校园网中对ARP攻击防范.docVIP

校园网中对ARP攻击防范 　　 【摘要】人类社会自从进入信息时代后，对计算机网络的依赖性越来越高，遭受的网络攻击也越来越多。ARP攻击这种局域网不容防范的攻击技术对校园网的影响也日趋严重。通过在局域网计算机中安装ARP防火墙软件以及对接入交换机进行相关设置，可以有效防范ARP攻击，保障校园网络的正常运行。 　　【关键词】ARP攻击；地址解析；地址绑定 　　 　　 　　一、引言 　　随着网络的快速发展，网络的规模越来越大，人们对网络的使用也越来越多，随之而来的各种网络攻击行为也在急剧增加。2011年1月发布的《第27次中国互联网络发展状况统计报告》中显示，截至2010年12月，有92.7%的中国中小企业接入了互联网，规模较大的企业中互联网得接入比例已经接近100%。同时有2.09亿人遇到过病毒或木马攻击，占到网民总数的45.8%。为了提高企业的安全防护水平，在接入互联网得中小企业中，有91.7%的中小企业安装了杀毒软件，有76.5%的中小企业加装了防火墙。虽然这些措施可以防范大部分病毒和木马的攻击，但是对ARP攻击却有点无可奈何。 　　中小企业内部基本都拥有规模不等的局域网，ARP攻击对局域网的影响非常大。ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，甚至可能带来整个网络的瘫痪。更严重的是，它还可以窃取用户密码。如盗取QQ密码、各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等。校园网作为一种局域网，同样面临ARP攻击的威胁。 　　ARP攻击对局域网的威胁这么大，那么什么是ARP攻击，它又是如何实现的？ 　　二、ARP攻击及其原理 　　1、故障现象 　　某一日学校机房管理员向笔者反映某机房内的所有计算机突然不能上网了。进入机房实地检查后发现，计算机可以使用锐捷客户端通过认证，但是却无法连接到互联网。据在机房上机的学生讲，刚开始是可以上网，但过一会就打不开网页了。于是笔者将机房内所有计算机关机，然后再单独启动一台计算机，这时可以通过锐捷认证并上网。但是当所有计算机启动之后，很快整个机房又无法上网了。于是笔者判断机房内某台计算机感染了ARP病毒，从而??成整个机房网络遭受了ARP攻击。 　　2、ARP攻击的概念 　　ARP攻击是针对以太网地址解析协议（ARP）的一种攻击技术。这种攻击可让网络上特定计算机或所有计算机无法正常连接，造成网络的拥塞甚至瘫痪。 　　3、ARP攻击原理 　　ARP攻击利用ARP协议的不足实现其攻击目的。ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“数据帧”。数据帧里面是有目标主机的MAC地址的（以太网数据帧结构如图1所示，目的地址和源地址都是使用的MAC地址）。在以太网中，一台计算机要与另一台计算机进行直接通信，必须要知道目标主机的MAC地址。但是目标主机的MAC地址却不是一开始就知道的。它是通过地址解析协议（即ARP协议）获得的。所谓“地址解析”就是计算机在发送数据帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。计算机会将查询到的MAC地址及其对应的IP地址用一个ARP高速缓存存放起来。 　　由于ARP是个早期的网络协议，早期的互联网采取的是信任模式，在科研机构、大学内部使用，追求的是功能和速度，所以对网络安全考虑的很少。尤其是以太网的洪泛特点，能够很方便的用来查询。但就为日后的黑客开了方便之门。 　　默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此，只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。正是因为ARP协议有这样的特点，所以在局域网中，黑客通过监听ARP Request广播包，能够偷听到其它节点的（IP，MAC）地址，然后黑客就可以利用偷听到的信息伪装为某计算机节点A，告诉计算机节点B（受害者）一个假地址，使得B在发送给A的数据包都被黑客截取，而A、B却浑然不知。 　　如果攻击者持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。 　　后来，有人利用这一原理，制作了一些所谓的“管理软件”。例如网络剪刀手、执法官、终结者等。有些人使用这些软件的目的不一定是用于管理，而是以恶意破坏为目的，这样就导致了ARP恶意攻击的泛滥。再后来病毒木马程序也加入了ARP攻击的行列。盗号程序就是为了窃取用户帐号密码数据而进行的ARP欺骗。 　　ARP攻击主要是存在于局域网中。如果局域网中有一台计算机感染ARP木马，则计算机将