ARP欺骗攻击原理及安全防范的策略.docVIP

ARP欺骗攻击原理及安全防范的策略 　　摘要：ARP(Address Resolution Protocol)即地址解析协议，该协议将网络层的IP地址转换为数据链路层地址。TCP/IP协议中规定，IP地址为32位，由网络号和网络内的主机号构成，每一台接入局域网或者Internet的主机都要配置一个IP地址。在以太网中，源主机和目的主机通信时，源主机不仅要知道目的主机的IP地址，还要知道目的主机的数据链路层地址，即网卡的MAC地址，同时规定MAC地址为48位。ARP协议所做的工作就是查询目的主机的IP地址所对应的MAC地址，并实现双方通信。本文介绍了ARP在TCP/IP协议中的作用，描述了它的工作原理，详细分析了ARP欺骗攻击过程，并提出了安全防范策略 　　关键词：地址解析协议；网络；数据链 　　 　　近年来，网络中的非法入侵者利用ARP协议设计上的缺陷，通过篡改IP与MAC之间的对应关系，非法获取并替换他人的MAC，以达到非法监听和获取他人在网络上所传输的信息的目的，这种网络入侵方式称为ARP欺骗入侵。ARP欺骗的出现已经成为网络入侵攻击中的一种主要形式，严重威胁着网络信息的安全。 　　 　　一、 ARP协议工作原理 　　 　　源主机在传输数据前，首先要对初始数据进行封装，在该过程中会把目的主机的IP地址和MAC地址封装进去。在通信的最初阶段，我们能够知道目的主机的IP地址，而MAC地址却是未知的。这时如果目的主机和源主机在同一个网段内，源主机会以第二层广播的方式发送ARP请求报文。ARP请求报文中含有源主机的IP地址和MAC地址，以及目的主机的IP地址。当该报文通过广播方式到达目的 主机时，目的主机会响应该请求，并返回ARP响应报文，从而源主机可以获取目的主机的MAC地址，同样目的主机也能够获得源主机的MAC地址。如果目的主机和源主机地址不在同一个网段内，源主机发出的IP数据包会送到交换机的默认网关，而默认网关的MAC地址同样可以通过ARP协议获取。经过ARP协议解析IP地址之后，主机会在缓存中保存IP地址和MAC地址的映射条目，此后再进行数据交换时只要从缓存中读取映射条目即可。 　　（一） 同网段内ARP请求与应答过程 　　将本地网络的主机IP地址解析为MAC时，网段内ARP解析过程分为4步： 　　1、 当一台主机要与别的主机通信时，初始化ARP请求。当该IP地址确定为本地IP地址时，源主机在ARP缓存中查找目标主机的硬件地址。 　　2、若找不到映射，ARP就建立一个请求。源主机IP和硬件地址会被包括在请求中，该请求通过广播，使所有本地主机均能接收并处理。 　　3、本地网上的每个主机都收到广播并寻找相符的IP地址。 　　4、当目标主机断定请求中的IP与自身的IP相符时，直接发送一个ARP答复，将自身的硬件MAC地址传递给源主机。使用源主机的IP和MAC更新它的ARP缓存。源主机收到应答后便建立起了通信关系。 　　（二）跨网段间ARP请求与应答过程 　　将不同网段间的主机IP地址解析为MAC时，因目标IP属于一个不同网段主机，则ARP将广播一个源主机的缺省网关路由器的地址。此时，ARP解析过程分为5步进行： 　　1、 初始化通信请求，得知目标IP为远程地址。源主机在本地路由表中查找，若没有找到，源主机就认为是缺省网关的IP。在ARP缓存中查找符合该网关记录的IP的MAC地址。 　　2、 若没找到该网关的记录，ARP将广播一个包含网关地址而不是目标主机的地址的请求。路由器用自己的硬件地址响应源主机的ARP请求。源主机则将数据包送到路由器以传送到目标主机的网络，最终达到目标主机。 　　3、如果是本地IP地址，路由器用ARP缓存或ARP广播方式获得硬件地址MAC。如果是远程IP地址，路由器在其路由表中查找该网关，然后运用ARP获得此网关的MAC，并将数据包被直接发送到下一个目标主机。 　　4、目标主机收到请求后，形成ICMP响应。因源主机在远程网上，将在本地路由表中查找源主机网络的网关。找到网关后，ARP就获取它的硬件地址MAC。 　　5、如果此网关的硬件地址不在ARP缓存中，则通过ARP广播获得。一旦它获得硬件地址，ICMP响应就送到路由器上，然后传回源主机。 　　 　　二、ARP欺骗攻击的实现过程 　　 　　（一）同网段内的ARP欺骗攻击 　　ARP欺骗攻击的核心就是向目标主机发送伪造的ARP应答，并使目标主机接收应答中伪造的IP与MAC间的映射对，并以此更新目标主机缓存。设在同一网段的三台主机分别为Ａ,Ｂ,Ｃ，详见表1。 　　表1：同网段主机IP地址和MAC地址对应表 　　用户主机　　IP地址　　　MAC地址 　　　A　　　　192.168.1.1　00-E0-D1