校园网ARP攻击防范.docVIP

校园网ARP攻击防范 　　随着信息技术的发展，特别是现代高速网络技术的快速推进，各大高校对互联网的应用更加广泛。很多新的应用技术也在不断地开发并投入应用之中。但是科技从来都是“矛盾”并行的，新技术可以让我们感受到科技带来的便利，同时也会给我们“附送”新的烦恼。在我们越来越依赖互联网的时候，网络攻击的问题也更加突出。对于校园网来说，ARP攻击就是一个挥之不去的梦魇。 　　ARP攻击又称为“ARP欺骗”，这种攻击往往被加载到木马和病毒程序上，在校园网内快速扩散，严重干扰了校园网正常运行。ARP攻击的具体表现为：在使用校园网时经常突然掉线，过一会儿网络又可能恢复，这种现象频繁出现。如果重新启动计算机或者在命令提示符下键入“arp-d”，暂时又可以恢复网络的使用，如此周而复始。ARP攻击一般较为顽固，在一个网络中只要一台电脑有ARP病毒程序，就会导致整个网络出现间歇性中断，甚至整个网络瘫痪，危害特别大，前一段时间，各大校园网都受到不同程序的攻击。ARP攻击由于附着于木马之上，经常还兼有盗取用户QQ密码、游戏账号，以及网上银行账号等行为，给用户带来了不便甚至造成了经济损失。 　　鉴于ARP攻击的危害极大，对于ARP攻击的防范在校园网的应用中就为一种常规任务了。我院在遭受ARP攻击后，采用相关技术积极应对，大大减少了ARP攻击的成功率，确保了学院校园网的正常运行。下面我就我院出现的ARP攻击现象简单分析ARP攻击的过程和相应的对策。 　　1.ARP协议及ARP攻击原理及攻击方式 　　1.1ARP协议简介 　　ARP协议是Address Resolution Protocol地址解析协议的缩写。是一种将IP地址转化成物理地址，即MAC地址的协议，在TCP/IP局域网中以帧的方式传输数据。并且根据帧中目标主机的MAC地址来进行寻址。在TCP/IP网络中，一台主机与另一台主机进行直接通信，就必须要知道目的主机的MAC地址。这个目的MAC地址就是通过ARP协议获取的。地址解析就是主机在发送帧前将目的主机的IP地址转换成目的主机MAC地址的过程。这样即可实现各主机间的通信。 　　1.2ARP协议的工作方式 　　ARP在同网段和不同网段的工作方式略有不同。 　　在同网段内：源主机若要向目的主机发送信息，首先会查看本机的缓存表，确定其中是否包含有目的主机对应的ARP表。如果有目的主机对应的MAC地址，则直接利用ARP表中的MAC地址，对IP数据包进行帧封装，并将数据包发送给目的主机。如果在本机中没有找到目的主机对应的MAC地址，则将缓存该数据报文。然后以广播方式发送一个ARP请求报文。由于ARP请求报文以广播方式发送，该网段上的所有主机都可以接收到该请求。但只有被请求的目的主机会对该请求进行处理，其他主机会自动丢弃这个请求报文。而目的主机会比较自己的IP地址和ARP请求报文中的目标IP地址。如果相同则将ARP请求报文中的源主机的IP地址和MAC地址存入自己的ARP表中，之后以单播方式发送ARP响应报文给源主机。源主机在收到ARP响应报文后会将目的主机的MAC地址加入到自己的ARP缓存表中，用于后续报文的转发。同时将IP数据包进行封装后发送出去。 　　在不同网段中：源主机在确认与目的主机不在同一个网段时，就会先向网关发出ARP请求报文，从收到的响应报文中获得网关的MAC地址后，将报文封装并发给网关。如果网关已经有目的主机的ARP表项，网关直接把报文发给目的主机；如果网关没有目的主机的ARP表项，网关会广播ARP请求。目标IP地址为目的主机的IP地址。当网关从收到的响应报文中获得目的主机的MAC地址后，就可以将报文发给目的主机，同时将目的主机的IP地址和MAC地址存入ARP缓存表中，以后再进行数据交换时，只需直接从缓存表中读取映射条目就可以了。 　　1.3ARP攻击的工作方式 　　从ARP协议的工作方式可以看出，由于网络中各主机是建立在互相信任的基础之上，协议本身考虑更多的是稳定性和高效性，所以ARP协议是一个高效的数据链路层协议。但是也存在如下的缺陷：ARP高速缓存根据所接收到的ARP协议包随时进行动态更新；ARP没有连接的概念，任意主机即使在没有ARP的时候也可以做出应答；ARP协议没有认证机制，只要接收到的协议包是有效的，主机就无条件地根据协议包的内容刷新本机ARP缓存，并不检查该协议包的合法性。因此攻击者可以随时发送虚假的ARP包更新被攻击主机上的ARP缓存，进行地址欺骗或拒绝服务攻击。 　　ARP的攻击主要分为两种形式：一种是截获网关数据，这种方法是攻击者通知网关一系列错误的内网MAC地址，并按照一定的频率不断进行改善，使真实的地址信息无法通过更新保存到网关的路由中，结果造成网关的所有数据只能发送给错误的MAC地址，造成正常的主机无法收到信息，