Arp欺骗实现网络准入控制方法分析.docVIP

DOCPROPERTY catalog 技术资料 DOCPROPERTY name Arp欺骗实现网络准入控制方法分析 北京赛门铁克信息技术有限公司 2006年08月 版本变更记录 版本 修订日期 修订人 描述 1.0 2006-8-11 叶永军 初稿 目 录 TOC \o 1-3 \h \z \u 第1章 ARP欺骗的原理 1 1.1 Arp协议介绍 1 1.2 Arp病毒/Arp木马工作原理 2 1.2.1 病毒故障现象 2 1.2.2 病毒实现原理 3 1.3 Arp实现网络准入控制的原理 3 第2章 ARP欺骗的防范措施 4 2.1 防范Arp欺骗的重要性 4 2.2 防范Arp的措施 5 2.2.1 设置静态Mac表 5 2.2.2 使用反Arp欺骗技术 5 第3章 ARP欺骗实现网络控制的问题 6 3.1 防范ARP欺骗和利用ARP欺骗的矛盾 6 3.2 控制的效果 6 3.3 对网络的负面影响 7 第4章 ARP技术的有效运用 7 ARP欺骗的原理 局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，可以实现交换环境下的会话嗅探，第三方会话劫持攻击；不当的ARP欺骗可能导致整个局域网的不稳定甚至瘫痪；一些网络管理软件利用ARP欺骗也可以实现局域网强制接入的控制（如Internet上流行的“网络执法官”工具）。 本文将详细分析ARP欺骗的工作原理，给网络可能造成的不稳定因素以及防范措施，并证明采用ARP欺骗技术实现网络接入控制的局限性。 Arp协议介绍 对Arp协议和工作原理比较了解的读者可以跳过此章节。 ARP协议是“Address Resolution Protocol”（地址分析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址分析协议获得的。所谓“地址分析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址和MAC地址是一一对应的，如下表所示： 　　主机 IP地址 MAC地址 　　A aa-aa-aa-aa-aa-aa 　　B bb-bb-bb-bb-bb-bb 　　C cc-cc-cc-cc-cc-cc 　　D dd-dd-dd-dd-dd-dd 我们以主机A（）向主机B（）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。 Arp病毒/Arp木马工作原理 2006年上半年，在全国大范围内爆发了一种通过传奇网络游戏外挂传播的木马病毒，对众多企业、教育、政府单位的网络造成严重影响。通过Google搜索可以查阅更详细的关于该病毒的报道。 病毒故障现象 当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。 由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户