ARP攻击的分析及解决方案.docVIP

一、 ARP协议 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写，在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 二、 ARP攻击现象 以下几种现象为ARP攻击常见的现象： 1. 上网时断时续； 2. 通过IE地址栏输入要打开的网页地址，实际上打开的网页地址与目的地址不一致； 3. 用户访问网页，瑞星杀毒软件监控提示木马病毒报警，但是全盘查杀木马病毒，并 未扫描出木马病毒； 4. 本地查杀没有病毒木马，但是用户账号密码被盗。 三、 ARP欺骗原理 如图所示，正常情况下，PC A(192.168.0.1)向PC B（192.168.0.2）发送数据时，会先在自己的ARP缓存表中查看是否有PC B的IP地址，如果有，则会找到此IP地址对应的MAC地址，向此MAC地址发送数据。 如果PC A在自己的ARP缓存表中未发现PC B的IP地址，则PC A 会在网络中发送一个广播，查找192.168.0.2 此IP对应的MAC 地址。此时，网络上其他主机并不会相应此ARP询问，只有PC B接收到这个消息时，会回应PC B（192.168.0.2）的MAC地址（bb-bb-bb-bb）。这样，PC A就可以向PC B通讯了，而且，PC A 会将此对应信息记录到自己的缓存表中，下次再访问就可以直接通过ARP缓存表查看。发生ARP攻击时，例如，PC C（192.168.0.3）感染了ARP病毒，它会在局域网内发送伪造的ARP REPLY包，内容如下，PC B(192.168.0.2)的MAC地址为 cc-cc-cc-cc。这样，所有的接收到此包的客户端PC A, PC D 在访问PC B(192.168.0.2)的时候，就会变成先访问PC C，这样，PC C 就成功获取了PC A, PC D 发送的消息。 ? 当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。用户访问网站，服务器时，输入的用户名密码等信息会被病毒主机盗取。用户访问网页被替换成挂马网页，瑞星监控在用户访问该网页时会提示发现木马病毒，但是用户本地查杀未发现病毒。 四、 解决方案 1. 用户可以选择安装瑞星个人防火墙或瑞星全功能杀毒软件，开启ARP欺骗防御中的防御规则。绑定网关的IP地址和MAC地址后，能够有效地防止ARP攻击。设置界面如图： 2. 用户可以使用ARP –S 命令，手动绑定网关的IP地址与MAC地址。但是此种方式在客户端重新启动后会失效，需要重新绑定。