基于ＡＲＰ的网络欺骗原理与防范技术.doc

基于ＡＲＰ的网络欺骗原理与防范技术 　　 ［摘要］文章探讨ARP协议的工作原理，详细描述在局域网络中ARP欺骗原理和欺骗的方式、方法，并提出防范ARP网络欺骗攻击的方法。 　　 ［关键词］网络；ARP协议；ARP欺骗；防范 　　 ［作者简介］盘紫鹏，广西财经学院计算机与信息管理系讲师，广西大学电气工程学院在读研究生，研究方向：网络技术、信息安全，广西南宁，530003 　　 ［中图分类号］ TM73 ［文献标识码］ A ［文章编号］ 1007-7723（2008）04-0026-0002 　　 　　一、 引言 　　 　　 在计算机网络技术高速发展的今天，网络已经成为我们工作、生活中不可缺少的一部分，给我们的工作、生活带来了极大便利。网络在带给我们方便和效率的同时，也带来了一系列负面问题。大家都知道，连接了互联网的电脑，几乎都遇到过各式各样的网络攻击，媒体上经常有服务器被黑客入侵或被病毒攻击的报道。实际上，网络安全已经受到了威胁。 　　 特别是近年来，在很多学校经常爆发的ARP欺骗病毒，病毒的主要症状表现是：计算机的网络连接状态显示正常，但是网页无法正常打开，出现断网现象等问题。这种情况的出现，给学校师生的工作、教学和生活带来了很大的影响。因此，进行有效的网络安全的研究，了解各种攻击的原理方法并有针对性地研究各种攻击的防范方法，进而增强局域网的安全性，已经成为网络应用研究的一个重要课题。 　　 　　二、 ARP协议工作原理 　　 　　 ARP，全称Address Resolution Protocol，中文名为地址解析协议，工作在OSI七层协议模型的第二层，即数据链路层。在本层与硬件接口联系，同时对上一层提供服务。 　　 在局域网中，由于二层设备不能识别32位IP地址，只识别48位的以太网物理地址（MAC地址），所以一台主机与另一台主机进行通信，必须知道目标主机的MAC 地址。在二层中，MAC地址是封装成帧，数据是以帧为单位进行传输的。 　　 ARP把IP地址和它的物理地址关联起来。在一个典型的物理网络，比如局域网，链路上的每一个设备都是用物理地址（MAC地址）标志的。当一台主机需要找出这个网络中的另一台主机的物理地址时，它就发送ARP查询分组。这个分组包括发送端的物理地址和IP地址，以及接收端的IP地址。因为发送端不知道接收端的物理地址，查询就在网络上广播。在这个网络上的每一个主机都接收和处理这个ARP查询分组；但是，只有真正的接收者才识别ARP查询分组的IP地址，并发回ARP响应分组。这个响应分组包含有接受者的IP地址和物理地址。这个分组用单播直接发送给查询者，它使用收到的查询分组中所用的物理地址。 　　 ARP的基本工作过程： 　　 1.发送端知道目标主机的IP地址。由于二层上的通信是基于MAC地址的，所以需要知道目标主机的MAC地址。 　　 2.IP请求ARP产生ARP请求报文，填入发送端的物理地址、发送端的IP地址以及目标IP地址。目标物理地址字段填入0。 　　 3.该报文发送给数据链路层，在这一层它被封装成帧，使用发送端的物理地址作为源地址，把物理广播地址作为目的地址。 　　 4.这个网络上的每一台主机都收到这个帧。由于使用了广播目的地址，所有的站都把这个报文交给ARP。只有目标主机识别这个地址，其他的主机都丢弃这个分组。 　　 5.目标主机用ARP回答报文进行回答，这个报文包含它的物理地址。报文使用单播。 　　 6.发送端收到这个回答报文，知道了目标主机的物理地址。 　　 　　三、 ARP欺骗原理 　　 　　 ARP 欺骗作为一种典型的欺骗类攻击，包括构造伪造的ARP 请求和ARP 应答包。攻击主机通过发送伪造的ARP 应答来更新目标主机的ARP 缓存,从而使自身赢得目标主机的信任。然后再实施有效攻击或非法监听网络数据包，造成目标主机被攻破或机密信息泄漏等一系列灾难性后果。 　　 ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断地发出伪造的ARP响应包，就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。 　　 ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其他计算机的通信信息，并因此造成网内其他计算机的通信故障。 　　 　　四、 防范技术 　　 　　 （一）基于交换机的端口与MAC地址绑定 　　 通过交换机端口与MAC地址的绑定，设定绑定MAC地址的主机能通讯，可起到一定的防范作用。我们以思科的2950交换机为例，来说明一般的设置过程 　　 Switch#co