《局域网ARP欺骗的工作原理与防范策略》由会员分享,可在线阅读,更多相关《局域网ARP欺骗的工作原理与防范策略(5页珍藏版)》请在金锄头文库上搜索。
1、局域网ARP欺骗的工作原理与防范策略摘要:ARP 欺骗的发生严重影响到局域网用户的上网安全,网络的正常运转。本文从研究ARP协议的工作原理和交换机的工作原理出发,表述了ARP欺骗的现象及类型,然后对ARP 欺骗提出了有力的防范策略。关键词:ARP 欺骗;交换机;防范1引言随着计算机网络的飞速发展,大多数单位都建立了自己的局域网。ARP(Address Resolution Protocol)地址解析协议是局域网中数据链路层不可缺少的协议,但黑客利用此协议漏洞编制出ARP病毒,网络剪刀手,网络执法官等恶意软件,使正常局域网用户上网必须通过病毒主机上网,造成用户上网速度特别慢,一会能上,一会断掉,
2、用户上网的个人帐号和密码等信息泄露,这已成为网络管理者迫切需要解决的问题。2 ARP协议和交换机的工作原理分析2.1 ARP工作原理局域网中上网的每台主机都必须有一个IP地址,在IP数据报的头部包含源主机和目的主机的IP地址,但在数据链路层是以帧为单位进行数据传输,例如Ethernet_II 的帧格式如表1 所示。Ethernet_II 帧结构在帧格式中目的地址和源地址都是6 个字节,48 比特表示,该地址称为MAC地址,又称物理地址。生产网卡时,MAC地址被固化在网卡芯片中。在MAC地址的6个字节中,前3个字节由IEEE(国际电气和电子工程师协会)负责分配,这3个字节称为“厂商代码”,后3个
3、字节由厂商自行分配,这种方法使得全世界范围内每一块网卡的地址都是唯一的。2.2 交换机的工作原理交换机按照收到的每一个数据帧中的MAC 地址进行信息转发。交换机维护着一张地址映射表,记录MAC 地址和交换机端口的对应关系。当交换机接收到一个数据帧后,它首先读取帧头中的源MAC 地址和目标MAC 地址。交换机根据源MAC 地址和接收这个数据帧的端口就可以知道源MAC 地址的机器连接在哪个端口上,从而更新地址映射表。交换机再根据目标MAC 地址在地址映射表中查找对应的端口,如果查到则把数据帧直接复制到这个端口上,如果表中没有记录则把数据帧广播到除此接收端口之外的所有端口上。当目标机器对源机器发回响
4、应时,交换机就可以知道目标MAC 地址在哪个端口上,并更新地址映射表,下次再传送数据帧给这台机器时就不需要广播了,而是直接转发。以上分析的结论是:交换机维护着一张地址映射表,表中的MAC 地址与交换机端口号的对应关系是学习得到的,因此交换机上不存在ARP 欺骗问题3 ARP 欺骗的故障现象及类型3.1 ARP欺骗的故障现象在日常生活中,我们经常会遇到一些网络的故障现象,如:打开一些站点时返回本地计算机的网页被修改,网页上出现了指向病毒网站的超链接、网页错误等;用户上网的速度明显变慢,在Ping 与DNS 的连通性时明显时间过长且长短不稳定,甚至常常发生丢包现象;从网上邻居拷贝文件有时无法完成、
5、出现错误等现象。出现这些问题后,一般的用户会对本机查杀病毒和安装防火墙,但都不能有效的解决问题。网站管理员也会检查站点的源程序是否被挂木马,但结果是源程序正常。经过反复分析、研究和实践,确定主要原因是局域网内的ARP 欺骗问题。3.2 ARP 欺骗的类型一种是对局域网计算机的欺骗,另一种是对内部网关的欺骗。对于局域网计算机的ARP 欺骗实质是:病毒主机以代理计算机的身份插入在两台计算机之间,截获用户的数据、篡改用户的数据,使用户上网的速度变慢或者上不了网。这种ARP 欺骗最常见的形式就是病毒主机将自己伪造成网关:病毒主机使用网关的IP 地址和自己的MAC 地址伪造一个ARP 应答帧,并将该帧以
6、一定的频率发送给被欺骗主机;ARP 协议的原理决定了无论一台计算机是否发送过ARP 请求帧,当它收到一个ARP 应答帧时都会检查并更新自己的ARP 缓存表;于是被欺骗主机的ARP 缓存表中网关的IP 地址就指向了假网关的MAC 地址;以后该用户计算机发往网关的数据帧则全部发给了这台病毒主机。对于网关的ARP 欺骗实质是:病毒主机向网关发送伪造的ARP 应答帧,造成网关ARP 缓存表中的错误记录,使网关将原本发送给用户计算机的数据发送给了错误的机器,严重时网关将无法工作。这种ARP 欺骗最常见的形式就是病毒主机将自己伪造成用户计算机:病毒主机用伪造的IP 地址和自己的MAC 地址伪造一个ARP
7、应答帧,并将该帧以一定的频率发送给网关;网关检查并更新自己的ARP缓存表;于是网关的ARP 缓存表中伪造的IP 地址就指向了病毒主机的MAC 地址;以后网关发往该IP 地址的数据帧则全部发给了这台病毒主机。4 ARP欺骗的防范ARP欺骗利用了ARP协议固有的缺陷, 但是采用以下几种方法是可以有效的对ARP欺骗进行防范的。4.1 IP地址与MAC地址绑定在开始- 运行中输入cmd, 然后用arp- d和arp- s命令对IP地址和MAC地址进行绑定。编写如下一个批处理来实现arp缓存表的刷新与IP地址与MAC地址绑定。arp- darp- darp- s 59.68.29.137 00- 0A-
8、 EB- 14- 9C- 28arp- s 59.68.29.129 00- D0- 95- 97- 7C- D6在交换机上,可以采用限制ARP流量、关闭端口、合理划分VLAN等措施,其中最有效的是将用户计算机网卡的MAC与交换机的端口进行绑定,从而使交换机在转发数据包时使用静态的ARP表项,同时防止了用户自己随意更改网卡MAC可能导致的网络安全问题。4.2 采用安全的网络拓扑结构由于ARP包只能在一个网段中传送, 所以把网络分成不同的网段, 各个网段之间再进行连接, 这样就可以杜绝ARP欺骗的发生。4.3 提高安全意识局域网用户应提高自身的安全意识, 安装防火墙, 并及时更新杀毒软件的病毒库
9、。定期的对磁盘经行杀毒扫描; 给系统安装补丁程序, 并且给系统管理员帐户设置足够复杂的强密码; 关闭一些不需要的服务, 条件允许的可关闭一些没有必要的共享。4.4 采取一些预防ARP欺骗的专业软件例如奇虎360ARP防火墙, 它是奇虎360安全卫士系列安全小工具之一。奇虎360ARP防火墙推荐局域网用户使用, 它将有效拦截局域网中的ARP攻击, 同时将第一时间对网关MAC的变更给予提示, 这个工具不但可以有效防御利用ARP技术的恶意程序, 它还具备追踪ARP攻击者的功能, 这样就能够使我们查出进行欺骗的主机, 并对它采取措施。如图4所示, 上述实验中, 若主机B使用了专业软件, 就能轻松的拦截
10、系统正在遭受的ARP攻击, 并且能够找出攻击源的MAC地址00- 0A- EB- 14- 9C- 28。5 结束语ARP 欺骗的产生,严重影响局域网的安全、稳定运行。本文从ARP 原理出发,介绍了一种有效的防范ARP 欺骗的方法,在实际中起到较好的应用。参考文献1 美国Todd Lammle. CCNA Study Guide Fourth EditionM. 北京: 电子工业出版社, 2004.2 谢希仁. 计算机网络( 第4 版)M. 北京: 电子工业出版社,2003.3 雷震甲. 网络工程师教程M. 北京: 清华大学出版社, 2004.4 曹洪武.ARP欺骗入侵的检测与防范策略 J .塔里木大学学报,2007( 2) .5 樊景博,刘爱军.ARP 病毒的原理及防御办法J.商洛学院学报,2007(2)6 曹洪武.ARP 欺骗入侵的检测与防范策略J.塔里木大学学报2007(2)3
