ARP攻击和防御分析.docVIP

ARP攻击和防御分析 　　【 摘 要 】 ARP攻击会造成联网不稳定，经常致使个人或企业遭受重大损失。本文简述了几种常见的ARP攻击方式，并重点就其中一种攻击方式做了深度剖析，以实验的方式更进一步地将协议原理加以验证，最后本文对ARP攻击的防御手段及防御措施的配置方式做出了较为深入的分析和探讨。 　　【 关键词 】 ARP协议；ARP攻击；ARP防护 　　1 引言 　　计算机网络频繁掉线，或者计算机网络连接正常，却无法打开网页，或者网速变得非常慢，这些网络异常现象都有可能是因网络中存在着ARP欺骗攻击。 　　ARP欺骗攻击不仅会造成用户联网不稳定，对于企业可以导致企业因断网而产生的重大生产事故，造成无法估量的经济损失，而且利用ARP欺骗攻击还可以实施中间人攻击，非法取得游戏、网银、文件服务等系统的账号和口令，致使被攻击者蒙受利益损失。ARP欺骗攻击这种恶劣的网络攻击行为不仅使网络用户面临财产损失，也会影响相关服务商的业务运营，威胁着网络环境的安全与和谐。 　　ARP攻击已经对各行各业网络产生了巨大的威胁，但一直没有得到有效的解决，甚至熟知的杀毒软件、防火墙等都挡不住ARP欺骗攻击。主要是由于ARP欺骗攻击依托于木马程序，通常会伪装成常用软件的一部分，被网络用户下载并在安装或使用的过程中激活，或者作为网页的一部分自动传送到浏览者的电脑上并被激活，或者通过U盘、移动硬盘等方式进入网络。由于木马程序的形态特征都在不断变化和升级，杀毒软件常常会失去作用。 　　2 ARP概述 　　ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层地址解析为数据连接层的MAC地址。 　　3 ARP攻击的特点 　　3.1 ARP攻击的局限性 　　ARP攻击仅能在以太网（局域网如机房、内网、公司网络等）进行，无法对外网（互联网、非本区域内的局域网）进行攻击。 　　3.2 ARP攻击的易实现性 　　ARP协议是用来提供一台主机通过广播一个ARP请求来获取相同网段中另外一台主机或者网关的MAC的协议。以相同网段中的两台主机A、B来举例，其ARP协议运行的主要交互机制如下： 　　1）如果A需要向B发起通信，A首先会在自己的ARP缓存表项中查看有无B的ARP表项。如果没有，则进行下面的步骤； 　　2）A在局域网上广播一个ARP请求，查询B的IP地址所对应的MAC地址； 　　3）本局域网上的所有主机都会收到该ARP请求； 　　4）所有收到ARP请求的主机都学习A所对应的ARP表项；如果B收到该请求，则发送一个ARP应答给A，告知A自己的MAC地址； 　　5）主机A收到B的ARP应答后，会在自己的ARP缓存中写入主机B的ARP表项。 　　如上所述，利用ARP协议，可以实现相同网段内的主机之间正常通信或者通过网关与外网进行通信。但由于ARP协议是基于网络中的所有主机或者网关都为可信任的前提制定，导致在ARP协议中没有认证的机制，从而导致针对ARP协议的欺骗攻击非常容易。 　　4 ARP欺骗的原理 　　既然ARP存在缺陷，就必定会被人所利用；首先可以肯定一点的就是发送ARP欺骗包是通过一个恶毒的程序自动发送的，正常的TCP/IP网络是不会有这样的错误包发送的，而人工发送又比较麻烦。也就是说当黑客如果没有运行这个恶毒程序的话，网络上通信应该是一切正常的，保留在各个计算机上的ARP缓存表也应该是正确的，只有程序启动，开始发送错误ARP信息以及ARP欺骗包后才会让某些计算机访问网络出现问题。接下来阐述ARP欺骗的原理。 　　当局域网中一台机器，反复向其他机器，特别是向网关、发送这样无效假冒的ARP应答信息包时，严重的网络堵塞就会开始。由于网关MAC地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然也就无法正常上网，这就造成了无法访问外网的问题另外由于很多时候网关还控制着局域网LAN上网，所以这时LAN访问也就出现问题了。 　　5 ARP典型攻击分析 　　5.3 攻击实施步骤 　　6 ARP攻击的防护 　　7 结束语 　　ARP攻击行为会在网络中产生大量的ARP通信，致使网络阻塞，造成客户机的网速缓慢或断网，对网络安全造成严重的威胁。本文对ARP协议的缺陷进行了研究，分析了ARP攻击行为的根源所在，提出了一种行之有效的ARP攻击与防御方法，希望能为找到解决ARP问题的终极方案提供一些有益的思路。 　　参考文献 　　[1] H3C.ARP攻击防御解决方案技术白皮书.2012.3. 　　[2] 梁广民.思科网络实验室路由，交换实验指南.北京.电子工业出版社，200