局域网ARP欺骗分析和防御.docVIP

局域网ARP欺骗分析和防御 　　摘要随着计算机网络的发展和普及,局域网已成为人们工作不可缺少的组成部分,同时由于网络协议存在很多安全漏洞,导致网络木马和病毒的快速传播。通过对ARP协议内容、工作原理和协议漏洞的介绍,说明了ARP欺骗的原理和危害,展示了局域网诊断和防御ARP欺骗的重要性。 　　关键词局域网;ARP协议;ARP欺骗 　　中图分类号TP309文献标识码A文章编号 1007-5739(2010)06-0048-02 　　 　　随着信息技术的快速发展和日益普及,信息网络已成为人们学习、生活、工作中的重要组成部分,在日常业务中发挥着极其重要的作用,但同时由于网络的开放性、共享性,网络中存在很多不安全因素,网络安全问题也越来越引起人们的关注[1-2]。在众多不安全因素中,基于ARP欺骗的网络木马和病毒对网络的安全影响也越来越大[3]。该文对ARP协议内容、工作原理进行介绍,对ARP协议漏洞和ARP欺骗原理进行说明,并对ARP欺骗的日常诊断和预防进行解释。 　　1ARP协议 　　1.1ARP协议内容 　　ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面有目标主机的MAC地址。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址,其一般通过地址解析协议获得。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。 　　1.2ARP工作原理 　　ARP工作分为局域网和跨网段2种,下面将局域网ARP工作原理(图1)介绍如下。 　　局域网内每台主机会在自己的ARP缓冲区建立1个ARP列表,以表示IP地址和MAC地址的对应关系,主机A在传输数据前,首先要对初始数据进行封存,在这个过程中,会把目的主机B的IP地址和MAC地址封存进去,在通讯最初阶段,主机A只知道目的主机B的IP地址,而不知道MAC地址。主机A首先将数据包中的目标IP地址在本地的ARP地址转换表中寻找对应的MAC地址,如果有对应的地址,则直接根据找到的MAC地址转发数据包。如果没有,则通过广播方式发送1个含有目标主机B的IP地址,被称为ARP请求的以太帧到局域网的其他主机,请求含有该IP地址的主机回复需要的MAC地址信息数据包。局域网中的目标主机B在收到广播帧后,就以1个ARP应答包的方式回复主机A,该应答包中含有IP地址与MAC地址的对应表。主机A在收到应答包后,就可以根据IP地址与MAC地址的对应表发送数据包。 　　2ARP欺骗 　　2.1 ARP协议漏洞 　　ARP协议虽然是一个高效的数据链路层协议,但是由于其设计前提是在网络绝对安全和信任的情况下进行的,因此ARP协议存在着设计缺陷,主要表现在以下方面: 　　(1)局域网内主机间的通信是相互信任的,出于传输效率上的考虑,ARP协议无需认证。只要收到局域网内的ARP应答包,就将其中的MAC/IP协议刷新到本机的高速缓存中,就被当做可信任的主机,而没有检验其真实性的机制,使得几个IP地址可以映射到同一物理地址上,这是ARP协议的一个安全隐患。 　　(2)主机地址映射表是基于高速缓存动态更新的。这是ARP协议的特色之一,但也是安全问题之一。由于正常的主机间MAC地址刷新都是有时限的,这样假冒者如果在下次更新前成功地修改了被攻击机器上的地址缓存,就可以进行假冒或拒绝服务攻击。 　　(3)ARP请求以广播方式进行。这个问题是不可避免的,因为正是由于主机不知道通信对方的MAC地址,才需要进行ARP广播请求。这样,攻击者就可以伪装ARP应答,与广播者真正要通信的机器进行竞争,还可以确定子网内机器什么时候会刷新MAC地址缓存,以确保最大时间限度地进行假冒。 　　(4)任何ARP响应都是合法的,ARP应答无需认证。由于ARP协议是无状态的,ARP协议并未规定主机在未收到查询时就不能发送ARP响应包,任何主机即使在没有请求的时候也可以做出应答,而且许多系统都会接受未请求的ARP响应,并用信息篡改其缓存,这是ARP协议的另一个隐患。 　　2.2ARP欺骗原理 　　ARP协议是在网络绝对安全和信任的情况下进行工作的,因此在局域网中,不存在对ARP报文的真实性校验,也就无法识别出伪造的ARP报文,同时由于没有请求的ARP报文同样能被系统所接受,并刷新目标系统的缓存,而系统在进行ARP解析之前是以系统缓存不存在为前提的,当有ARP响应报文不停地刷新缓存的时候,系统就不会主动地发出ARP请求,这就使得对ARP缓冲区进行欺骗成为一种可能。 　　ARP欺骗就是利用ARP协议的设