掌握arp协议防范arp攻击-精品文档.docxVIP

掌握ARP协议防范ARF攻击 计算机网络是人类最伟大发明之一，网络给人们带来便利， 创造了价值，提高了效率，提供了快乐。不知不觉中， 我们的 工作生活中已离不开网络。 网络可以让你我随心所欲地浏览全世 界的资讯新闻， 快捷地收发邮件信息， 与远在千里之外的人分享 资源，坐在家里买卖商品，使地球村成为可能，这些都已经成为 了很多人生活的一部分。 但人们在发明计算机网络之初， 只是考 虑到了网络的互联互通，极少考虑其安全性。 ARP是 IPV4局域 网中非常重要的协议，没有它， IPV4 网络就无法正常工作，但 很多安全问题又因它而起。 笔者就对ARP协议做一些介绍，提出 常用的ARP病毒的防范方法，希望能为从事网管人员提供帮助。 1 ARP协议 为了工作需要，很多企业、政府、事业单位等都会建立自己 的内部局域网，在这种网络中有两种地址，一种是 IP 地址，它 是由网络服务系统分配的或是手工指定的，可以改变，工作于 OSI参考模型的网络层；另一种是 MAC地址，也称为网卡地址， 是生产厂家出厂时就设置好的， 不可改变， 工作于 OSI 参考模型 的数据链路层。局域网中的每一台计算机都具有这两种地址。 按照 OSI 封装、解封装的工作过程， 必须实现这两种地址之 间的转换，这中间需要用到 ARP以及RARP协议。 ARP协议，又称为地址解析协议，全称是（ Address Resolution Protocol )，属于 TCP/IP 协议族，主要作用是网 络地址转换。 在局域网中， 当一台主机把以太网数据帧发送到另一台主机 时，是根据 48bit 以太网地址来确定目的接口的。 网络中实际传 输的每一帧里包含有目标主机的介质访问控制子层 MAC( Media Access Control )地址。在以太网中，一个主机要和另一个主 机进行直接通信，必须要知道目标主机的 MAC地址。而MAC地址 可以通过地址解析协议获得。所谓地址解析就是在 IP 地址和采 用不同网络技术的硬件地址之间提供的动态映射。 ARP协议就是 从IP数据包中用来获取目的主机的 MAC地址。 另外一个协议是反向地址解析协议 RAR(PReverse Address Resolution Protocol ，RARP，其作用是将 MAC地址转换为 IP 地址。 2 ARP缓存表 为了提高通信效率，网络上每台主机都有一个 ARP缓存表， 这也是ARP高效运行的关键所在。缓存表中存放了最近的 Internet 地址到硬件地址之间的映射记录。 用户可以使用 arp-a 命令查看本机ARP缓存内容。以主机 A向主机B发送数据为例， 当发送数据时，主机A会在本机的ARP缓存表中寻找是否有目标 IP地址。如寻找到，将目标主机 MAC地址写入以太网帧首部加 入到输出队列等候发送；否则，主机 A就会在网络上发送一个 ARP请求广播，询问同一网段内主机 B的MAC地址。网络上其他 主机并不响应该ARP旬问，只有主机B的ARP层收到这份报文后， 才会向主机A发送一个ARP应答，告知其MAC地址。 此时，主机A将获得主机B的MAC地址，就可以向主机B发 送信息。在发送信息的同时更新本机的 ARP缓存表，以便下次再 向主机B发送信息时，直接从ARP缓存表里查找。每台在第一次 登录网络建立网络连接时， 都要发送ARPT播包；如果要访问的 主机的IP地址和MAC地址在本机ARP缓存表中不存在，也将向 网络发送ARP青求。由此可以根据每个用户的既定访问权限信息 对主机的ARP缓存表作相应改变，从而达到访问控制的目的。 但考虑到网络的实时变化，ARP高速缓存中的记录不是一承 不变的， 而是是动态变化的， 每当发送一个指定地点的数据报且 高速缓存中不存在当前项目时，ARP便会自动添加当前项目。ARP 缓存采用老化机制，在一段时间内如果表中的某一行没有被使 用，该行就会被删除，如此可以大大缩小 ARP缓存表的长度，加 快查询速度。因此，访问控制要求所进行的ARP缓存改变必须进 行定时刷新，从而适应 ARP缓存老化机制。 3 ARP攻击 在网络中，当信息进行传播的时候， ARP病毒可以根据以太 网工作原理截获或者捕获， 从而进行分析处理， 称之为网络监听。 网络监听在网络中的任何一个位置模式下都可实施。 这一过程用 户可使用协议抓包分析软件即可实现网络监听模拟。 1）信息发送。以太网网协议的工作方式是将要发送的数据 报发往连接在一起的所有主机。 包头中包括有应该接收数据报的 主机的正确地址。 要发送的数据报必须从 TCP/IP 协议的 IP 层交 给数据链路层，在这个过程中，采用ARP将网络地址翻译成48bit 的MAC地址。 2)信息接收。以太网中填写了物理地址的数据帧经网卡发 送到物理线路上。 当使用