浅谈ARP欺骗与攻击及防治策略.docVIP

浅谈ARP欺骗与攻击及防治策略 　　摘要：本文全面阐述了ARP 协议所存在的漏洞，并详细介绍了几种常见的ARP欺骗攻击方式，并且从网关、客户端绑定等多个方面提供了防范ARP欺骗攻击的方法。 　　关键词：ARP欺骗 网络安全 ARP协议 　　 　　0 引言 　　随着计算机技术、网络技术和通信技术的飞速发展，计算机网络已经深刻地改变了人们的生活，变成了信息化社会中不可缺少的一部分。然而，网络就像一把双刃剑，在给我们带来便利的同时，更给我们带来了很多安全隐患。本文着重对目前计算机网络存在的安全隐患之一ARP欺骗和攻击进行了分析，并探讨了相关的防治策略。 　　1 ARP协议的概念及其功能 　　ARP 协议（Address Resolution Protocol），也称为地址解析协议。该协议主要用于将计算机的网络地址转化为物理地址（MAC 地址48 位）。ARP 协议是属于链路层的协议，在以太网中，两台主机要进行通信，必须要知道目标主机的MAC地址，那么如何获取目标主机的MAC地址呢，就是通过ARP协议来获得的。简单来说，地址解析就是主机在发送数据帧之前，将目标的IP地址转换成目标MAC地址的过程。因此，ARP协议的主要功能就是通过目标设备的IP地址，查询目标设备的MAC地址，从而保证设备间正常的数据通信。 　　2 常见的ARP欺骗及攻击方式 　　在以太网中，假设主机A向主机B发送数据包，那么主机A是如何获取主机B的MAC地址呢？解决问题的关键就是ARP协议。主机A广播一个ARP请求包，请求包中填有主机B的IP地址，以太网中的所有计算机都会接收这个请求，而正常的情况下只有B会给出ARP应答包，包中就填充上了B的MAC地址，并回复给A。A得到ARP应答后，将B的MAC地址放入本机的ARP缓存表中（表中的IP地址与MAC地址是一一对应的），便于下次使用。 　　然而，ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器C冒充主机B向主机A发送一个自己伪造的ARP应答，即IP地址为B的IP，而MAC地址是伪造的，则当A接收到C伪造的ARP应答后，就会更新本机的ARP缓存，这样在A看来B的IP地址没有变，而它的MAC地址已经不是原来那个了。由于数据通信必须依照MAC地址。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通c!这就是一个简单的ARP欺骗。 　　正是由于ARP缓存表从不验证收到的真伪，只是简单地将ARP应答包里的MAC地址与IP映射关系替换掉原有的ARP 缓存表里的相应信息，这个漏洞就为ARP欺骗及攻击提供的可乘之机。ARP攻击主要有以下几种： 　　2.1 拒绝服务攻击 　　拒绝服务攻击就是使目标主机不能响应外界请求，从而不能对外提供服务的攻击方法。攻击者不停地向目标主机发送虚假的ARP应答包，将目标主机ARP缓存中的MAC地址全部改为根本就不存在的地址，那么目标主机向外发送的数据就会全部丢失，从而导致无法响应外来请求，产生拒绝服务。 　　2.2 中间人攻击 　　所谓的中间人攻击，就是在两台或者多台主机之间加入一台主机，这台主机就称为“中间人”。“中间人”就如同两台或多台主机通信路径上的一个中继，这样，攻击者就可以利用中间人监听两个或多个目标主机之间的通信。比如局域网内，有两台主机A和B，通常来说，数据包只通过交换机或路由器在A、B之间通信，A、B主机中ARP映射表中的MAC地址都是对方的真实的MAC地址。如果攻击者想截获A、B之间的通信，他就可以利用“中间人”主机C，分别向A和B发送伪造的ARP应答包，侵染A和B的ARP缓存，将A、B电脑中的ARP映射关系都指向电脑C。这样，A向B发送数据时，使用的是B的IP地址和C的MAC地址；同理，B向A发送数据时，使用的是A的IP地址和C的MAC地址。A与B之间的所有通信数据就被C截获了。 　　3 ARP欺骗攻击的防治方案 　　 客户端静态绑定 　　 对付ARP欺骗攻击，最常用的方法就是把局域网内主机和网关做IP和MAC地址绑定。 　　 方法：使用arp-s命令静态绑定IP和MAC地址 　　 格式：arp-s IP地址MAC地址 　　 然而，这种静态绑定，在电脑每次重启后就会失效，需要重新绑定，并且每次手动输入也比较麻烦。所有，可以编写一个简单的批处理程序，并让它开机自动运行。批处理程序的内容如下： 　　 @echo off 　　echo arp set 　　arp-d 　　arp －s 网关IP 网关MAC 　　exit 　　 这种方法简