浅析ARP相关攻击与安全防范措施.docVIP

浅析ARP相关攻击与安全防范措施 　　【摘 要】本文首先介绍了ARP协议的概念和工作原理，接着分析了当前ARP病毒的主要类型和特点，最后提出了一些具体的防范措施，来应对和ARP相关的攻击。笔者结合自己的一些网络管理经验，对ARP攻击行为进行了分析和总结，并提出了相应的防范措施。 　　 【关键词】APR；网络攻击；防范措施 　　一、ARP协议及工作原理 　　（1）ARP协议简介。ARP协议是Address Resolution Protocol地址解析协议的缩写，在局域网中以帧的方式进行传输数据，并且根据帧中目标主机的MAC地址来进行寻址。在以太网中，一台主机要和另一台主机进行直接通信，就必须要知道目的主机的MAC地址，这个目的MAC地址就是通过ARP协议获取的，地址解析就是主机在发送帧前将目的主机的IP地址转换成目的主机MAC地址的过程，这样才能保证局域网内各主机间可靠快速的通信。（2）ARP协议的工作原理。第一，在同一个网段内。假设主机甲和乙在同一个网段，主机甲要向主机乙发送信息。具体的地址解析过程如下：首先，主机甲首先查看自己的ARP缓存表，确定其中是否包含有主机乙对应的ARP表项。如果找到了主机乙对应的MAC地址，则主机甲直接利用ARP表中的MAC地址，对IP数据包进行帧封装，并将数据包发送给主机乙。其次，如果主机甲在ARP缓存表中找不到对应的MAC地址，则将缓存该数据报文，然后以广播方式发送一个ARP请求报文。由于ARP请求报文以广播方式发送，该网段上的所有主机都可以接收到该请求，但只有被请求的主机B会对该请求进行处理。再次，主机乙比较自己的IP地址和ARP请求报文中的目标IP地址，如果相同则将ARP请求报文中的发送端主机甲的IP地址和MAC地址存入自己的ARP表中，之后以单播方式发送ARP响应报文给主机甲。最后，主机甲收到ARP响应报文后，将主机乙的MAC地址加入到自己的ARP缓存表中以用于后续报文的转发，同时将IP数据包进行封装后发送出去。第二，在不同网段间。当主机甲和主机乙不在同一网段时，主机甲就会先向网关发出ARP请求报文。当主机甲从收到的响应报文中获得网关的MAC地址后，将报文封装并发给网关。如果网关没有主机乙的ARP表项，网关会广播ARP请求，目标IP地址为主机乙的IP地址，当网关从收到的响应报文中获得主机乙的MAC地址后，就可以将报文发给主机乙；如果网关已经有主机乙的ARP表项，网关直接把报文发给主机乙。 　　二、ARP的主要欺骗及攻击方式 　　1．地址解析欺骗。网络欺骗是黑客常用的攻击手段之一，网络地址解析欺骗分为两种，一种是对路由器表的欺骗，另一种是对内网主机的网关欺骗。前一种欺骗的原理是攻击者通过截获分析网关数据，并通知路由器一系列错误的内网IP地址和MAC地址的映射，按照一定的频率不断进行使真实的地址信息映射无法通过更新保存在路由器中，结果路由器转发数据到错误的MAC地址的主机，造成正常主机无法收到信息；后一种地址解析欺骗的原理是伪造网关，它的原理是把真实网关的的IP地址映射到错误的MAC地址，这样主机在向网关发送数据时，不能够到达真正的网关，如果假网关不能上网，那么真实的主机通过假网关也不能上网。 　　2．中间人攻击。按照ARP协议的设计，一个主机即使收到的ARP应答并非自身请求得到的，也会将其IP地址和MAC地址的对应关系添加到自身的ARP缓存表中。这样可以减少网络上过多的ARP数据通信，但也为地址解析欺骗创造了条件。如图一所示，PC02为被欺骗主机，网关路由器GW的实际物理MAC地址是0101.0101.0101，PC02主机的实际物理MAC地址为0202.0202.0202。PC02通过路由器GW向外网通讯时需要从物理介质中经过PC03（不一定直接连接，共处网段即可）。此时，如果有PC03（攻击者）想探听PC02和GW之间的通信，它可以分别给这两台主机发送伪造的ARP应答报文，使PC02中的ARP缓存表中GW和0303.0303.0303相对应，GW中的ARP缓存表中PC02和0303.0303.0303所对应。此后，PC03和GW之间看似直接的通信，实际上都是通过攻击者所在的主机PC03间接进行的，如图一箭头所示，即PC03担当了中间人的角色，可以对信息进行窃取和篡改。这种攻击方式就称作中间人攻击。 　　 3．DOS攻击。攻击主机持续把伪造的IP地址和MAC地址的映射对发给受害主机，对于局域网内的所有主机和网关进行广播，抢占网络带宽并干扰正常通信。导致网络中的主机和交换机不停地来更新自己的IP地址和MAC地址的映射表，浪费网络带宽和主机的CPU，使主机间都不能正常通信。 　　三、ARP攻击的主要防范措施 　　（1）IP地址和MAC地址的静态绑定。第一，在用户端进行绑