浅析校园网ARP欺骗.docVIP

浅析校园网ARP欺骗 　　[摘 要] 本文介绍了一种危害校园网安全的攻击--ARP欺骗。主要论述了什么是ARP、ARP攻击的故障特征、ARP工作原理、ARP缓存表的命令提示符、ARP欺骗的种类和防范ARP欺骗的方法。希望和负责学校网络安全的同仁交流和学习,为学校网络的健康安全尽自己的一份力量。 　　[关键词] 校园网 网络安全 ARP欺骗 　　 　　随着计算机技术、通信技术和网络技术的迅速发展,各个学校建立了自己的校园网,虽然不断增加的网络资源极大的方便了广大师生,但网络资源的开放性也使校园网络系统受到攻击的机率更高了,而ARP欺骗是其中一种常见的网络攻击。下面我将结合工作实践谈谈ARP欺骗的一些常识及防范ARP欺骗的方法,希望能和校园网络维护同仁交流和学习。 　　一、什么是ARP 　　ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(也就是相当于OSI的第三层)地址解析为数据链路层(也就是相当于OSI的第二层)的物理地址(注:此处物理地址并不一定指MAC地址)。 　　二、ARP攻击的故障特征 　　如果校园网出现整体突然掉线,或者有不定时的部分机器掉线,再或者出现一台一台机器的掉线,而且一般情况下几种掉线都会自动恢复。那么可能肯定的是你的校园网受到了ARP欺骗攻击。 　　三、ARP工作原理 　　ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia――物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。 　　ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。 　　ARP协议的工作原理:在每台装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如图: 　　以主机A(192.168.3.5)向主机B(192.168.3.18)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标的MAC地址,直接吧目标的MAC地址写入帧里面发送就可以了;如果在ARP缓存表里面没有目标的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“ff-ff-ff-ff-ff-ff”,这表示向同一网段的所有主机发出这样的询问:“192.168.3.18的MAC地址是什么呀?”网络上的其他主机并不回应这一询问,只有主机B接受到这个帧时才向A作出回应:“192.168.3.18的MAC地址是1c-ba-35-2a-2b(如上表)。”这样,主机A就知道了主机B的MAC地址,就可以向主机B发送信息了。同时,它还更新了自己的ARP缓存表,下次再向B发送数据时,直接在ARP缓存表找就可以了。ARP缓存表采用老化的机制,在一段时间里表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询的速度。 　　四、ARP缓存表的命令提示符 　　ARP缓存表示可以查看的,也可以添加和修改。 　　在命令提示符下,输入“arp-a”就可以查看arp缓存表的内容了。 　　用“arp-d”可以删除arp缓存表里的所有内容。 　　用“arp-s“可以手动在arp表中制定ip地址与MAC地址的对应关系。 　　五、ARP欺骗的种类 　　ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 　　第一种ARP欺骗的原理是――截获网关