局域网ARP欺骗与攻击主要特点及解决方式.docVIP

局域网ARP欺骗与攻击主要特点及解决方式 　　摘要 对局域网频繁发生的ARP欺骗的问题进行论证,分析常见的几种ARP欺骗和攻击方式,讨论通过IP-MAC双向绑定等方式,从客户端、网关等多个方面提出防御和解决ARP攻击的多种方法,以达到维护局域网络安全的目的。 　　关键词 ARP欺骗;IP-MAC双向绑定;网络安全 　　中图分类号TP39 文献标识码A 文章编号 1674-6708(2010)25-0205-02 　　 　　1 ARP协议的定义及功能 　　ARP协议(Address Resolution Protocol),或称地址解析协议。ARP协议用于将计算机的网络地址(IP地址32位)转化为物理地址(MAC地址48位)。ARP协议是属于链路层的协议,在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址(硬件地址或称MAC地址)来确定接口的,而不是根据32位的IP地址。内核(如驱动)必须知道目的端的硬件地址才能发送数据。MAC地址(硬件地址或称以太网地址)即网卡物理地址都是固化在网卡中的,而IP地址所要转化的物理地址就是网卡的物理地址。 　　在网络传输中数据包的单位我们称之为 “帧”(Frame),“帧”数据是由两部分组成的:帧头和帧数据。帧头包括接收方主机物理地址的定位以及其它网络信息。在以太网中,两台主机间假如要进行通信,就必须事先知道对方的MAC地址。ARP协议的基本功能就在于此,它将目标设备的IP地址,通过ARP映射表转换成为MAC地址。每台安装有TCP/IP协议的计算机主机里都有一个ARP缓存表,表中的IP地址与MAC地址是一一对应的,如下表所示: 　　2 ARP欺骗和攻击方式 　　ARP缓存表进行更新一个最大的缺点从来不验证收到的的真伪,也就是说从来不会去验证自己是否曾经发送过这个ARP请求,一般收到ARP应答包后只是简单的将应答包里的MAC地址与IP映射关系替换掉原有的ARP缓存表里的相应信息,这个漏洞就为第三方进行ARP欺骗和攻击提供了可乘之机。一般的ARP攻击有以下几种: 　　1)拒绝服务攻击 　　拒绝服务攻击就是使目标主机不能响应外界请求,从而不能对外提供服务的攻击方法。如果攻击者向目标主机发送ARP应答包,将其ARP缓存映射表中的MAC地址全部改为根本就不存在的地址,那么目标主机向这个地址发送所有的数据都将丢失,这就使得上层协议忙于处理这种异常反应而无法响应其他外来请求,这就达到了攻击者所要达到拒绝服务的目的。 　　2)基于ARP的“中间人攻击” 　　中间人攻击是一种“间接”的入侵攻击方式。这种攻击是利用一定手段在两台或多台主机之间人为地加入一台透明主机,这台主机就称为“中间人”。例如A、C两台客户机通过交换机或者路由器进行通信,一般来说数据包只通过交换机或者路由器在A、C之间通信,A、C电脑中的ARP映射表中MAC地址都是对方的MAC地址,但如果黑客电脑B想要截获A、C之间通信,分别向A、C发送伪造的ARP应答包,将A、C电脑中的ARP映射关系都指向电脑B,那样A、C间的通信就通过B进行了,B就如愿以偿截获所有A、C间的通信数据了。由于网络的特殊性,“中间人”对于原通信双方是透明的,使得很难被发现,也就使得这种攻 击更加具有隐蔽性。 　　如果攻击者对一个目标主机与它所在局域网的路由器实施中间人攻击,那么攻击者就可以截取Internet与这个目标主机的之间的全部通信。 　　3 ARP 欺骗解决方案 　　3.1 DHCP结合IP-MAC双向绑定 　　要想彻底避免ARP欺骗的发生,我们需要让每台计算机的MAC地址与IP地址唯一且对应。虽然我们可以手动设置每台电脑 IP地址,但只是个治标不治本的方法。对于那些通过ARP欺骗进行非法攻击的用户来说,他只需要事先将自己的IP地址手动更改掉就可以了,这样检查起来困难就更大了。鉴于这种情况,这就需要进行 IP 与 MAC 的双向绑定,也就是说,不仅要在网关的交换机处静态绑定用户的 MAC地址和IP地址,在客户端也需要静态绑定网关MAC地址和IP地址以及同一网段的IP地址和MAC地址,使之不再动态学习。当然这其实是一个理想的解决方案,现实当中操作起来难度不小,无形当中极大地加重网络管理的负担。这对于小型的局域网是非常有效的方法,但是像大学的校园网本身用户就相当多,还有很多是学生自带电脑,如果一一进行双向绑定,这个工作量可想而知了。基于此项原因,这就需要提出一种更加全面立体的防御对策。 　　3.2两种主要的防御方案 　　3.2.1使用路由器进行设置 　　为了防止外部网络对局域网进行ARP攻击,可以进行基本的路由器ARP表绑定设置。在确定当前网络正常运行的前提下,然后再进ARP绑定设置。具体设置如下:首先要启用A