局域网中ARP欺骗攻击防御思路与实现.docVIP

局域网中ARP欺骗攻击防御思路与实现 　　摘要：介绍了局域网中经常出现的ARP（address resolution protocol）攻击的概念，说明了ARP攻击的原理及查找感染病毒的方法。结合实际情况列举了在局域网中实施多层次的防御措施，提出了静态ARP表绑定、交换机端口绑定、使用ARP软件防护以及VLAN和交换机端口绑定等综合解决方式，以解决因ARP攻击而引发的网络安全问题。 　　关键词：ARP欺骗；地址解析协议；局域网安全；物理地址 　　中国分类号：TP393.1文献标识码 ：A文章编号2013 　　0引言 　　ARP欺骗攻击是针对以太网地址解析协议的一种攻击技术[1]。这种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，使网络上某台计算机甚至全部计算机无法正常连接。目前这种ARP欺骗在局域网中非常活跃，某台计算机如果受到感染，会通过ARP欺骗获取网络中其他计算机的信息，造成其他计算机的通信故障。机器受到ARP攻击后就会出现掉包频繁、网速突然变慢，同时ping指令中数据流量很不稳定等现象。此前可正常上网的机器，突然出现可认证，却不能上网的现象，重启机器或在MSDOS窗口下运行ARP-d命令后，又可恢复上网一段时间。这就使得在局域网中，如果有一台计算机受到了感染，就会影响整个局域网的网络运行，甚者会使整个网络瘫痪。 　　1ARP欺骗攻击的原理及防护 　　1.1ARP与MAC 地址 　　ARP即地址解析协议，是获取物理地址的一个TCP/IP协议[23]。在以太网中，数据传输的目的地址和源地址的正式名称是 MAC 地址。MAC地址也称物理地址，用来定义网络设备的位置，是厂商向IETF等机构申请用来标识厂商的代码，被称为“编制上唯一的标识符”。 　　在ARP缓存表中的IP地址与MAC地址是相对应的，如表1所示。 　　1.2故障原理 　　2查找感染病毒主机 　　当发现上网明显变慢或者经常性突然断网时，可以用arp命令来检查ARP表：点击“开始”按钮-选择“运行”-输入cmd命令，点击确定按钮，在窗口中输入arpa命令，如果发现网关的MAC地址发生了改变，或者发现有很多IP指向同一个物理地址，那肯定就是ARP欺骗所致。 　　如何查找MAC地址：在win9x系统中，点击“开始-程序-MSDOS”或者在开始-运行中输入“winipcfg”，在win2k/xp系统中，点击开始-运行中输入“cmd”进入MSDOS，然后输入ipconfig /all，会出现如图1中所示的对话框。图1查找MAC地址操作示意回车之后出现如图2所示的对话框。如图2所示，我们会看到以下信息，其中的“Physical Address”就是所查的MAC地址，“IP address”是所查的IP地址。通过查询IPMAC对应表，就能查出病毒主机的IP地址。 　　3.1静态ARP表的绑定 　　关于随意修改IP地址造成冲突的问题，可以在作为网关的路由器上进行IP地址的绑定，在配置路由器时，路由器通过arp协议生成IPMAC动态对应表，根据静态的ARP表检查数据包，不能对应的就不进行数据转发。这样在非法用户不修改MAC地址的前提下，就阻止了冒用IP地址跨网段的访问，进入“MSDOS”，在命令提示符下输入命令：ARPsIP地址MAC地址，就可把MAC地址和IP地址捆绑在一起。 　　用一台机器举例说明，首先查看机器的MAC和IP地址，然后输入命令：ARP s 10.64.73.36 00EO4C4E4B8F，这样IP地址为10.64.73.36与MAC地址为00EO4C4E4B8F的计算机被绑定，这台主机可以有效地受到保护，防止局域网被ARP病毒攻击。 　　3.2交换机端口绑定 　　利用智能交换机的物理地址与交换机端口绑定功能（交换机端口绑定命令：arp static ip mac），可以有效地解决非法修改物理地址适应路由器中静态ARP表的问题。智能交换机有端口地址过滤模式，可以设定只具有允许合法物理地址的终端通过此端口对网络进行访问，其它不在设定范围内的终端将不被允许访问网络。要真正消除ARP攻击的隐患，必须从局域网的核心，即交换机下手。由于任何ARP包都必须经由交换机转发才能达到被攻击目标，只要交换机拒收非法的ARP包， ARP攻击就不能造成任何影响。在每台接入交换机上实现ARP绑定，并且过滤掉所有非法的ARP包。限制病毒机器传播数据包，在局域网内消除了ARP攻击[56]。 　　利用交换机等设备具有管理端口及节点的MAC地址功能的特点，将网络进行分段。该交换机知道所连主机的MAC地址，并将这些MAC地址及其对应的端口保存在内部表格中。当某个端口接收到ARP数据包时，交换机就会将包中记录的源地址与端