ARP欺骗攻击和防御策略探究.docVIP

ARP欺骗攻击和防御策略探究 　　摘 要： 在局域网中，如何防止ARP欺骗攻击成为防御网络入侵的重点内容之一。主要剖析如何针对ARP欺骗攻击进行有效检测和防御。为此，首先论述ARP工作原理和ARP协议在局域网内及局域网间的通信过程；然后通过对其欺骗特点和表现形式进行比较分析的方法，使用户对ARP协议自身存在的缺陷有了清晰认识；通过对ARP欺骗攻击的原理、受到欺骗时网络表现形式的剖析，得到两种欺骗检测方法；最后根据网络遭到ARP欺骗攻击时的表现形式，得出如何进行有效防御ARP欺骗攻击的结论。 　　关键词： ARP； 工作原理； 欺骗攻击； 协议； 检测方法； 防御策略 　　中图分类号： TN915.08?34； TP393.08 文献标识码： A 文章编号： 1004?373X（2018）08?0078?05 　　Abstract： In the local area network （LAN）， how to prevent ARP spoofing attacks becomes one of the key contents of network intrusion prevention. Effective detection and defense against ARP spoofing attack are mainly analyzed. The ARP working principle and its communication process within a LAN and among LANs are expounded. The method of comparative analysis of spoofing attack characteristics and manifestations is used to enable users to have a clear understanding of the shortcomings of the ARP. Two spoofing detection methods are obtained by analyzing the principle of ARP spoofing attack and manifestations of spoofed network. How to effectively prevent ARP spoofing attacks is obtained according to the manifestations of network attacked by ARP spoofing. 　　Keywords： ARP； working principle； spoofing attack； protocol； detection method； defense strategy 　　随着互联网技术在人们的工作、生活等各个领域的广泛应用，各种病毒和黑客攻击也随之而来，它们往往利用网络协议设计上的缺陷，对网络进行攻击，窃取用户的机密信息。ARP欺骗攻击就是利用ARP协议的缺陷进行的一种非法攻击[1?2]，攻击者常常把自己伪装成“中间人”，获取局域网内的所有报文信息，其原理相对简单，具体实现也比较容易，目前使用十分广泛，攻击者常常利用这种手段监听数据信息，影响客户端网络连接的通畅。 1 ARP工作原理 　　1.1 MAC地址 　　MAC地址是数据链路层上的地址，也叫网络设备的物理地址[3]，它是由网络设备制造商在生产时写在硬件内部的，不可更改，且全世界独一无二。MAC地址由48位二进制数表示，其中前24位是生产该设备的厂商的标识，后24位表示该网络设备在出厂时的序号，由于每个不同的网络设备厂商都有不同的标识符，并且该厂商生产出来的每个网络设备都是按照序号不断变化的，这就保证了世界上所有的网络设备都有惟一的MAC地址。一个完整的MAC地址一般采用12个十六进制数来表示[4]，每两个数字一组，用冒号隔开，其中前3组数字是厂商标识，后3组数字是网络设备序号。 　　1.2 ARP协议 　　在OSI模型中，第1层到第3层用于创建两个网络设备间的物理连接，第4层到第7层主要在软件，即协议和数据方面负责网络的可操作性，ARP（Address Resolution Protocol）协议也称地址解析协议[5]，其主要作用就是将计算机的网络地址转化为物理地址，属于链路层的协议。在以太网中，局域网中的数据包从一台主机传递到另一台主机不是根据IP地址来确定接口的，而是依照48位的以太网地址（硬件地址）来确定。所以，系统内核（如驱动）必须知道目的端的以太网地址才能把数据发送出去。 　　ARP协议有ARP请求包和AR