ARP攻击的方法分析.docVIP

ARP攻击的方法分析 　　摘要：随着信息技术的发展，计算机网络已经渗透到社会的各个角落。使用的人员越来越多，借助网络进行的工作越来越多，随之而来的是网络受到的各种各样的攻击越来越多。 ARP攻击就是比较典型的一种，它会造成计算机网络瘫痪，产生极坏的影响。本文主要对ARP攻击的原理、方法进行研究，以解决有关问题。 　　关键字: ARP ；欺骗；攻击；病毒 　　一、引言 　　微软的Windows是目前主流的操作系统，随着微软操作系统越来越庞大，越来越复杂，漏洞也随之越来越多。随着互联网的发展，操作系统的漏洞已经被越来越多的病毒编写者所利用，遭到的攻击也越来越频繁。从某种意义上讲，操作系统的漏洞已经成为孕育计算机病毒的温床。 　　ARP攻击就是利用操作系统的漏洞，通过修改系统ARP缓存表，使网络出现大面积的掉线。在现今的网络中ARP攻击频频出现，有效的防范ARP形式的网络攻击已成为确保网络畅通必要条件。 　　二、什么是ARP 　　ARP（Address Resolution Protocol）地址解析协议用于将计算机的网络IP地址转化为物理MAC地址。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。在每台安装有TCP/IP协议的计算机里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如果系统ARP缓存表被修改，不停的通知路由器一系列错误的内网IP或者干脆伪造一个假的网关进行欺骗的话，网络就肯定会出现大面积的掉线问题。 　　ARP协议是属于链路层的协议，在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的物理地址来确定接口的。内核必须知道目的端的物理地址才能发送数据。 　　数据包的向外传输依靠ARP协议。ARP协议的所有操作都是内核自动完成的，同其它的应用程序无关。ARP协议只使用于本网络。 　　当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。 　　ARP欺骗的主要用途就是进行在交换网络中的嗅探。 　　三、ARP攻击 　　以太网内主机通信是靠MAC地址来确定目标的，ARP协议负责通知计算机连接的目标地址。一旦这个环节出错,就不能正常和目标主机进行通信,甚至使整个网络瘫痪。 　　ARP的攻击主要有以下几种方式 　　1.单的欺骗攻击 　　这是比较常见的攻击,通过发送伪造的ARP包来欺骗路由和目标主机,让目标主机认为这是一个合法的主机，便完成了欺骗。这种欺骗多发生在同一网段内,因为路由不会把本网段的包向外转发。 　　2.交换环境的嗅探 　　现在的网络多是交换环境,网络内数据的传输被锁定为特定目标，既已确定的目标通信主机，在ARP欺骗的基础之上,可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信。 　　3. MAC Flooding 　　这是一个比较危险的攻击,可以溢出交换机的ARP表,使整个网络不能正常通信。 　　4.基于ARP的DOS 　　DOS又称拒绝服务攻击,当大量的连接请求被发送到一台主机时,由于主机处理能力有限,不能为正常用户提供服务,便出现拒绝服务。这个过程中如果使用ARP来隐藏自己,在被攻击主机的日志上就不会出现真实的攻击。 　　四、ARP病毒 　　当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。 　　由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。 　　ARP病毒发作时，中毒的机器会伪造某台计算机的MAC地址，若该伪造地址为网关服务器的地址，那么对整个网络都会造成影响，用户表现为上网经常瞬断。 　　通过伪造IP地址和MAC地址实现ARP欺骗，就会在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的进行攻击。 　　每个主机都有一个ARP高速缓存存放最新IP地址到MAC地址之间的映射记录。默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。只要网络上有ARP响应包发送到本机，就会更新ARP高速缓存中的IP-MAC条目。 　　攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。 当攻击源大量向局域网中发送虚假的ARP信息后，就会造成局域网中主机ARP缓存的崩溃。 　　五、防护方法: 　　1.IP+MAC访问控制 　　单纯依靠IP或MAC来建立信任关系是不安全,理想的安全关系建立在IP+MAC的基础上。 　　2.