浅论ARP攻击原理与防范方式.docVIP

浅论ARP攻击的原理与防范方式 　　摘要：从ARP协议的定义和工作原理入手，分析了ARP的攻击原理与ARP的协议漏洞，指出了ARP攻击的现象并提出了一些防范的方式 　　关键词：ARP协议　攻击　防范 　　中图分类号：TP3　文献标识码：A　文章编号：1007-3973(2010)09-038-02 　　 　　近年来，ARP病毒在各级各类局域网中泛滥成了一个普遍的现象，特别是些诸如QQ、网络游戏等木马盗号病毒。这些病毒使得中毒局域网中的计算机掉线，严重影响了计算机的正常使用。虽然目前各类杀毒软件对ARP病毒都能进行一定程度的查杀，但病毒的更新传播速度也快。而且杀毒软件只能有效防护PC，对网关设备几乎没有保护作用。所以我们有必要从ARP协议的原理入手，找出切实有效的防范方法。 　　 　　1、ARP协议 　　 　　IP地址是局域网中计算机的标识，但MAC(MadiaAccessContr01)才在数据的网络传输中起到真正的地址作用。物理地址MAC地址一般是在生产过程中由厂家录制到网卡的EPROM中，每个计算机的网卡物理地址是唯一的。 　　计算机I要和计算机II通信，计算机I就一定要知道目标汁算机II的MAC地址。地址解析协议ARP(Address Res．olution Protoc01)，就是通过目标计算机II的IP地址来查询它的MAC地址，从而实现通信。 　　 　　2、ARP的工作原理 　　 　　这里可以举例说明：计算机I(IP地址：192.168.10.1)要向计算机II(IP地址：192.168.10.2)通信，第一步就是在本机的ARP缓存表中查询计算机II的IP地址所对应的MAC地址。如果能够找到计算机II的MAC地址XX-XX-XX-XX-XX-XX，就进行通信，如果没有查询到，那么计算机I就要运行一个广播请求．目标MAC地址是FF-FF-FF-FF-FF-FF。请求IP地址为192.168.10.2的计算机II告知其IP地址所对应的MAC地址。此时与计算机I和计算机II同处一个局域网的所有计算机都能收到这个ARP请求，但只有拥有该IP地址的计算机11会向计算机I发回一个ARP响应，告知其MAC地址。计算机I收到计算机II的回复后，会把自己的ARP缓存更新．再向计算机II的MAC地址发送数据。 　　 　　3、ARP的攻击原理 　　 　　同样举上面的例子．根据ARP协议，发送请求的计算机I(IP地址：192.168.10.1)在收到ARP应答时都会更新自己的ARP缓存，而不是仅在发送了ARP请求后才接收。所以，当同处一个局域网的计算机III(IP地址：192.168.10.3)仿冒目标计算机II的IP，即以192.168.10.2的IP地址向发送计算机I回复一个伪造的ARP应答YY-YY-YY-YY-YY-YY，即MAC地址YY-YY-YY-YY-YY-YY是计算机III虚构的，而IP却是计算机II的IP，此时计算机I同样会更新自己的ARP缓存，并认为IP地址并来改变，仍为192.168.10.2的汁算机II的MAC地址已经更改了，由XX-XX-XX-XX-XX-XX变为YY-YY-YY-YY-YY-YY。因为局域网中数据的流通是以MAC地址为基准的，所以这个改变了计算机I ARP缓存的不存在的MAC地址YY-YY-YY-YY-YY-YY就会造成网络堵塞，致使计算机I找不到目标计算机II，形成一个简单的ARP欺骗现象。 　　 　　4、ARP攻击的目的 　　 　　如果某局域网中有一台计算机III被ARP病毒攻击后．它就会欺骗同属一个局域网的所有的计算机及路由器，改变它们的上网路径，由以前的通过路由器上网改为通过中毒的计算机IⅡ上网，计算机m便控制了这个局域网，可以轻易的盗取诸如密码、帐户等私人信息。 　　 　　5、ARP协议的漏洞 　　 　　在设计ARP协议时，认定的前提是网络是绝对安全的。这也使得ARP协议存在着明显的缺陷。 　　(1)任何一台计算机的IP应答到发送计算机I的ARP缓存后，计算机I都会在检验其MAC地址的真实性前自动认定其是可信的。这样会造成多个IP地址拥有同一个MAC地址，这是ARP协议的首要缺陷。 　　(2)任何一台计算机做的ARP应答都没有经过认定而自动确定为合法，任何一台计算机在任何时候甚至没有收到请求的时候都可以应答，并且可以应答一个随意的哪怕事实上并不存在的MAC地址，这样会造成后续的局域网通信失败或者发送延时。 　　(3)计算机会一直响应局域网内的所有ARP请求，而且将应答的MAC地址改写为本局域网网关的物理地址。网关本身起到转发IP地址的作用，这就会使局域网内的数据传输都要在网关转发一次，使得网关负荷大幅增加，以致崩盘。 　　(4