浅谈局域网中ARP欺骗原理及其防范的策略.docVIP

浅谈局域网中ARP欺骗原理及其防范的策略 　　摘要：ARP欺骗的发生严重影响到局域网用户的上网安全，网络的正常运转。本文首先分析了ARP工作原理，然后详细介绍了ARP欺骗原理及其防范策略。 　　关键词：ARP欺骗 ARP攻击 ARP病毒 MAC地址 　　 　　1 引言 　　 　　随着计算机网络的飞速发展，大多数单位都建立了自己的局域网。ARP(Address Resolution Protocol)地址解析协议是局域网中数据链路层不可缺少的协议，但黑客利用此协议漏洞编制出ARP病毒，网络剪刀手，网络执法官等恶意软件，使正常局域网用户上网必须通过病毒主机上网，造成用户上网速度特别慢，一会能上，一会断掉，用户上网的个人帐号和密码等信息泄露，这已成为网络管理者迫切需要解决的问题。 　　 　　2 ARP工作原理 　　 　　局域网中上网的每台主机都必须有一个IP地址，在IP数据报的头部包含源主机和目的主机的IP地址，但在数据链路层是以帧为单位进行数据传输，例如Ethernet_II的帧格式如表1所示。 　　 　　在帧格式中目的地址和源地址都是6个字节，48比特表示，该地址称为MAC地址，又称物理地址。生产网卡时，MAC地址被固化在网卡芯片中。在MAC地址的6个字节中，前3个字节由IEEE(国际电气和电子工程师协会)负责分配，这3个字节称为“厂商代码”，后3个字节由厂商自行分配，这种方法使得全世界范围内每一块网卡的地址都是唯一的。 　　在网络通信中，局域网中主机每收到一个帧，首先检查目的地址，如果该地址与本机网卡物理地址相符，说明数据是发给自己的，则接收此帧，解封，递交给网络层处理；若地址不符，则忽略该帧。 　　在网络层以IP地址进行通讯，在数据链路层以MAC地址进行通讯，如何获取目标IP地址对应的MAC地址呢？ 　　假设主机A与主机B通讯，ARP工作过程如下： 　　(1)主机A检查自己缓存中的ARP表，判断ARP表中是否存有主机B的IP地址与MAC地址的映射关系。如果找到，则完成ARP地址解析；否则，转下一步。 　　(2)主机A发出ARP广播请求信息包，其中包含自己的IP地址和MAC地址，请求解析主机B的IP地址对应的MAC地址是什么？ 　　(3)同一局域网中的所有计算机都收到该信息包，主机B发送ARP响应信息，通知A自己的IP地址与MAC地址的映射关系，同时将主机A的IP地址和MAC地址添加到表中，如果表中已经存在此记录，则将其覆盖。 　　(4)主机A将主机B的IP地址与MAC地址的映射关系存入ARP表中，从而完成主机B的ARP地址解析。 　　(5)主机A获得主机B的MAC地址之后，即可进行数据传送。 　　由以上过程分析，ARP协议是建立在相互信任的基础上，主机A收到主机B的ARP响应包，只是提取其IP地址和MAC地址，然后更新自己缓存中ARP表，并不验证主机B的IP地址和它的MAC地址的正确性，由此ARP欺骗就产生了。 　　 　　3 ARP欺骗原理 　　 　　如表2所示，假设A，B，C三台主机对应的IP地址为192.168.10.8，192.168.10.9，192.168.10.10。ARP欺骗过程如下：假设主机A和主机C之间正进行通讯，主机B试图截获主机A和主机C的数据包，首先主机B向主机A发送一个ARP应答包，告诉IP地址为192.168.10.10的MAC地址为00-1e-90-81-23-47(即主机B的MAC地址)，主机A收到这个包后并不去验证包的真实性而是直接将自己的ARP表更新，主机A的ARP缓存表如表3。同时主机B向主机C也发送一个ARP响应包，告诉主机C， IP地址为192.168.10.8的MAC地址为00-1e-90-81-23-47(即主机B的MAC地址)，主机C也没有验证真实性就修改了自己的ARP缓存表，如表4所示。这样主机A和主机C之间的通讯插入了中间人主机B，这样就完成了ARP一次欺骗攻击。 　　 　　由于主机中ARP缓存表都有一个时间限制，超过时间表条目会自动删除，所以主机B不断的向主机A和C发送请求应答包，造成网络堵塞，同时主机A和C通讯通过主机B，就造成主机A和C之间的网络时快时慢，时连时断。 　　 　　4 ARP攻击防范策略 　　 　　作为网络管理者来说，局域网中有ARP攻击是比较头疼的一件事情，下面将实际工作中的防御方案介绍如下： 　　(1)每个申请入网用户，填写入网申请表，如表5。 　　 　　(2)网络中心给用户分配IP地址，并在三层交换机中进行IP地址和MAC地址绑定(也可以用网络管理软件进行绑定)。 　　(3)用户安装360arp防火墙，如图1所示，绑定网关的IP地址和MAC地址，可以拦截本机对外的ARP攻击和拦截