局域网ARP欺骗攻击与防御-计算机论文.doc

局域网ARP欺骗攻击与防御-计算机论文 [真诚为您服务] 摘要: ARP协议存在着很多缺陷，攻击者正是利用这些漏洞实施ARP地址欺骗，对局域网的通信造成威胁。可通过Sniffer嗅探法、命令提示符法、或借助相关软件工具查找定位ARP地址欺骗攻击者。而对于如何防御的问题，则可采用对计算机系统安全加固，利用ARP杀毒软件、ARP攻击探测器等方法解决之。 关键词: ARP地址欺骗；ARP协议；地址解析；ARP攻击与防御 中图分类号：TP393.08 文献标识码：A Defense System for ARP Spoofing under LAN JIANG Wei，LIU Hao-ran，ZHANG Chun-bin （South Center University for Nationalities，Hubei Wuhan 430074） Key words: LAN；spoof；defense 遭受ARP地址欺骗攻击的局域网通常表现为：网络掉线，但网络连接正常；无法打开网页或打开网页慢；局域网时断时续并且网速较慢；局域网内的部分主机能正常访问局域网内的主机，但不能连接到外网，甚至不能访问同一网络内的其他VLAN主机，严重时局域网内所有主机不能上网。原因可能是因为局域网内有一台或若干台计算机感染了ARP地址欺骗类病毒。ARP病毒利用ARP协议存在的漏洞进行攻击，属于木马(Trojan)病毒，不具备主动传播的特性，不会自我复制。但由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，甚至使整个网络瘫痪，因此它的危害比一些蠕虫(Worm)病毒还要严重得多。为了避免遭受ARP地址欺骗的攻击，我们有必要讨论一下它的相关原理及防御措施。 1 ARP地址欺骗攻击的工作原理 1.1 ARP工作原理 ARP,英文全称“Address Resolution Protocol”,中文译为“地址解析协议”。MAC地址是固化在网卡上串行EEPROM中的物理地址,是由48 bit长(6字节),16进制的数字组成,0~23位是由厂家自己分配,24~47位叫做组织唯一标志符,是识别LAN(局域网)节点的标识。 在局域网中,数据传输实际传输的是“帧”（frame），帧里面含有目标主机的MAC地址。在以太网（ETHERNET）中两主机要想直接通信,就必须要知道目标主机的MAC地址,而目标主机的MAC地址就是通过“地址解析协议”—ARP获得的。它的基本功能是将目标的IP地址转换成目标的MAC地址。过程简单描述如下： 这个转换过程是怎样来完成的呢?下面介绍ARP的工作原理。 在安装有TCP/IP协议的电脑里都有一个ARP高速缓存表,以表示IP地址和MAC地址的对应关系。当主机α要向主机β发送数据时,主机α先要检查自己ARP列表中是否存有主机β的IP地址对应的MAC地址,如果有,就直接把主机β的MAC地址写入帧里发送给主机β;如果没有就向本网段发起一个ARP请求的广播包,查询主机β对应的MAC地址。此ARP请求数据包里包括主机α的IP地址、MAC地址、以及主机β的IP地址。 当网络中的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。若不相同就忽略此数据包;若相同,则该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给主机α发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址;主机α收到这个ARP响应数据包后,将得到的主机β的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果主机α一直没有收到ARP响应数据包,则表示ARP查询失败。 1.2 ARP欺骗原理 ARP缓存中的IP-MAC条目是根据ARP响应包动态变化的,只要网络上有ARP响应包发送到本机,就会更新ARP高速缓存中的IP-MAC条目。攻击者只要持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目。 局域网中的某主机若被加载了ARP欺骗的木马程序的盗号软件或某些应用程序，就会向该局域网中的其它主机发动ARP欺骗攻击,通过伪造IP地址和MAC地址实现ARP欺骗,在网络中产生大量的ARP广播或者非广播，使网络阻塞或者经“Man-in-the-Middle”实施ARP重定向和嗅探攻击。病毒主机会欺骗局域网内所有主机和路由器,使所有上网的流量必须经过它才能连接网络,切换时用户会断一次线。切换到病毒主机，上网后,如果用户已经登录了网游服务器,那么病毒主机就会经常伪造断线的假象,那么用户就得重新登录网游服务器,这样