浅析局域网中ARP欺骗攻击防范.docVIP

浅析局域网中ARP欺骗攻击防范 　　摘要：随着计算机和互联网技术的广泛应用，由计算机病毒引起的网络安全问题也日益突出。ARP欺骗攻击就是局域网中常见的病毒攻击之一.本文介绍了ARP协议的概念和工作原理、ARP欺骗攻击的表现及方式，最后对ARP欺骗攻击的防范策略进行探讨。 　　关键词：ARP协议； ARP欺骗攻击；防范 　　 　　1ARP协议 　　1.1ARP概念 　　ARP（Address Resolution Protocol）地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。在TCP/IP网络环境下，每个主机都分配了一个IP地址，而以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的，即：ARP协议的作用就是用于将网络中的IP地址解析为硬件MAC地址，以保证通信的顺利进行。 　　1.2工作原理 　　ARP协议的设计是以局域网中主机相互信任为前提的，这样就为网络欺骗攻击提供了前提条件。 　　首先，每台主机都会在自己的ARP缓冲区中建立一个ARP列表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包发送到目的主机时，会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址，如果有，就直接将数据包发送到这个MAC地址；否则，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。 　　网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不一致就忽略此数据包；如果一致，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的 ARP列表中，并利用此信息开始数据的传输。 　　2ARP欺骗攻击 　　2.1表现形式 　　（1）使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。 　　（2）局域网内突然出现ARP 广播包大量增加的情形。查询时发现大量的可疑MAC 地址或根本就是错误的MAC地址，甚至有多个IP地址对应一个MAC地址的情形。局域网内通信堵塞， 严重时部分网络设备都被系统视为了计算机。 　　（3）窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。 　　2.2攻击方式 　　一种是对路由器ARP表的欺骗：它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。 　　另一种是对内网PC的网关欺骗：它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。 　　3防范策略 　　3.1防火墙的应用 　　在局域网内用户机器上安装软件防火墙，这能在一定程度上阻止ARP的传播 ，可以对外来ARP攻击进行有效的保护，也可以对自身ARP的向外传播给予阻止。这极大地限制了ARP攻击的传播，在主服务器中安装硬件防火墙，这可以有效阻止外部的ARP木马进入局域网中，从而对局域网中的用户进行保护。 　　3.2MAC地址和IP地址的双重绑定 　　将局域网内用户的MAC地址与IP地址登记造册，在交换机处手动配置静态IP的表项，使其与用户的MAC地址相对应，形成绑定关系。如果出现某IP地址用户的信息流量激增，而用户又不能正常使用，就可以在第一时间对其对应的一个或几个 MAC地址的交换机端口进行关闭，查明原因后，对遭受ARP攻击的用户机器进行维护从而将损失降到最低点。 　　3.3对静态记录的添加 　　静态记录或称永久记录，其特点为永久有效。静态记录拥有排他性功能。使ARP在使用伪造IP地址或MAC地址进行数据传输时无法进入其机器系统进行传播和破坏。此方法是建立在IP地址不变更的前提条件下才能正常使用的。如果IP地址不能固定，会使局域网内出现大量相同的IP地址和MAC地址。这就给维护人员带来很大的工作量，同时对局域网也造成很大的破坏。 　　3.4良好的上网习惯 　　定期更新操作系统，给系统下载和安装最新的系统补丁程序，更新系统可以填补系统的