ARP攻击对网络安全危害及对策研究.doc

ARP攻击对网络安全危害及对策研究 　　摘要:近年来很多网络遭受ARP病毒的侵犯,ARP欺骗是一种典型的欺骗攻击类型,它利用了ARP协议存在的安全隐患,并使用一些专门的攻击工具,使得这种攻击变得普及并有较高的成功率。文中通过分析ARP协议的工作原理,探讨遭受ARP攻击时表现症状及原因,提出了ARP攻击检测与处理的办法和几种常规可行的解决方案。 　　关键字:ARP攻击;网络安全;对策 　　 　　近年来,许多网络用户访问互联网时断时续,出现上网速慢、上网不稳定的情况。究其原因,很可能是机器受到一种名为ARP欺骗木马程序(病毒)的攻击(ARP是“Address Resolution Protocol”“地址解析协议”的缩写)。ARP攻击往往导致计算机网络连接正常,却无法打开网页;或由于ARP欺骗的木马程序(病毒)发作时发出大量的数据包,导致用户上网不稳定,甚至网络中断,使网络安全受到极大的威胁,如何有效的防范ARP攻击是网络管理的重要内容。 　　1 ARP协议工作原理 　　ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址就是通过地址解析协议获得的,所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议主要负责将网络中的32位IP地址转换为对应的48位物理地址,即网卡的MAC地址,比如IP地址位网卡MAC地址为00-05-0F-ED-1D-5B。整个转换过程是一台主机先向目标主机发送包含有IP地址和MAC地址的数据包,通过MAC地址两个主机就可以实现数据传输了。 　　在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的。我们以主机A向主机B发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,网络上其它主机关不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应,并返回MAC地址,这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表。 　　2遭受ARP攻击时表现症状及原因 　　常见的ARP攻击主要包括网关劫持和双向的ARP欺骗。网关劫持是指攻击主机仿冒网关发出ARP响应包,诱骗其它客户机以为攻击主机是网关,从而找不到真正的网关而无法上网。这种攻击最常见的是网络中某一台电脑中了ARP病毒,导致整个网络或者中毒电脑所在的网段不能上网,如果病毒在局域网中迅速扩散,大量的中毒电脑不断发送ARP广播包还可能导致整个网络中断。 　　2.1遭受ARP攻击时表现的主要症状 　　网络内用户会突然掉线,过一段时间后又恢复正常。 使用即时通讯工具软件(如QQ、MSN)时频繁断网,IE浏览器频繁出错。使用身份认证上网的用户,出现能够通过认证,但是无法上网的情况。计算机上网速度比正常时缓慢许多。 　　2.2遭受ARP攻击时表现的主要原因 　　原因之一:当局域网内某台主机感染了ARP病毒时,会向本局域网内所有主机发送ARP欺骗攻击,让原本流向网络中心的流量改道流向病毒主机,并通过病毒主机代理上网,因客户端具有防代理功能,造成受害者无法通过病毒主机上网。另由于病毒发作时发出大量数据包会将网络拥塞,大家会感觉上网速度越来越慢。中毒者同样如此,受其自身处理能力的限制,感觉运行速度很慢时,可能会采取重新启动,此时病毒短时间停止工作,大家会感到网络恢复正常。如此反复,就造成网络时断时续。 　　原因之二:局域网内有某些用户使用了ARP欺骗程序发送ARP欺骗数据包,致使被攻击的电脑出现突然不能上网,过一段时间又能上网,反复掉线的现象。 　　3 ARP攻击检测及处理 　　3.1 ARP攻击诊断方法 　　如果发现网络不正常,可以通过如下操作进行诊断: 　　点击“开始”按钮-选择“运行”-输入“arp -d”-点击“确定”按钮,然后重新尝试上网,假如能恢复正常,则说明此次掉线可能是受ARP欺骗所致。同时按住键盘上的“ ctrl ”和“ alt ”键再按“ del ”键,选择“任务治理器”,点选“进程”标签。察看其中是否有一个名为“ vktserv.exe ”的进程。假如有,则说明已经中毒。 　　3.2ARP攻击处理方法 　　中ARP病毒者:下载360卫士ARP防火