ARP欺诈攻击及防范措施的探讨.docVIP

ARP欺诈攻击及防范措施的探讨 　　 ?お? 　　摘要：通过介绍ARP协议，分析了ARP攻击的原理、受到ARP攻击后出现的现象，探讨了ARP攻击的防范措施。?? 　　关键词：局域网；ARP协议；ARP欺诈；防范?? 　　中图分类号：TP393.08文献标识码：A文章编号：1672-7800（2011）07-0141-02?お? 　　?? 　　作者简介：郑洁(1965-)，女，福建长乐人，长沙航空职业技术学院讲师，研究方向为信息安全，计算机程序教学。 　　 1ARP协议简介?? 　　 ARP（Address Resolution Protocol）即地址解析协议,它是一个位于TCP/IP协议栈中的底层协议，工作在数据链路层，它的作用是将IP地址解析为MAC地址。?? 　　网络中的每一个节点都包含了一个32位的IP地址及一个48位的MAC地址（即物理地址）。在局域网中进行通信时，是根据MAC地址来确定主机所在的接口。即一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时，是根据48 bit的以太网地址来确定目的接口的，设备驱动程序从不检查I P数据报中的目的I P地址。目标主机的MAC地址是通过地址解析协议获得的。在广域网中进行通信时，是按IP地址来确定目的主机所在的位置，即信息根据目标所在的IP地址先由源主机发送到目标主机所在网关（G1），由G1再将信息发送到目标主机所在网关（G2），由G2再根据目标IP的MAC地址，发送到目的主机。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，即ARP协议为IP和MAC地址提供动态映射关系，以保证通信的顺利进行。?? 　　 ARP协议在进行通信时，ARP运行步骤为：假设PC1与PC2进行通信， PC1先在自己的ARP高速缓存中查询是否存储有PC2的IP地址，如果存有，那么直接找到该IP地址对应的MAC地址，将信息直接转给MAC地址所对应的主机。如果在PC1的缓存中没有存储PC2的IP地址，那么发送一个ARP广播，局域网中的每一台主机都会收到广播，PC2可以识别ARP协议询问的是自己，于是回答一个ARP响应，当PC1收到响应后，将PC2的IP地址与对应的MAC地址存入缓存，再将信息发送到该MAC地址。?? 　　2ARP欺诈攻击原理?? 　　 ARP运行时，在每台主机上都会动态更新ARP高速缓存表，缓存表中存放最近时间该主机与本网段内进行过通信的主机的IP地址与MAC地址之间的映射关系。每条IP地址与MAC地址映射的生存时间为20分种。在DOS状态命令提示符下，可以通过 arp -a 命令来查看缓存中的内容，缓存中记录了最近通过的所有IP地址与MAC地址映射。校园网中ARP命令查看缓存内容实例如下：?? 　　c:\arp -a?? 　　Interface:211.69.213.173---0x2?? 　　 Internet Address Physical AddressType?? 　　211.69.213.100-e0-fc-6h-02-88dynamic?? 　　211.69.213.18000-16-ec-e9-6d-d2dynamic?? 　　ARP欺骗是指攻击主机伪造MAC地址与局域网中的某个IP地址映射成对,并通过广播的形式将IP－MAC条目更新到局域中通信的主机的ARP缓存中，那么所有发送到该IP地址信息都会被转发到伪造的MAC地址所对的主机，那么该IP地址（即被伪造、或被欺诈，或被欺骗）的主机接不到信息，表现为不可以上网。如果伪造的MAC地址是不存的，而且信息无法发送到目的地，将被丢弃。如果伪造的MAC地址是攻击主机的MAC地址，那么所有发送到被欺诈的主机的信息都会被发送到攻击主机。如果伪造的MAC地址为网关的MAC地址，那么局域网上主要发送的信息都会被发送到该主机上。通常ARP攻击主机都会将自己的IP地址伪造MAC地址，因而被攻击主机的信息都会流到攻击主机，截获数据包，获取重要信息。但因为ARP缓存的更新机制，被欺骗的主机某段时间又可能获得正确的MAC地址，恢复正常上网。 在ARP缓存表不断欺诈和更正的过程中，主机上表现为网络时断时通。ARP欺诈致使网络时断时通并不是ARP欺诈的目的，它的真正目的是通过截获数据包，从中获得用户银行卡的账号及密码等重要信息。?? 　　3ARP欺诈的发现?? 　　如何判断主机是否受到ARP欺诈，当主机受到ARP欺诈时，用户会体验到哪些现象呢？受到ARP攻击通常的表现是：局域网网络突然断线不能上网，没有进行任何处理过一段时间后又可以恢复正常上网。局域网中的用户频繁断线，浏览器出现错误，QQ、MSN、飞信等软件会出现故障，时断时通。在局域网中需要身份认证的上网，会突然提示需要认