校园网ARP欺骗原理和防御方法研究.docVIP

校园网ARP欺骗原理和防御方法研究 　　摘要：ARP病毒对校园网络影响很大，严重妨碍了校园的安全和稳定，本文介绍了ARP病毒的攻击原理，并根据其原理提出几种防御的方法。 　　关键词：ARP 拥塞 地址映射 地址解析协议 　　中图分类号：TP393文献标识码：A 文章编号：1007-9416（2011）05-0072-02 　　 　　The Principle of ARP Cheat and the Defense Method on Campus Network 　　Abstract: The ARP virus serious influence campus network’s safety and stability, in this paper, the author introduces the principle of ARP attacks and several defense methods. 　　Key words: ARP Congestionaddress mappingAddress Resolution Protocol 　　 　　 　　1、引言 　　随着科技的进步，网络也逐渐成为了人们在工作、生活中不可缺少的一部分，高校的网络得到了较快的发展，近几年来，随着校园网络规模急剧膨胀、网络用户数量快速增长，给ARP病毒的传播带来一个绝佳的机会，ARP病毒在高校网络当中迅速蔓延。 　　ARP病毒发作的迹象就是间断性的断网，网络性能严重不足、网速变慢，其原因是本来流向主干网络的大量的信息却流向了病毒主机，而且这些大量的数据包可能使得本网段拥塞，所以使得网速变得很慢或者直接断网。 　　2、ARP介绍 　　ARP[1,2]（Address Resolution Protocol，地址解析协议），用于IP地址到MAC地址的映射，这一对映射是很有必要的，原因是在网络层及其以上的层次在传输信息时，必然要使用到IP地址，然而物理层却并不识别IP地址，更不会为其服务传输这些信息，所以必须先进行地址解析，然后才能通过物理层传输数据，所以说ARP协议对网络通信来说是很重要的。 　　ARP地址解析的具体步骤如下： 　　假定在一个局域网内，主机A欲向主机B发起通信（前提是已知主机B的IP地址），首先到自己的ARP缓存表中查询是否存在（IPB ，MACB）这一对映射，如果不存在，便向网络当中广播一个ARP请求数据包，内容是：“我的IP地址为：IPA ,物理地址是：MACA， IP地址是：IPB 的主机，请答复你的MAC地址是多少？”，只有IP地址是IPB 的主机把自己的MACB地址写进ARP回复报文进行ARP应答。 　　在局域网当中为了尽量减少ARP请求广播，每一个主机都有一个ARP缓存表，并根据接受到的ARP应答报文动态的更改自己的ARP缓存表。此ARP协议的缺陷就在于没有一个有效检测机制，不管ARP应答报文中的 （IP，MAC）映射是否合法，都会对自己的ARP缓存表就行更新，所以一些不法分子可以通过伪造 IP 和 MAC 的映射来制造ARP欺骗攻击，轻则造成被攻击的主机经常断网，重则是截取被攻击主机的重要信息，使得受害者蒙受巨大损失。 　　3、ARP 欺骗[3] 　　一般来说，ARP欺骗是在篡改ARP缓存表的基础上实施的，ARP病毒有2种攻击形式，即主动攻击形式和被动攻击形式。 　　3.1主动攻击形式 　　所谓的主动攻击形式就是攻击主机主动的发送ARP应答报文，恶意更改害主机ARP缓存中的IP和MAC 映射。 　　3.1.1 中间人攻击 　　在某一局域网当中存在以下几台主机（IP / MAC）,如下图所示： 　　在正常情况下，A可以利用自己ARP缓存表中的信息或者使用ARP协议是可以跟D正常通信的，此时C向A发送ARP数据包，其内容是（ 192.168.1.4 ， CC―CC―CC―CC―CC―CC），A收到此数据包时，会修改自己的ARP缓存表，把D的物理地址修改为：CC―CC―CC―CC―CC―CC，此时当A再向D发送数据时，数据包首先发送到C,，即C截取到了A数据包。 　　3.1.2 仿冒网关欺骗 　　所谓的仿冒网关欺骗就是ARP病毒向网络的中主机发送含有错误网关（IP，MAC）映射对的ARP数据包，受害主机接受到此ARP数据包并更新了自己的ARP缓存表，当受害主机发送数据时，这些本来流向网关的数据却被重定向到另一台主机上或一个错误的MAC地址上，导致受害主机无法访问网关。如图2 所示： 　　在主机A向本网段中发送了一个ARP数据包，内容是（192.168.1.2，FF-FF-FF-FF-FF-FF），在本网段中的主机C接受到此ARP数据包，根据其内容更新自己的AR