局域网内ARP攻击模拟及检测防御方法.docVIP

局域网内ARP攻击模拟及检测防御方法 　　摘要：工作在TCP/IP协议族中网络层的ARP（Address Resolution Protocol）协议是一个把网络层使用的32位的IP地址解析成数据链路层使用的48位的MAC地址的协议。该协议在设计的时候没有考虑必要的身份认证和鉴别机制，导致这一漏洞经常被黑客利用，对局域网的安全有效运作产生巨大威胁。使用Java网络和多线程编程模拟了局域网内的ARP攻击，实现了ARP攻击的检测，介绍了几种ARP攻击的防范方法。 　　关键词：ARP协议；ARP欺骗；攻击检测；攻击防范 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2018）01-0059-02 　　Abstract： The Address Resolution Protocol （ARP）， which works at the network layer of the TCP / IP protocol suite， is a protocol that resolves a 32-bit IP address used by the network layer into a 48-bit MAC address used by the data link layer. The lack of essential authentication and identification mechanisms of its design generating its vulnerability which is often exploited by hackers， leading to a great threat to the safe and effective operation of the LAN.using Java network and multi-threaded programming to simulate the LAN ARP attacks， implements the detections of ARP attacks， and introduce several methods to prevent ARP attacks. 　　Key words：ARP protocol； ARP cheat； attack detection； attack prevention 　　1 概述 　　互联网的快速发展，让网络安全备受重视。在诸多网络安全隐患中，ARP攻击可谓是大名鼎鼎。ARP攻击的危害性很大，黑客们可以利用ARP攻击实现DoS攻击或中间人攻击，造成网络通信中断或数据被截取甚至是篡改，严重影响网络的安全。目前利用ARP进行攻击的木马病毒在局域网中广泛传播，给网络安全运行带来巨大隐患，是局域网安全的首要威胁[1]。 　　2 ARP协议概述 　　ARP协议工作在网络层，它的作用就是要把网络层使用的IP地址解析成数据链路层使用的硬件地址。以太网上的每一个设备都维持着一张最近IP地址到MAC地址的映射表，也叫ARP高速缓存[2]。 　　当以太网上的一个网络设备要和另一个设备进行通信时，会先查看自己的ARP缓存里是否存在目的IP地址和某个MAC地址的映射，如果有，就使用该条记录，否则，该设备就会通过ARP协议来获得目的MAC地址。其过程是：该设备会广播ARP请求分组，局域网内的每一个设备都会接收到该ARP请求报文。当一个设备接收到一个ARP请求报文时，它的做法是：1）先取出该报文的源IP地址和源MAC地址，看自己的ARP缓存中是否有这样的映射，如果有的话，就更新该条记录的计时器；如果没有，就新增一条记录。2）查看该报文的目标IP地址是否就是自己的IP地址，如果是，就向报文的发送者单播一个ARP响应报文；如果不是，就丢弃该报文。3）ARP请求报文的发送者在接收到ARP响应报文时，就把目标设备的IP地址和硬件地址的映射写入自己的ARP缓存中。 　　3 ARP攻击原理和攻击模拟 　　3.1 ARP攻击原理 　　ARP协议是建立在信任局域网内所有节点的基础上，网络上的设备可以自主发送ARP应答分组，其他设备收到应答分组时不会检测该报文的真实性就会将其加入或是更新本机ARP缓存[3-5]。由此攻击者就可以向某一设备发送伪造的ARP应答报文，来达到让被攻击对象发送的信息无法到达预期的设备或到达错误的设备，这样就构成了一个ARP欺骗攻击。 　　3.2 ARP攻击模拟 　　3.2.1 攻击模拟流程 　　ARP攻击模拟的工作流程如图1所示，描述如下： 　　（1） 手?邮淙胍?攻击的两个设备的IP地址。输入IP地址后，会校验输入的IP地址是否有效。 　　（2） 如