ARP局域网攻击及防范的策略浅析.docVIP

ARP局域网攻击及防范的策略浅析 　　 　　 　　（辽宁丰田金杯技师学院，地址：辽宁 沈阳，邮编：110015） 　　摘要：本文通过对ARP攻击的原理进行了分析，并且介绍了其常见的攻击方式，最后对ARP攻击的处理方式及其预防措施进行了详细的介绍，通过这些方法进而提高局域网在应对ARP攻击的安全性。 　　关键词：ARP；MAC地址；局域网 　　ARP（Address Resolution Protocol，即地址解析协议）是一种将IP地址转化成物理地址的协议。ARP具体说来就是将网络层地址解析为数据连接层的MAC地址。ARP协议的基本功能是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。每台安装有TCP/IP协议的设备里都有一个ARP缓存表，用来存放已经查找到的IP，MAC地址对应表。 　　一、ARP欺骗/攻击原理分析 　　ARP协议其实就像一个思想不坚定者，容易被其他人影响，ARP欺骗/攻击就是利用这个特性，误导电脑作出错误的选择。就像一个没有计划的快递员，想要送信给“王五”，就在马路上喊“谁是王五？”，并投递给最近和他说“我就是”的人。如果是在一个人人诚实的地方，快递员的工作还能进行下去；但若是旁人看到快递物品值钱，想要骗取的话，快递员这种工作方式就会造成混乱了。 　　我们再回来看ARP攻击和这个意志不坚定快递员的关系。常见的ARP攻击有两种，一是针对路由器，二是局域网上的电脑，也就是用户。攻击路由器就好比发送错误的地址给快递员，让快递员整个工作大乱，所有信件无法正常送达；而攻击一般电脑就是直接和收件人谎称自己就是邮递员，让用户把需要传送的文件转发给发起攻击的电脑。 　　由于电脑及路由器的ARP协议意志都不坚定，因此只要有恶意电脑在局域网里持续发出错误的ARP信息，就会让所有的电脑及路由器信以为真，作出错误的传送网络包动作。ARP攻击就是以这样的方式，造成网络运行不正常，达到盗取用户密码或破坏网络运行的目的。 　　二、ARP常见的攻击方式 　　ARP攻击是指攻击者利用地址解析协议本身的运行机制而发动的攻击行为。包括进行对主机发动IP冲突攻击、数据包轰炸，切断局域网上任何一台主机的网络连接等。主要有以盗取数据为主要目的的ARP欺骗攻击，还有以捣乱破坏为目的的ARP泛洪攻击两种。 　　2.1 ARP欺骗攻击 　　第一种欺骗原理是――截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种欺骗的原理是――伪造网管。它的原理是建立假网管，让被它欺骗的PC向假网管发送数据，而不是通过正常的路由器途径上网。在PC看来，就是无法上网，“网络掉线了”。 　　2.2 ARP泛洪攻击 　　攻击主机持续把伪造的MAC-IP映射对发给受害的主机，对于局域网内的所有主机和网关进行广播，抢占网络带宽和干扰正常通信。这种攻击方式的主要攻击特征包含：（1）通过不断发送伪造的ARP广播数据报使得交换机频于处理广播数据报耗尽网络带宽。（2）令局域网内部的主机或网关找不到正确的通信对象，使得正常通信被阻断。（3）用虚假的地址信息占满主机ARP告诉缓存空间，造成主机无法创建缓存表项，无法正常通信，这种攻击特征又名为ARP溢出攻击。 　　三、ARP攻击的处理及预防 　　对于任何一个局域网来说都有可能受到ARP攻击的影响，而作为管理员则几乎无法预测到什么时间会发生ARP攻击。而且ARP攻击对局域网的正常运行影响极大，因此掌握如何处理及预防ARP攻击对于一名局域网管理员来说都是极为重要的。 　　3.1 ARP攻击的处理 　　局域网内计算机数目少则几十台，多则上百台，逐个排查的方式显然是不太现实的。因此能够找到ARP攻击的源头，并将其隔离处理才是较为合适的方案。如何寻找源头的方法分为“主动定位方式”和“被动定位方式”两种： 　　主动定位方式：因为所有的ARP攻击源都会有其特征――网卡处于混杂模式，可以通过ARPKiller这样的工具扫描局域网内有哪台计算机的网卡是处于混杂模式的，从而判断这台计算机有可能就是“元凶”。 　　被动定位方式：在局域网内发生ARP攻击时，查看交换机的动态ARP表中的内容，确定攻击源的MAC地址，也可以在局域网中部署Sniffer工具，定位ARP攻击源的MAC地址。也可以直接Ping网关IP，完成Ping后，用“Arp-a”命令查看网关IP对应的MAC地址，此MAC地址应该为欺骗的MAC地址。 　　找到病毒主机的IP地址和MAC地址后，要进一步确定计算机名才能准确定位计算机。可以利用NBTSCAN工具扫描整个网段后进行确定。或将一台