浅述局域网中ARP欺骗攻击及安全防范.docVIP

浅述局域网中ARP欺骗攻击及安全防范 　　[摘要]介绍ARP协议的定义和工作原理，分析ARP欺骗攻击的过程和攻击危害，分析ARP病毒，有针对性提出解决ARP欺骗攻击方案，最后给出安全防范的措施和原则。 　　[关键词]ARP协议 局域网 ARP欺骗 安全防范 　　中图分类号：TP3文献标识码：A文章编号：1671－7597（2009）0420061－02 　　 　　一、ARP欺骗原理 　　 　　ARP欺骗就是一种用于会话劫持攻击中的常见手法。地址解析协议(ARP)利用第2层物理MAC地址来映射第3层逻辑IP地址，如果设备知道了IP地址，但不知道被请求主机的MAC地址，它就会发送ARP请求。ARP请求通常以广播形式发送，以便所有主机都能收到。 　　在电信一般接终端的交换机都是2层交换机，交换原理是通过IP寻找对应的MAC网卡地址，由于TCP/IP协议决定了只会通过MAC寻址到对应的交换机的物理端口，所以才会遭到ARP欺骗攻击。 　　首先局域网的某一台电脑中了ARP病毒，通过他自动发送ARP欺骗包，正常的TCP/IP网络是不会有这样的错误包发送的，而人工发送又比较麻烦。也就是说当黑客没有运行这个恶毒程序的话，网络上通信应该是一切正常的，保留在各个连接网络计算机上的ARP缓存表也应该是正确的，只有程序启动开始发送错误ARP信息以及ARP欺骗包时才会让某些计算机访问网络出现问题。接下来我们来阐述下ARP欺骗的原理。 　　第一步：假设这一个网络，一个Hub或交换机连接了3台机器，依次是计算机A，B，C。 　　A的地址为：IP：192.168.1.1 MAC：AA-AA-AA-AA-AA-AA 　　B的地址为：IP：192.168.1.2 MAC：BB-BB-BB-BB-BB-BB 　　C的地址为：IP：192.168.1.3 MAC：CC-CC-CC-CC-CC-CC 　　第二步：正常情况下在A计算机上运行ARP -A查询ARP缓存表应该出现如下信息。 　　Interface:192.168.1.1 on Interface 0x1000003 　　Internet Address Physical Address Type 　　192.168.1.3 CC-CC-CC-CC-CC-CC dynamic 　　第三步：在计算机B上运行ARP欺骗程序，来发送ARP欺骗包。 　　B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A可不知道被伪造了）。而且A不知道其实是从B发送过来的，A 这里只有192.168.10.3（C 　　的IP地址）和无效的DD-DD-DD-DD-DD-DD mac地址。 　　第四步：欺骗完毕我们在A计算机上运行ARP-A来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。 　　从上面的介绍我们可以清楚的明白原来网络中传输数据包最后都是要根据MAC地址信息的，也就是说虽然我们日常通讯都是通过IP地址，但是最后还是需要通过ARP协议进行地址转换，将IP地址变为MAC地址。而上面例子中在计算机A上的关于计算机C的MAC地址已经错误了，所以即使以后从A计算机访问C计算机这个192.168.1.3这个地址也会被ARP协议错误的解析成MAC地址为DD-DD-DD-DD-DD-DD的。 　　ARP欺骗可以造成内部网络的混乱，让某些被欺骗的计算机无法正常访问内外网，让网关无法和客户端正常通信。实际上他的危害还不仅仅如此，由于系统并不会判断ARP缓存的正确与否，无法像IP地址冲突那样给出提示。由于网关MAC地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然无法正常上网。这就造成了无法访问外网的问题。 　　 　　二、ARP病毒分析 　　 　　由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。 　　在路由器的“系统历史记录”中看到大量如下的信息： 　　MAC Chged 10.128.103.124 　　MAC Old 00:01:6c:36:d1:7f 　　MAC New 00:05:5d:60:c7:18 　　这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有信息的MAC