论局域网中ARP攻击及防范的措施.docVIP

论局域网中ARP攻击及防范的措施 　　摘要：ARP攻击是计算机网络面临的重要威胁之一，如何防御ARP攻击已经成为了计算机网络领域中一个热点问题。该文首先分析了ARP的工作原理，然后研究了ARP攻击的原理和危害，最后提出了防御ARP攻击的措施和手段。 　　关键词：局域网；ARP攻击；防范措施 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）02-0031-02 　　1 概述 　　ARP攻击是局域网中极为常见的网络攻击手段。ARP攻击之所以会出现，是因为互联网协议IPV4存在一些不完善之处，IPV4并没有考虑到ARP协议的不安全问题，因此，也造成了很多ARP攻击的出现。虽然后续的IPV6协议已经得到完善，但是目前IPV4仍然是主流，并没有完全过渡到IPV6协议，因此，对于ARP攻击的防御仍然具有十分重要的作用。 　　而随着网络技术的发展，ARP攻击的手段和方式层出不穷，其破坏性也越来越大，如何防御ARP攻击，降低攻击带来了危害，已经成为网络安全领域的重要问题。 　　2 ARP工作原理 　　ARP协议就是地址解析协议，其英文全称是Address Resolution Protocol，ARP协议的主要功能是根据IP地址来获取物理地址。在局域网中，主机之间通信时，传送数据的网卡等硬件设备只能识别对方的物理地址，但是主机在通信时只会知道目标主机的IP地址，因此，需要通过目标主机的IP地址解析出目标主机的物理地址，这就要使用到地址解析协议。 　　ARP的具体工作原理如下： 　　在局域网内，当主机A（IP地址是192.168.1.10，物理地址是50-E5-49-B9-41-D4）需要与主机B（IP地址是192.168.1.20，物理地址是40-C4-29-E3-16-F5）通信时，其工作步骤如下所示。 　　1）主机A会检查本机的路由表内容，确定主机B的IP地址，然后会检查本机的ARP缓存表，查看缓存表中是否有主机B的IP地址与物理地址的映射，如果有映射，则直接与主机B通信。 　　2）如果主机A没有找到主机B的IP地址与物理地址的映射，那么会在局域网中广播一个ARP请求帧，这个请求帧包含主机B的IP地址以及主机A的IP地址和物理地址。局域网中的其他所有主机都会接收到主机A发出来的ARP请求，收到之后则会立刻检查是否与本机的IP地址匹配，如果不匹配则会丢弃ARP请求。 　　3）当主机B确定ARP请求中的IP地址与自身IP地址相同时，则会把ARP请求中主机A的IP地址和物理地址存入自身的ARP缓存表中。 　　4）主机B会对主机A发出的ARP请求进行应答，应答信息中包含有自身的物理地址。 　　5）当主机A收到主机B的ARP回复信息之后，就会把主机B的IP地址与物理地址的映射存到本机ARP缓存表中。这样，主机A就可以和主机B进行通信了。 　　3 ARP攻击 　　3.1 ARP攻击原理 　　1）ARP欺骗 　　由于ARP协议的设计存在漏洞，因此，很多攻击者会利用ARP协议的漏洞来发动ARP攻击，其中，ARP欺骗是最为常见的ARP攻击方式。ARP协议并不是只有发送了ARP请求之后才会接收ARP应答，因此，很多攻击者会直接向局域网内主机发送ARP应答，让受害主机更新其ARP缓存表，这就是ARP欺骗。 　　ARP欺骗的具体原理是这样的，假设局域网中有三台主机，分别是主机A（IP地址是192.168.1.10，物理地址是50-E5-49-B9-41-D4）、主机B（IP地址是192.168.1.20，物理地址是40-C4-29-E3-16-F5）和主机C（IP地址是192.168.1.30，物理地址是20-D4-21-F2-56-00），假设主机C是攻击者，其可以向主机A发送一个ARP应答，欺骗主机A自己的IP地址是192.168.1.20，物理地址是20-D4-21-F2-56-00，主机A在接收到ARP应答之后就会更新自己的ARP缓存表，把主机C伪造的IP地址和物理地址的映射记录到ARP缓存表中。主机C会用同样的方式发送ARP应答给主机B，欺骗主机B自己的IP地址是192.168.1.10，物理地址是20-D4-21-F2-56-00。这样主机A和主机B之间的所有通信数据都会经过主机C，主机C可以窃取主机A和主机B的通信信息。这就是典型的ARP欺骗。 　　ARP欺骗最常用的方式并不是通过伪造局域网内部主机的IP地址和物理地址映射的手段，而是伪造网关。攻击者根据上述原理来伪造局域网网关，局域网内所有主机都要通过网关来访问Internet网络，这样，攻击者就可以获取局域网内主机与外部网络通信的数据了。 　　2）ARP请求风暴 　　ARP请求风暴就是在局域网内不断广播ARP请求