网络安全-ARP攻防.docVIP

** ** 目录 目录 1 网络安全 2 ARP攻击 2 什么是ARP 2 ARP攻击原理 2 遭受ARP攻击后现象 3 对ARP攻击的防护 3 ARP攻击导致广播风暴 5 ARP病毒 5 ARP欺骗 6 ARP欺骗的原理 6 MAC地址 8 作用 8 命令与软件 9 更改 10 应用 11 安全问题 11 解决方案 12 网络安全 ARP攻击 什么是ARP 　　ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的底层协议，负责将某个IP地址解析成对应的MAC地址。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。 　　 ARP协议： 是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。所以说从某种意义上讲ARP协议是工作在更低于IP协议的协议层。这也是为什么ARP欺骗更能够让人在神不知鬼不觉的情况下出现网络故障，他的危害更加隐蔽。 　　 ARP攻击原理 ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。 ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。 ARP攻击后现象与危害 ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。 ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。 基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下，受到ARP攻击的计算机会出现两种现象： 1.不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。 2.计算机不能正常上网，出现网络中断的症状。 　　因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截。因此普通的防火墙很难抵挡这种攻击。 　　 ARP攻击导致广播风暴： 计算机不断出现IP地址冲突的提示，重启后不久就重新出现这种情况，升级到最新病毒库却未查出病毒。这种现象，是因为局域网中有计算机感染了病毒，不断的向局域网发送广播，并采用了IP地址欺骗和MAC地址欺骗的方法以躲过扫描。也有可能是有人在局域网中使用了黑客软件，如网络执法官、网络剪刀手等黑客软件，对局域网进行攻击，也是采用了ARP攻击导致了广播风暴。 对策：激活防止ARP病毒攻击。在路由器中打开该选项，或者为计算机安装防范ARP攻击的软件，如360安全卫士的局域网ARP攻击拦截的保护功能等；对局域网内每一台计算机绑定网管的IP和其mac地址；给每一台计算机安装最新补丁，最好通过在局域网内架设补丁服务器（WSUS）来确保每一台计算机都能 打上最新的补丁程序，如关键更新、安全更新和Service Pack；给系统管理员帐户设置足够复杂的强密码；经常更新杀毒软件的病毒库和网络软件防火墙的规则库；关闭一些不需要的服务；不随意点击聊天工具里出现的超链接、邮件的附件和来历不明的程序。 1) 网络视频引发广播风暴 部分视频网络传输设备为了便于网络视频点播，常常采用UDP的方式，以广播数据包