ARP攻击和防御技术探究.docVIP

ARP攻击和防御技术探究 　　【摘要】网络安全时常受ARP病毒的严重危害，本文简要定义ARP协议，对ARP欺骗的原理进行系统分析，阐述ARP攻击方式，最终给出ARP欺骗的防御策略。 　　【关键词】ARP协议 高速缓存 攻击 防御 　　ARP协议是“Address Resolution Protocol”地址解析协议的缩写。它是位于TCP/IP协议栈中的底层协议，主要是用来实现IP地址和对应设备的物理地址之间的相互转换，从而达到通过IP地址来访问网络设备的目的。由于本身存在设计上的缺陷，这些缺陷被非法入侵者利用，通过对IP与MAC之间的对应关系进行篡改，攻击局域网用户，破坏局域网的正常工作，严重时会导致局域网瘫痪，通常将这种对网络的攻击称之为ARP病毒攻击。这种攻击对局域网用户的信息安全造成威胁，严重的影响局域网内用户的使用进程，所以十分必要的有效防范ARP攻击，以确保网络畅通、安全。 　　一、 ARP协议工作原理 　　每台主机都安装TCP/IP协议，并且都存在一个ARP cache，即高速缓存表，里面存储着本局域网内各个主机及其路由器的IP--硬件MAC映射表。当网关或主机对一个IP--MAC地址进行解析时，主机即向网内发出一个请求报文。网关或其他主机接收ARP请求，并对其进行应答，并同时对接收到的IP--MAC地址进行存储，成为缓存表的一部分。发送请求的网关或主机接收应答后，同样对应答网关或主机的IP--MAC地址进行存储。 　　二、 ARP协议安全缺陷 　　由于ARP协议是局域网协议，设计的本意是方便数据传输，但需要保证是在网络环境绝对安全的情况下工作，因此在正常的网络环境下是存有严重缺陷的。缺陷主要有以下两点： 　　（一）A主机的IP--MAC地址存入到B主机ARP缓存表之后，A主机即被当作可信任的对象。但这种机制无法提供验证IP-MAC对应表的真实性。 　　（二）ARP协议处于无状态的形式下，在没有请求的情况下，任一主机也可进行应答。很多网关或主机也会接收未发出请求的响应，并对其缓存表进行更新。 　　利用ARP协议本身的缺陷，病毒主机可以对其他主机进行ARP欺骗，主要存在以下几方面： 　　（三）假称网关的ARP应答包。其原理为假称自己为网关，这时使被骗的主机向虚假网关传输数据。 　　（四）假称网关的ARP广播包。其原理为假称自己为网关，并向网内所有主机发出自己是网关的 　　通知，其他主机收到广播报文后，就更新本地缓存表，把病毒主机当作是自己的网关。 　　（五）假称网内某节点ARP应答包。它的原理是当某个主机A广播ARP请求主机B回答时，病毒主机冒充主机B回答，此时主机A就会把病毒主机当作是主机B。 　　（六）假冒网内某个节点的ARP广播包。它的原理是病毒主机冒充某个主机A发出ARP请求，其他主机收到广播后，对本地缓存表进行更新，将病毒主机看做为主机A。 　　三、 ARP攻击现象及确认 　　当病毒主机不断向局域网内发起ARP欺骗报文时，会造成整个局域网无法正常通信的局面。受到ARP攻击的表现为： 　　（一）局域网的某个网段 ，大多数计算机不能正常上网，网络连接时断时续，上网速度非常缓慢； 　　（二） 局域网整个网络运行不稳定，利用ping命令ping网关时不通，或者丢包现象很严重； 　　（三）IE浏览器频繁出错，网页打不开或者打开速度非常慢，不能够正常地上网浏览； 　　（四）断开网络后，隔一段时间重新连接，也可以通过arp-d的命令对ARP缓存表进行删除，也可短时恢复上网。 　　四、ARP攻击防御方法 　　（一）绑定IP地址和MAC地址 　　此方法是绑定缓存表中IP---MAC地址映射，并且不允许变更。这样，所有不符合IP- MAC绑定信息的报文会全部丢弃，内网中的所有主机就无法假冒网关或其他主机。此方法是基于ARP攻击的原理而进行防御的，这是到目前为止最普遍的应用办法。 　　（二）在网关和主机上安装ARP防火墙 　　ARP防火墙通过系统内核层对伪造的ARP数据包进行拦截，同时主动告诉网关本主机正确的MAC地址，从而保证数据在主机和网管之间的正常流动，而不会经过中转站（攻击者）。ARP防火墙安装简单、功能齐全而且使用起来十分方便，由软件自动进行管理。 　　（三）VLAN与交换机端口绑定 　　这种方法具体是先将VLAN进行细分，这样就可以减小广播域的范围。然后，使用交换机中IP- MAC绑定的功能把对应的IP- MAC与端口进行绑定。当交换机某个端口收到ARP数据包的时候，就将包中的源地址与交换机中保存的源地址进行比较，一旦发现两者不符合，则禁止该端口发来的所有数据包。 　　 　　参考文献： 　　[1]胡清桂.一种新的ARP协议改进方案[J].陕西科技大学学报