造网关。一台主机建立成假网关，被这个假网关欺骗的主机向外传递数据时，不是通过正常的路由器途径上网，而其他计算机就上不了网了。 　　 三、预防ARP病毒和查找感染了ARP病毒的主机的办法 　　 在现今的网络上，各种病毒木马层出不穷，针对系统漏洞不断演变升级出许多的变种，在新的变种出来的一段时间内，普通用户很难将防御工作做得很好，这时很有可能受到ARP病毒的攻击。若在第一时间内发现和清除了ARP病毒，就能降低使用者数据泄漏的危险。一是可以在核心交换机上配置ACL策略，可以在源头上关闭ARP蠕虫病毒常用端口，二是可以在交换机上将IP地址和MAC地址进行绑定。查找感染了ARP病毒的主机一般使用Sniffer等抓包工具，监视ARP协议包，能在第一时间找到该病毒主机。 　　 （一）在交换机上配置的ACL 　　 目前ARP蠕虫病毒是当前网络最大的危害，是造成当前很多网络堵塞的重要原因。它具有比较明显的扫描和连接特征，为了尽量减少ARP蠕虫病毒在网络上的传