ARP欺骗攻击及其在校园网中处理对策.doc

ARP欺骗攻击及其在校园网中处理对策 　　[摘要]阐述arp欺骗攻击原理以及欺骗方式。并且详细阐述了校园网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和安全网关，让所有上网的流量必须经过病毒主机，从而造成网络瘫痪时的处理策略。 　　[关键词]ARP协议 ARP欺骗攻击 嗅探 网络阻塞 ICMP重定 　　中图分类号：TP3 文献标识码：A 文章编号：1671－7597(2008)0610055－01 　　 　　网络安全是一个永恒的话题，因为计算机只要与网络连接就不可能彻底安全，本文将针对ARP协议对网络安全的重要意义进行探讨。 　　 　　一、ARP欺骗原理 　　 　　ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。如主机A要发送数据给主机C，此时有恶意攻击者主机D要对主机A进行欺骗，那么当A去Ping主机C时，恶意攻击者主机D就会把C的MAC地址骗为自己的MAC地址，于是A发送到C上的数据包都变成发送给D的了。那么D正好接收了A发送来的数据包，于是嗅探成功。 　　由于D拦截了A发送给C的数据包，那么就会导致A与C连接不上，为了消除A的怀疑，此时D就要对拦截的数据包进行转发，这时D就扮演了一个中间人的角色。 　　做一个中间人，进行ARP重定向。打开D的IP转发功能，对于拦截的A的数据包重新转发给C，好比一个路由器一样。当然，D是不会直接发送ICMP重定向的。 那么D首先要对捕获到的A的数据包进行恶意修改然后再转发给C，而C接收了此数据包以后，完全认为是从A发送来的。于是C在毫不知情的情况下把发送的应答数据包又直接传递给所谓的A，那么此时D就可以再次对C进行ARP欺骗了。现在D就完全成为了A与C的中间桥梁，完全控制着A与C之间的通信。 　　 　　二、校园网中ARP攻击处理过程 　　 　　（一）故障现象 　　在校园上网时经常会有机器以前能正常上网，突然出现不能上网的现象（无法ping通网关），重启机器或在MSDOS窗口下运行命令ARP-d后，又可恢复上网一段时间。这是因为MAC地址冲突引起的，当带毒机器的MAC映射到主机或者路由器之类的NAT设备，那么全网断线，如果只映射到网内其他机器，则只有这部分机器出问题。这种情况多出现在同学们下载了带有恶意ARP病毒攻击的游戏等方面。其目的在于，该病毒破解游戏加密解密算法，通过截取局域网中的数据包，然后分析游戏通讯协议的方法截获用户的信息。运行这个病毒，就可以获得整个局域网中各个用户的详细信息，盗取用户帐号信息。下面我们谈谈如何进行临时处理。 　　（二）临时处理对策 　　步骤一，首先在网络正常运行时，进入MS-DOS窗口，输入命令：arp a 查看网关IP对应的正确MAC地址，将其记录下来。 　　注：如果已经不能上网，则先运行一次命令arp d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话），一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp a。 　　步骤二，如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令： arp s 网关IP 网关MAC 　　例如：假设计算机所处网段的网关为218.197.192.254，本机地址为218.197.192.1在计算机上运行arp a后输出如下： 　　C:\Documents and Settingsarp a 　　Interface: 218.197.192.1 --- 0x2 　　Internet Address Physical Address Type 　　218.197.192.254 00-01-02-03-04-05 dynamic 　　其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址，类型是动态（dynamic）的，因此是可被改变。 　　被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC，如果大家希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找做准备。 　　手工绑定的命令为： 　　arp s 218.197.192.254 00-01-02-03-04-05 　　绑定完，可再用arp a查看arp缓存， 　　C:\Documents and Settingsarp a 　　Interface: 218.197.192.1 --- 0x2 　　Internet Address Physical Address Type 　　218.197.192.254 00-01-02-03-04-05 static