科技信息2008年第27期
SCIENCE &TECHNO LO GY INFORMATION ●
Arp 攻击对网络的稳定运行带来了极大的挑战,严重影响了人们
的学习和工作,关于Arp 攻击问题的介绍很多,但一般都不太全面或者仅仅是从理解的角度来说明,缺少点实用性,本文作者根据工作实践中遇到的现象,并参考多方资料做一次总结,以期能对解决Arp 问题能有所帮助。
一、Arp 协议介绍
1.什么是Arp 协议ARP 协议是“Address Resolutio n Pro to col ”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的M AC 地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC 地址。但这个目标M AC 地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP 地址转换成目标M AC 地址的过程。ARP 协议的基本功能就是通过目标设备的IP 地址,查询目标设备的M AC 地址,以保证通信的顺利进行。
2.Arp 协议的工作原理
在每台安装有T CP/IP 协议的电脑里都有一个ARP 缓存表,表里的IP 地址与MAC 地址是一一对应的,如附表所示。
附表
我们以主机A(192.168.1.5)向主机B(192.168.1.1)发送数据为例。当发送数据时,主机A 会在自己的ARP 缓存表中寻是否有目标IP 地址。如果到了,也就知道了目标MAC 地址,直接把目标M AC 地址写入帧里面发送就可以了;如果在ARP 缓存表中没有到相对应的IP 地址,主机A 就会在网络上发送一个广播,目标M AC 地址是“FF.FF.FF.FF.FF.FF ”,这表示向同一网段内的所有主机发出这样的询问:“192.168.1.1的M AC 地址是什么?”网络上其他主机并不响应ARP 询问,只有主机B 接收到这个帧时,才向主机A 做出这样的回应:“192.168.1.1的M AC 地址是00-aa-00-62-c6-09”
。这样,主机A 就知道了主机B 的M AC 地址,它就可以向主机B 发送信息了。同时它还更新了自己的ARP 缓存表,下次再向主机B 发送信息时,直接从ARP 缓存表里查就可以了。ARP 缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP 缓存表的长度,加快查询速度。
3.Arp 协议的缺陷
ARP 协议是建立在信任局域网内所有结点的基础上的,它很高效,但不安全。它是无状态的协议,不会检查自己是否发过请求包,也不管(其实也不知道)是否是合法的应答,只要收到目标M AC 是自己的ARP reply 包或arp 广播包(包括ARP request 和ARP reply ),都会接受并缓存。这就为ARP 欺骗提供了可能,恶意节点可以发布虚假的ARP 报文从而影响网内结点的通信,甚至可以做“中间人”。
二、常见的Arp 攻击类型:
1.仿冒网关
R 病毒通过发送错误的网关M 对应关系给其他受害者,导致其他终端用户不能正常访问网关。攻击者发送伪造的网关R 报
文,欺骗同网段内的其它主机。主机访问网关的流量,被重定向到一个错误的M AC 地址,导致该用户无法正常访问外网。这种攻击方式是校园网内的主要攻击方式。
2.欺骗网关
发送错误的终端用户的IP+M AC 的对应关系给网关,导致网关无法和合法终端用户正常通信。攻击者伪造虚假的ARP 报文,欺骗网关相同网段内的某一合法用户的M AC 地址已经更新。网关发给该用户的所有数据全部重定向到一个错误的M AC 地址,导致该用户无法正常访问外网。
3.欺骗终端用户
发送错误的终端用户/服务器的IP+M AC 的对应关系给受害的终端用户,导致两个终端用户之间无法正常通信。攻击者以伪造虚假的ARP 报文,欺骗相同网段内的其他主机,某一合法用户的M AC 地址已经更新。网段内的其他主机发给该用户的所有数据都被重定向到错误的M AC 地址,同网段内的用户无法正常互访。
4.Ar 泛洪攻击
攻击者伪造大量不同ARP 报文在同网段内进行广播,导致网关ARP 表项被占满,合法用户的ARP 表项无法正常学习,导致合法用户无法正常访问外网。
三、预防Arp 攻击的方法
1.在接入层交换机上预防Arp 攻击
随着Arp 攻击的泛滥,是否具有预防Arp 攻击的功能已经成为评价交换机性能的一个重要因素,因此,各交换机厂家都在研究开发交换机的预防Arp 攻击功能。
在交换机上预防Arp 的最彻底、最有效的方法是实现主机IP 、主机M AC 和交换机端口三者绑定。但这
种方法工作量比较大,只要有机器增加或调整就要绑定一次,除非万不得以是不用这种方法的。另一种思路就是在交换机上做一些配置来实现对Arp 攻击的预防。以H3C 的e352交换机为例来说明。在交换机上做如下配置:[SwitchA]dhcp-sno oping #开启交换机
DHCP Sno o ping 功能
受到arp攻击[SwitchA]interface Ethernet1/0/1
[SwitchA -Ethernet1/0/1]dhcp -sn oo ping trust #
设置端口Ethernet1/0/1为DHCP Snoo ping 信任端口[SwitchA-Ethern et1/0/1]arp detection trust #设置端口Ethernet1/0/1为ARP 信任端口
[SwitchA-Ethern et1/0/1]quit [SwitchA-vlan1]arp detection enable #开启VL AN 1内所有端口的ARP 入侵检测功能
2.在PC 机上预防Arp 攻击
在PC 机上预防Arp 的方法的基本原理就是使用固定的IP-M AC 对应,具体实现起来又分两类:一是使用命令编制批处理文件,二是使用某些公司开发的专门软件,比如360安全卫士这个软件中就有arp 放火
墙功能。第二种方法除了固定IP-M AC 对应外,还具有其他功能,比如可以提示Arp 攻击,可以由软件自动绑定IP-M AC 对应或者手工绑定IP-M AC 对应。【
参考文献】[1]ww w .h3c.[2]ww w .ruijie.
[责任编辑张艳芳]
arp
攻击解析
周在龙
(山东艺术学院山东济南
250014)
【摘要】本文介绍了Arp 协议的概念和缺陷,列举了根据Arp 协议的缺陷带来的各种攻击及其现象,重点分析和归纳了防范Arp 攻击的
方法。
【关键词】Arp;协议;Arp 协议;Arp 攻击
ip 地址ma c 地址192.168.1.100-aa-00-62-c6-09192.168.1.200-aa-00-62-c5-03192.168.1.303-aa-01-75-c3-06
……
……
○I T 技术论坛○6A P AC A P :1
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论