ARP协议的攻击及防范措施的分析
2020-02-18
来源:好走旅游网
! ! =! 实 验 室 科 学 第13卷第1期2010年2月 CNl2一l352/N LABORATORY SCIENCE V0l|l3 No.1 Feb.2010 ARP协议的攻击及防范措施的分析 田宝勇 (辽宁大学计算中心,辽宁沈阳110036) 摘要:该文介绍了ARP协议漏洞原理和机制,通过在实际网络管理中的工作经验并结合网络实际情况,提 出了ARP攻击的解决方案及防范措施。 ‘ 关键词:ARP协议;ARP欺骗;网络管理 中图分类号:TP309.5 文献标识码:A doi:l0.3969/j.issn.1672—4305.2010.01.041 The attack of ARP protocol and the analysis of guard measure of ARP attack. TIAN Bao——yong (Computer Center,Liaoning University,Shenyang 1 10036,China) Abstract:The paper has introduced the principle and the mechanism of the bug of ARP protoco1. Based on the work experience of network management and the practical situation of network,solutions and guard measures of ARP attack are proposed. Key words:ARP protocol;ARP deceit;network management 最近以来,ARP病毒在学校校园网内屡有发 于将网络中的IP地址解析为MAC地址,以保证通 生,严重影响了校园网络的正常运行,带来了网络大 信的顺利进行。 面积瘫痪的严重后果。通过设备检查和网络监控, 在排除硬件和操作系统的故障外,发现都是由于 2 ARP协议工作原理 ARP欺骗攻击造成的…。发作时其症状表现为计 在每台安装有TCP/IP协议的电脑里都有一个 算机网络连接正常,却无法打开网页;或由于ARP ARP缓存表 ,表里的IP地址与MAC地址是一一 欺骗的木马程序(病毒)发作时发出大量的数据包, 对应的,而主机的IP地址到MAC地址的映射却总 导致用户上网不稳定,网络时断时续,上网速度缓 是存在于ARP缓存表中。我们以主机A(222.26. 慢,极大地影响了学生们的正常使用。 22.3)向主机B(222.26.22.4)发送数据为例。当发 送数据时,主机A会在自己的ARP表中寻找目标 l ARP协议 IP地址。如果有,也就找到了目标MAC地址,直接 ARP是地址解析协议的英文缩写(Address Res— 把目标MAC地址写入帧里面发送就可以了;如果在 olution Protoco1),它是一个链路层协议,工作在OSI ARP缓存表中没找到相应的IP地址,主机A就会 模型的第二层,在本层和硬件接口问进行联系,同时 在网络上发送一个广播,目标MAC地址是“FF.FF. 为网络层提供服务。由于二层的以太网交换设备并 FF.FF.FF.FF”,这表示向同一网段内的所有主机发 不能识别32位的IP地址,它们是以48位以太网地 出这样的询问:“222.26.22.3的MAC地址是什 址(即MAC地址)传输以太网数据包的,因此IP地 么?”网络上其它主机并不响应ARP询问,只有主机 址与MAC地址之间就必须存在一种对应关系,而 B接收到这个帧时,才向主机A做出这样的回应: ARP协议就是用来确定这种对应关系的协议。也 “222.26.22.4的MAC地址是bb—bb—bb—bb—bb— 就是说,在以太网中,一台主机要和另一台主机进行 bb”。这样,主机A就知道了主机B的MAC地址, 直接通信,必须要知道目标主机的MAC地址。但这 它就可以向主机B发送信息了。同时它还更新了 个目标主机的MAC地址我们如何获得的呢?它就 自己的ARP缓存表,下次再向主机B发送信息时, 是通过地址解析协议(ARP)获得的。ARP协议用 直接从ARP缓存表里查找就可以了。 ll4 3 ARP欺骗 袁 室 5防范措施 (1)给电脑系统经常更新杀毒软件、安装更新 我们知道ARP主要用途是将局域网中的IP地 址转换为MAC地址,ARP对局域网安全有重要的 最新的补丁程序。(2)不要打开陌生的文件和可疑 文件:如QQ短信等。(3)建立MAC数据库和MAC —意义,ARP病毒通过伪造IP地址和MAC地址实现。 ARP欺骗能够在网络中产生大量ARP通信量使网 络阻塞,从而进行ARP重新定局和嗅探攻击使局域 IP静态对应表:建立MAC数据库,把局域网内所 有网卡的MAC地址都记录下来,确保用户身份的真 网PC机ARP表现混乱 。 ARP欺骗种类一般有两个方面: (1)伪造网关:让被它欺骗的主机向假网关发 数据,造成无法通过正常的途径上网,与其它主机显 示可以正常连接,但是网络就是不通畅 。(2)截 获网关数据:它告诉路由器一系列错误的内网MAC 地址,并按照一定的频率不断进行,使真实的地址信 息无法通过更新保存在路由器中,结果路由器的所 有数据只能发送给错误的MAC地址,造成正常主机 无法收到信息 。 4 ARP的检测方法 (1)检查网内感染“ARP欺骗”木马染毒的计算 机在“开始”一“程序”一“附件”菜单下调出“命令提 示符”。输入并执行以下命令:ipconfig,记录网关IP 地址,即“Default Gateway”对应的值,例如“222.26. 22.1”。再输入并执行以下命令:arp—a在“Internet Address”下找到上步记录的网关IP地址,记录其对 应的物理地址,即“Physical Address”值,例如“oO— E0…4C 91 D5一D6”。在网络正常运转时这就是网 关的正确物理地址,在网络受“ARP欺骗”木马影响 而不正常运转时,它就是木马所在计算机的网卡物 理地址。也可以扫描本子网内的全部IP地址。然 后再查ARP表。如果有一个IP对应的物理地址与 网关的相同,那么这个IP地址和物理地址就是中毒 计算机的IP地址和网卡物理地址 。 (2)用软件抓包如(windump、snifferpro等)在 局域网内抓ARP的reply包使用windump—i 2-n arp and host 222.26.22.1抓下来的包只分析包中有re. ply字符的,18:25:15.706335 ARP reply 222.26.22. 1 is at 00:07:ec:el:c8:c3。如果MAC不是真实网 关这个MAC地址就是那台进行ARP欺骗主的 MAC地址 。 (3)分析网关ARP表。ARP攻击主要是“网关 攻击”它会使网关ARP表保留错误MAC记录,因 而,检查ARP网关,如果很多IP指向同一个MAC 地址,那么MAC地址对应主机就是ARP源头,如果 网关ARP正确。但是存在多主机同端口在接网关 现象可查出ARP源头 。 实性与合法性,同时建立MAC—IP静态对应表,把每 个MAC地址和IP地址对都记录下来,以便及时查 询,防火墙可以很轻松地实现这一功能。(4)开启 ARP监控:可以借助ARP防火墙软件,局域网内的 每台机器都应安装ARP防火墙软件,每个网段也应 安装ARP防火墙软件,当有一个网段的机器发送 ARP攻击,管理员马上就能发现,并通过对照MAC 数据库及时找到攻击机器,尽快处理。(5)采用能 够大量绑定ARP和进行ARP攻击防御的交换机一 Netcore 7324NSW,这款交换机能够做到ARP绑定 条目可以达到1000条。因此基本上可以对整网的 ARP进行绑定,同时能杜绝任何非法ARP包在主交 换机进行传播 。 6结束语 ARP协议的缺陷正在被不断地利用,其危险性 也正日益增大。除了做好防范以外,经常查看当前的 网络状态,对网络活动进行分析、监控,采取积极、主 动的防御措施是保证网络安全和畅通的重要方法。 参考文献(References): [1]辛志东.局域网中的ARP重定向攻击及防御措施[J].微计算 机信息,2005,21:10—12. [2]LauraA.Chappell,EdTittel著.马海军,等译.TCP/IP协议原理 与应用[M].北京:清华大学出版社,2005. [3]党光.浅析校园网中ARP病毒防范措施[J].实验室科学, 2008(4):151—153. [4] 贺龙涛,万滨兴,云晓春.利用ARP伪装在交换以太网捕包 [J].网络安全技术与应用,2004(1):38—40. [5] 李海鹰,程灏,吕志强.针对ARP攻击的网络防御模式设计与 实现[J].计算机工程,2005,31(5):170—171. [6] 张道军,吴银芳,袁海峰.校园网络中ARP病毒的综合治理 [J].网络安全技术与应用,2007,9:62—63. [7] 金涛.公众网络环境中的ARP欺骗攻击与防范方法[D].上 海:上海交通大学,2007. [8]李浩.ARP病毒攻击分析及其防范措施[J].宁波广播电视大 学学报,2007,5(2):123—125. [9]孟晓明.基于ARP的网络欺骗的检测与防范[J].信息技术, 2005.5:41—44、75. 收稿日期:2009—08—13 作者简介:田宝勇(1973一),男,辽宁新民人,实验师,从事 计算机基础研究与管理。