Arp欺骗实现网络准入控制方法研究.docVIP

PAGE / NUMPAGES DOCPROPERTY catalog \* MERGEFORMAT 技术资料 DOCPROPERTY name Arp欺骗实现网络准入控制方法分析 北京赛门铁克信息技术有限公司 2006年08月 版本变更记录 版本 修订日期 修订人 描述 1.0 2006-8-11 叶永军 初稿 目 录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc143068255 第1章 ARP欺骗的原理 PAGEREF _Toc143068255 \h 1 HYPERLINK \l _Toc143068256 1.1 Arp协议介绍 PAGEREF _Toc143068256 \h 1 HYPERLINK \l _Toc143068257 1.2 Arp病毒/Arp木马工作原理 PAGEREF _Toc143068257 \h 2 HYPERLINK \l _Toc143068258 1.2.1 病毒故障现象 PAGEREF _Toc143068258 \h 2 HYPERLINK \l _Toc143068259 1.2.2 病毒实现原理 PAGEREF _Toc143068259 \h 3 HYPERLINK \l _Toc143068260 1.3 Arp实现网络准入控制的原理 PAGEREF _Toc143068260 \h 3 HYPERLINK \l _Toc143068261 第2章 ARP欺骗的防范措施 PAGEREF _Toc143068261 \h 4 HYPERLINK \l _Toc143068262 2.1 防范Arp欺骗的重要性 PAGEREF _Toc143068262 \h 4 HYPERLINK \l _Toc143068263 2.2 防范Arp的措施 PAGEREF _Toc143068263 \h 5 HYPERLINK \l _Toc143068264 2.2.1 设置静态Mac表 PAGEREF _Toc143068264 \h 5 HYPERLINK \l _Toc143068265 2.2.2 应用反Arp欺骗技术 PAGEREF _Toc143068265 \h 5 HYPERLINK \l _Toc143068266 第3章 ARP欺骗实现网络控制的问题 PAGEREF _Toc143068266 \h 6 HYPERLINK \l _Toc143068267 3.1 防范ARP欺骗与利用ARP欺骗的矛盾 PAGEREF _Toc143068267 \h 6 HYPERLINK \l _Toc143068268 3.2 控制的效果 PAGEREF _Toc143068268 \h 6 HYPERLINK \l _Toc143068269 3.3 对网络的负面影响 PAGEREF _Toc143068269 \h 7 HYPERLINK \l _Toc143068270 第4章 ARP技术的有效运用 PAGEREF _Toc143068270 \h 7 ARP欺骗的原理 局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，可以实现交换环境下的会话嗅探，第三方会话劫持攻击；不当的ARP欺骗可能导致整个局域网的不稳定甚至瘫痪；一些网络管理软件利用ARP欺骗也可以实现局域网强制接入的控制（如Internet上流行的“网络执法官”工具）。 本文将详细分析ARP欺骗的工作原理，给网络可能造成的不稳定因素以及防范措施，并证明采用ARP欺骗技术实现网络接入控制的局限性。 Arp协议介绍 对Arp协议和工作原理比较了解的读者可以跳过此章节。 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示： 　　主机 IP地址 MAC地址 　　A aa-aa-aa-aa-aa-aa 　　B bb-bb-bb-bb-bb-bb 　　C