基于ARP协议攻击分析和防范策略探讨.docVIP

基于ARP协议攻击分析和防范策略探讨 　　[摘要]由于ARP协议自身设计上的不足，使得ARP协议在使用的过程中存在ARP攻击等网络安全问题。分析ARP攻击的几种方式，给出几种抵御ARP攻击的防范措施。 　　[关键词]ARP协议 MAC地址 ARP攻击 　　中图分类号：TP3文献标识码：A文章编号：1671－7597（2009）0220073－01 　　 　　随着计算机网络技术的发展，网络已经成为人们日常生活中不可缺少的部分。由于网络的开放性、资源的共享性等特点，各种对网络的攻击与破坏方式也逐渐增多。本文就针对较常见的一些利用ARP协议的漏洞对网络进行攻击的方式进行分析，并提出几种较有效的防范策略。 　　 　　一、ARP协议的工作特点 　　 　　ARP，全称Address Resolution Protocol，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。 　　IP数据包常通过以太网发送，以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，在通信过程中，必须把IP目的地址转换成以太网目的地址。这个以太网地址（MAC地址）就是通过ARP协议获得的。即ARP协议的作用是将网络中的IP地址解析为的MAC地址，以保证通信的顺利进行。 　　 　　二、ARP欺骗原理 　　 　　在网络中，每台计算机具有两个不同的地址：IP地址和物理地址（MAC地址），局域网内部的主机是根据MAC地址来通信的。ARP协议是根据目标主机的IP地址来获得其MAC地址，当IP数据包准备发送时，由数据链路层加上源MAC地址和目的MAC地址封装成以太网数据包发送出去，如果数据链路层不知道目的IP的MAC地址，它就向局域网广播一个ARP请求，报文给局域网中的每一计算机，只有具有此IP的主机收到这份广播报文才会向源主机回送一个包含其MAC的ARP应答报文，每个主机都有一个ARP高速缓存，存放了最近的IP-MAC映像，主机每隔一段时间或当收到ARP应答都会更新缓存。对大多数操作系统而言，如果收到一个ARP应答，它们不管自己是否在此之前曾发出ARP请求报文，都会自动更新自己的ARP缓存。因此，ARP协议的攻击方法最根本的途径，就是利用主机对ARP应答的无条件信任，篡改主机的ARP缓冲，从而实现各种攻击。比如，主机A发送报文给主机C，攻击者利用ARP欺骗将C的MAC地址映射为主机D，这样就把主机A发送给主机C的报文的发送给了攻击者所指定的一台主机D，而主机A却没有察觉。 　　 　　三、ARP协议的网络攻击方式 　　 　　（一）简单的欺骗攻击 　　攻击者通过发送伪造的ARP包来欺骗目标主机或路由器，让对方认为这是一台合法的主机，从而达到欺骗的目的。这种欺骗多发生在同一个网段内。 　　（二）中间人攻击 　　中间人攻击就是攻击者将自己的主机插入两个目标主机通信路径之间，截获并且转发双方的数据包，通过截获数据包，可以探测有价值的信息，破坏信息的机密性，甚至纂改信息的内容，并发出虚假信息，窃取或骗取用户的钱财和信息。 　　（三）基于ARP的DOS攻击 　　将ARP攻击和DOS（Denial of Service，拒绝服务）攻击相结合，这是一种新的攻击手段，也叫拒绝服务攻击。如果攻击者将目标主机ARP缓存中的MAC地址全部改为根本就不存在的地址，或者攻击者将大量ARP连接请求都发送到一台目标主机时，由于主机的处理能力有限，使网络中其他主机就无法与该主机进行通信，从而导致目标主机产生拒绝服务。 　　（四）更改主机IP 　　攻击者通过发出更改过的ARP报文，将一个错误的MAC地址强行映射到目的主机的IP地址，当系统检测到两个不同的MAC地址对应了一个IP地址，误以为网络中该IP地址已经被其他主机使用，Windows操作系统会弹出IP地址冲突的警告对话框，并使网络中断。 　　 　　四、ARP欺骗的防范措施 　　 　　分析基于ARP协议的攻击方法最根本的途径，就是利用主机对ARP应答的无条件信任，篡改主机的ARP缓冲，从而实现各种攻击。而在实际的网络运行当中，有很多用户不知道自己的计算机已经被欺骗攻击了，然后在不知情的情况下自己又对别的计算机发起攻击或进行ARP欺骗的。因此，对ARP的欺骗防范不仅要从技术上进行防范，也要从管理上进行防范。主要防范措施有以下几点： 　　1．检测自己主机的IP地址是否正在被其它机器挪用。主机定期向所在局域网发送查询自己IP地址的ARP请求报文，如果能够收到另一ARP响应报文，则说明该网络上另有一台机器与自己具有相同的IP地址。一旦发现攻击，应立即采取有效措施，解决被攻击主机的问题，以恢复网络的正常使用。 　　2．定期对计算机进行系统升级，