浅议ARP协议及网络安全的策略.docVIP

浅议ARP协议及网络安全的策略 　　【摘 要】 网络欺骗攻击作为一种非常专业化的攻击手段 ,给网络安全管理者带来了严峻的考验 。本文通过分析ARP协议的工作原理 ,讨论了ARP协议从IP地址到物理地址解析过程中存在的安全隐患, 然后详细分析了ARP病毒的两种常见攻击方式，接着介绍了ARP病毒源的查找和病毒清除方法，最后提出了有效防范ARP病毒的措施。 　　【关键词】 地址解析;ARP欺骗攻击;缓存表;IP/MAC 绑定 　　1、引言 　　 　　互联网几乎时时刻刻都遭受到各种各样的攻击 ,不时有网络服务器被击破的报告,这使网络安全受到了严重威胁,干扰了互联网的正常发展。因此,如何有效地防范各种攻击,增强网络安全性,是一项长期而又艰巨的任务。 　　近期，我校校园网多个网段多次受到ＡＲＰ病毒的攻击，造成网络运行不稳定，利用ARP协议欺骗攻击网络的病毒在校园网中大肆传播,用户计算机出现频繁断网、ＩＥ浏览器频繁出错等故障，极大地影响了校园网用户的正常使用,甚至造成校园网瘫痪。为此，本文在介绍ＡＲＰ协议工作原理的基础上，对ＡＲＰ病毒攻击进行了详细分析，并提出了切实可行的病毒诊断和防范措施。 　　 　　２、ARP协议 　　 　　欺骗类攻击是网络中常见的攻击类型,对网络服务器的危害很大,由于它属于一种非常专业化的攻击手段,一般人员对其攻击机制不甚了解,因此造成了防范此类攻击的困难。 　　ARP欺骗作为一种典型的欺骗类攻击,包括构造伪造的ARP请求和ARP应答包[1]。攻击主机通过发送伪造的ARP应答来更新目标主机的ARP缓存,从而使自身赢得目标主机的信任。然后再实施有效攻击或非法监听网络数据包,造成目标主机被攻破或机密信息泄漏等一系列灾难性后果。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。 　　2.1、什么是ARP协议 　　ＡＲＰ协议（Ａｄｄｒｅｓｓ Ｒｅｓｏｌｕｔｉｏｎ Ｐｒｏｔｏｃｏｌ，地址解析协议）是ＴＣＰ／ＩＰ协议族中的一个重要协议,实现将网络层（Ｎｅｔｗｏｒｋ Ｌａｙｅｒ，ＯＳＩ的第三层）地址解析为数据链路层（Ｄａｔａ Ｌｉｎｋ Ｌａｙｅｒ，ＯＳＩ的第二层）地址。 　　在局域网中,网络中实际传输的是“帧”，当一台主机把以太网数据帧发送到另一台主机时，以太网设备并不识别32位IP地址,它们是根据48位以太网地址来确定目的接口的,网络中实际传输的每一帧里包含有目标主机的介质访问控制子层MAC(Media Ac2cess Control )地址[2]。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址,但这个目标ＭＡＣ地址是如何获得的呢？它就是通过地“地址解析”协议获得的。所谓“地址解析”就是在IP地址和硬件地址MAC之间提供的动态映射。将MAC地址转换为网络IP地址是通过反向地址解析协议RARP(Reverse AddressResolution Protocol)来实现的。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。所以说从某种意义上讲ＡＲＰ协议是工作在更低于ＩＰ协议的协议层。这也是为什么ＡＲＰ欺骗更能够让人在神不知鬼不觉的情况下出现网络故障的原因，他的危害更加隐蔽。 　　2.2、ARP协议工作原理 　　ARP解析地址的过程就是[3]主机在发送数据帧之前将目标主机的IP地址转换成目标主机的MAC地址的过程,ARP是解决同一个局域网上的主机或路由器的IP地址和硬件地址的映射问题。 　　当主机A欲向本网络的主机B发送IP数据报时[4],就先在其ARP高速缓存中查看有无主机B的IP地址,如果存在,就可查出其对应的硬件地址,再将此硬件地址写入MAC帧,然后通过局域网将该MAC帧发往此硬件地址对应的主机;如果不存在,主机A就要在网络上用广播方式发送ARP请求分组,在此网络上的所有主机上运行的 ARP进程都收到此ARP请求分组,主机B在ARP请求分组中见到自己的IP地址,就向主机A发送ARP响应分组,并写入自己的硬件地址,其它的所有主机都不响应这个ARP请求分组。 　　为了减少网络上的通信量,主机A在发送其ARP请求分组时,就将自己的IP地址到硬件地址的映射写入ARP请求分组。当主机B收到主机A的ARP请求分组时,就将主机A的这一地址映射写入主机B自己的ARP高速缓存中，这样，主机B以后向主机A发送数据报时就可以直接发送了。 　　如果目标主机和源主机不在同一个局域网上,那么就要通过ARP表找到一个和本网络相连的某个路由器的硬件地址,然后把分组发送给这个路由器,让这个路由器把分组转发给下一个网络,直到找到目标主机。 　　从IP地址到硬件地址的解析是自动进行的,主机的用户对这种地址解析过