arp欺骗原理与防护技术研究.docxVIP

arp欺骗原理与防护技术研究 姓名 单位 摘要：ARP协议对网络安全具有极其重要的意义，通过伪造TP地址和MAC地址实现ARP 欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。 关键词：ARP；欺骗原理；防护技术 一、ARP协议简介 1、 ARP协议概念 ARP 协议(Address Resolution Protoco 1)即地址解析协议, 该协议将网络层的IP地址转换为数据链路层地址。TCP IP协议 中规定，IP地址为32位，由网络号和网络内的主机号构成，每 一台接入局域网或者Internet的主机都要配置一个IP地址。在 以太网中，源主机和日的主机通信时，源主机不仅要知道目的主 机的IP地址，还要知道目的主机的数据链路层地址，即网卡的 MAC地址，同时规定MAC地址为48位。ARP协议所做的工作就是 查询目的主机的IP地址所对应的MAC地址，并实现双方通信。 2、 基本功能 在以太网协议中规定，同一局域网中的一台主机要和另一台 主机进行直接通信，必须要知道目标主机的MAC地址。而在 TCP/IP协议栈中，网络层和传输层只关心目标主机的IP地址。 这就导致在以太网中使用IP协议时，数据链路层的以太网协议 接到上层IP协议提供的数据中，只包含目的主机的IP地址。于 是需要一种方法，根据日的主机的IP地址，获得其MAC地址。 这就是ARP协议要做的事情。所谓地址解析(address resolution)就是主机在发送帧前将目标IP地址转换成目标MAC 地址的过程。 3、工作原理 在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是——对应的。以主机A (192. 168. 1.23)向主机B (192. 168. 1. 1)发送数据为例。当 发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标 IP地址。如果找到了，也就知道了目标MAC地址，直接把目标 MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找 到日标IP地址，主机A就会在网络上发送一个广播，A主机MAC 地址是“FF.FF.FF.FF.FF.FF” ,这表示向同一网段内的所有主 机发出这样的询问：“我是192. 168.1.5,我的硬件地址是 〃FF? FF. FF. FF. FF. FE〃?请问 IP 地址为 192. 168. 1. 1 的 MAC 地址 是什么？ ”网络上其他主机并不响应ARP询问，只有主机B接收 到这个帧时，才向主机A做出这样的回应：“192. 168. 1. 1的MAC 地址是00_aa_00_62_c6_09 v 。这样，主机A就知道了主机B的 MAC地址，它就可以向主机B发送信息了。同时A和B还同时都 更新了自己的ARP缓存表(因为A在询问的时候把自己的IP和 MAC地址一起告诉了 B),下次A再向主机B或者B向A发送信息 时，直接从各自的ARP缓存表里查找就可以了。ARP缓存表采用 了老化机制(即设置了牛存时间TTL),在一段时间内(一般15到20分钟）如果表中的某一行没有使用，就会被删除，这样可 以大大减少ARP缓存表的长度，加快查询速度。 二、arp欺骗原理及遭受ARP欺骗攻击后现象、危害 1、arp欺骗原理 ARP欺骗攻击就是通过伪造IP地址和MAC地址实现ARP欺 骗，能够在网络中产牛大量的ARP通信量使网络阻塞，攻击者只 要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存 中的IP-MAC条目，造成网络中断或中间人攻击。 将ip地址转换为mac地址是ARP的工作，在网络中发送虚 假的ARP respones,就是ARP欺骗。ARP处理需要两个信息来完 成数据传输，一个是IP地址，一个是MAC地址。所以当ARP传 输数据包到目的主机时，有其他主机故意顶替目的主机的MAC地 址，就造成了数据包不能准确到达。这就是所谓的ARP欺骗。 在正常情况下每台主机（包括网关）都有一个ARP缓存表， 这个缓存表能够有效的保证数据传输的一对一性。但是在ARP缓 存表的实现机制中存在一个不完善的地方，当主机收到一个ARP 的应答包后，它并不会去验证自己是否发送过这个ARP请求，而 是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP 缓存表里的相应信息。 假如我们有两个网段、三台主机、两个网关、分别是： 主机名IP地址 主机名 IP地址 MAC地址 网关1 192. 16 1. 1 01-01-01-01-01-01 主机A 192. 168. 1.2 02-02-02-02-02-02 主机B 192. 16 1.3 03-03-03-03-03-03 网关2 10. 1. 1. 1 04-04-04-04-04-04 主机C 10. 1. 1.2 05-05-0