浅谈ARP攻击原理及解决的方法.docVIP

浅谈ARP攻击原理及解决的方法 　　摘要： 局域网中针对ARP的攻击花样繁多，对网络造成极大的危害。介绍ARP攻击的原理，并提出相关的解决方法。 　　关键词： ARP协议；IP地址；MAC地址 　　中图分类号：TP393.1 文献标识码：A 文章编号：1671－7597（2011）0520022－01 　　 　　1 APR协议 　　ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。所以说从某种意义上讲ARP协议是工作在更低于IP协议的协议层。 　　2 ARP欺骗原理 　　ARP工作时，送出一个含有所希望的IP地址的以太网广播数据包。目的地主机，或另一个代表该主机的系统，以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来，以节约不必要的ARP通信，这就是ARP缓存表。 　　一般情况下保留在各个网络计算机上的ARP缓存表应该是正确的，只有程序启动开始发送错误ARP信息以及ARP欺骗包时才会让某些计算机访问网络出现问题。接下来我们来阐述下ARP欺骗的原理。 　　假设网络中有一台交换机，连接了3台机器，依次是计算机X，Y，Z。 　　X的地址为：IP：192.168.1.1 MAC：00-00-00-00-00-11 　　Y的地址为：IP：192.168.1.2 MAC：00-00-00-00-00-22 　　Z的地址为：IP：192.168.1.3 MAC：00-00-00-00-00-33 　　正常情况下在X计算机上运行ARP-A查询ARP缓存表应该出现如下信息。 　　Interface： 92.168.1.1---0x1 　　Internet AddressPhysical AddressType 　　192.168.1.3 00-00-00-00-00-33 dynamic 　　当网络中出现ARP欺骗程序时，某台机器开始发送ARP欺骗包。假设是Y，Y向X发送一个欺骗的ARP应答，而这个应答中的数据为发送方IP地址是192.168.1.3（Z的IP地址），MAC地址是00-00-00-00-00-44（Z的MAC地址本来应该是00-00-00-00-00-33），当X接收到Y欺骗的ARP应答，就会更新本地的ARP缓存， 192.168.1.3（Z的IP地址）对应的mac地址变为00-00-00-00-00-44。 　　此时在X计算机上运行ARP-A来查询ARP缓存信息。原来正确的信息现在已经出现了错误。 　　Interface：192.168.1.1-0x1 　　Internet AddressPhysical AddressType 　　192.168.1.3 00-00-00-00-00-44 dynamic 　　从网络中传输数据包实际是根据MAC地址信息来传输的，平时通过IP地址作为更直观的通讯，但最后还需要通过ARP协议进行地址转换，将IP地址变为MAC地址。而上面例子中在计算机X上的关于计算机Z的MAC地址已经错误了，所以即使以后从X计算机访问Z计算机，192.168.1.3这个地址也会被ARP协议错误的解析成MAC地址为00-00-00-00-00-44。 　　3 ARP欺骗常见方式和危害 　　从影响网络连接的方式来看，ARP欺骗常见的有两种，一种是攻击路由器ARP表，另一种是造假网关。 　　第一种ARP欺骗的攻击对象是路由器，程序截获网关数据。并通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗是伪造网关。程序指定网络中某台主机成为假网关，让被它欺骗的PC向假网关发数据，大量的数据包能使这台假网关当机，所有主机找不到网关，当然造成网络瘫痪的结果。 　　ARP欺骗可以造成内部网络的混乱，只要网络中存在一台感染“ARP欺骗”病毒的计算机将会造成整个网络通讯中断，让某些被欺骗的计算机无法正常访问网络，ARP协议工作在更低层，隐蔽性更高。系统并不会判断ARP缓存的正确与否，无法像IP地址冲突那样给出提示。很多黑客工具例如网络剪刀手、P2P终结者、网络执法官等，可以随时发送A