ARP欺骗原理和防护技术研究.docVIP

ARP欺骗原理和防护技术研究 　　该文通过分析ARP协议的原理及ARP欺骗的原理，设计了防御ARP病毒的方法。 　　地址解析协议；ARP欺骗；MAC地址 　　1.ARP协议简介 　　ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。它是通过地址解析协议（AddressResolution Protoco，l ARP）获得的。ARP协议是一个网络层子协议，它用于将网络中的IP地址解析为硬件地址（MAC地址），以保证通信的顺利进行。 　　2.ARP协议的工作原理 　　在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如表1所示。 　　以主机H（192.168.1.5）向主机A（192.168.1.1）发送数据为例。当发送数据时，主机H会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机H就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：192.168.1.1的MAC地址是什么。网络上其他主机并不响应ARP询问，只有主机A接收到这个帧时，才向主机H做出这样的回应：192.168.1.1的MAC地址是00-aa-00-62-c6-09。这样，主机H就知道了主机A的MAC地址，它就可以向主机A发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机A发送信息时，直接从ARP缓存表里查找就可以了。 　　ARP协议安全缺陷。在TCP/IP协议的网络环境下，ARP工作时，送出一个含有所希望的IP地址的以太网广播数据报。一个IP数据报走到哪里，要怎么走主要是靠路由表定义。但是，当IP数据包到达该网络后，哪台机器响应这个IP包却是靠该IP包中所包含的硬件MAC地址来识别。也就是说，只有机器的硬件MAC地址和该IP包中的硬MAC地址相同的机器才会应答这个IP包，所以，在每台主机的内存中，都有一个ARP→硬件MAC地址的转换表。通常是动态的转换表（该ARP表可以手工添加静态条目）。 　　ARP欺骗原理。典型的ARP欺骗过程如下： 　　假设局域网分别有IP地址为192.168.1.1、192.168.1.2和192.168.1.3的A、B、C三台主机，假如A和C之间正在进行通讯，此时B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.1.3（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB，当A接收到B伪造的ARP应答，就会更新本地的ARP缓存，这时B就伪装成C了。同时，B同样向C发送一个ARP应答，应答包中为发送方IP地址192.168.1.1（A的IP地址），MAC地址BB-BB-BB-BB-BB-BB（A的MAC地址本来应该是AA-AA-AA-AA-AA-AA），当C收到B伪造的ARP应答，也会更新本地ARP缓存，这时B又伪装成了A。这时主机A和C都被主机B欺骗，A和C之间通讯的数据都经过了B，主机B完全劫持目标主机与其他主机的会话。 　　ARP欺骗一般分为两种：主机型ARP欺骗。欺骗过程：A欺骗B，A告诉B，我（A）就是C，当然告诉的是真IP地址和假MAC地址，使B不能与C连接。若C是网关，B就不能上外网Internet了。 　　网关型ARP欺骗。欺骗过程：B充当中间人角色向两个方向发送ARP欺骗包，使A的上网数据包经过B再到C，又使C的返回数据经过B再到A，卡在中间，以达到窃取数据的目的。B发送ARP欺骗包给A，B告诉A，我（B）就是网关；同时，B又发送ARP欺骗包给真正的网关C，告诉真正的网关C，我（B）就是A，这样B就欺骗了双方，接着B通过劫持A和C之间的通信会话，就可以窃听数据了。 　　从影响网络连接通畅的方式来看，ARP欺骗分为两种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 　　3.ARP欺骗防范措施 　　建立DHCP服务器，另外所有客户机的IP地址及其相关主机信息，只能由网关这里取得，网关这里开通DHCP服务，但是要给每个网卡，绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址，但每次开机的IP地址都是一样的或手工清除PC和网关ARP表项，从新学习正确的ARP信息。ARP欺骗发生后的PC和网关设备的ARP表被篡改了，这样我们可以通过手工方式来清除ARP表项，然后让双方重新学习。 　　主机：arp–d 　　网关：clear arp。 　　建立