浅述局域网防护ARP攻击.docVIP

浅述局域网防护ARP攻击 　　【摘 要】ARP攻击是目前局域网中最常见的攻击方式，本文主要介绍了ARP攻击的原理、解决一般局域网ARP攻击的方法、合理设置具有ARP防护功能的路由器和交换机的方法。 　　【关键词】局域网；ARP攻击 　　 　　 　　学校的网络刚升级完成，但是ARP攻击又来了，这次通过在学校升级的网络设备上合理的设置，总算把ARP攻击给控制住了。现在把我这几年处理局域网ARP攻击的经验总结一下，希望与大家互相借鉴一下。我们先来了解一下ARP攻击的原理。 　　一、ARP攻击的原理 　　首先我们先来了解一下几个基本定义。 　　IP地址是互联网协议地址（Internet Protocol Address）的缩写，IP地址是IP协议提供的一种统一的地址格式，它为一个32位的二进制数，通常被分割为4个“8位二进制数”（也就是4个字节），它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。 　　MAC地址是Medium/Media Access Control的缩写，它是收录在网卡里的,也叫硬件地址,是由12位16进制的数字组成。网卡的物理地址通常是由网卡生产厂家烧入网卡的闪存芯片中，每一块网卡都有自己独立的MAC地址，网络中是通过物理地址来识别主机的，它一定是全球唯一的。 　　ARP协议是地址解析协议（Address Resolution Protocol）的缩写，其功能是：主机将ARP请求广播到网络上的所有主机，并接收返回消息，确定目标IP地址的物理地址，同时将IP地址和硬件地址存入本机ARP缓存中，下次请求时直接查询ARP缓存。 　　ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。 　　因为ARP具体来说是将IP地址解析为MAC地址，所以ARP攻击仅能在局域网中发生，无法对互联网进行攻击。 　　假设我们局域网里面有两台主机A和B通过路由器C上网，正常的情况下，主机A和主机B都是直接连接到路由器C上网的，但是当主机B中了ARP欺骗病毒时，它首先发出广播的应答报文，把自己伪装成网关地址，主机A接收到以后会替换自己的ARP表（ARP表是动态的），然后主机A再发送上网信息的话，首先会发送给主机B，主机B再转发给路由器C，这样主机A的上网过程就是连接到主机B再连接路由器C，主机B就可以直接窃取主机A的各种信息或者直接控制主机A的网速，但是路由器C会不定时的发送更新网关的报文，这样路由器C和主机B就会发生竞争，会造成网络的迟缓或中断。如果局域网的主机比较多，就会造成整个局域网的崩溃。 　　二、一般局域网的解决方法 　　一般的局域网中使用的二层交换机和路由器都没有针对ARP攻击的解决方案，所以我们只能够采用绑定主机来预防，嗅探来查找的方法来解决问题。 　　绑定的方法主要有两种，一种是直接通过DOS命令来绑定，另一种是通过ARP防火墙来绑定。 　　第一种方法通过DOS命令的方法如下： 　　打开“开始”菜单，选择“运行”，输入“CMD”。 　　输入：ARP ?Cs IP MAC 绑定本机地址 　　ARP ?Cs 网关IP 网关MAC 绑定网关地址 　　 　　图1 　　这样就可以绑定本机和网关地址，还可以通过下面命令来查看绑定是否成功。 　　输入：ARP -a 　　为了避免每次开机都输入DOS命令，我们还可以把它写成批处理文件*.bat，直接加到系统启动当中。 　　第二种方法通过ARP防火墙的方法如下： 　　这里我们选择360ARP防火墙来演示。 　　打开360安全卫士，选择“更多”，选择“流量防火墙”，选择“局域网防护”，选择“手动绑定”。 　　 　　图2 　　在局域网绑定过后，当出现ARP攻击的时候，网速会变慢，我们通过查看系统信息或软件提示，发现本机被攻击获得攻击主机的MAC地址，这时可以通过嗅探工具找出ARP攻击的主机，并及时处理，从而解决ARP攻击的问题。这里我们以NBTSCAN工具来举例。 　　假设在局域网中有一台MAC为“00-11-09-43-6a-25”的地址主机正在使用了ARP攻击，我们使用NBTSCAN工具来嗅探的步骤如下： 　　1、将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。 　　2、选择Windows“开始”菜单，选择“运行”菜单，选择“打开”，输入“cmd”，在出现的DOS窗口中输入：C: nbtscan -r 192.168.1.1/24（这里需要根据用户实际网段输入），回车。 　　 　　图3 　　3、通