高职校园网中ARP欺骗原理及防御对策探讨
摘要:在目前的高职校园网中,对网络安全威胁最大的就是arp欺骗。arp欺骗不但会威胁用户的信息安全,还会导致网络出现故障,网速缓慢或者根本无法上网。笔者根据多年的经验,在本文中介绍了arp协议的概念、工作原理、arp协议存在的设计缺陷以及感染arp病毒的症状,然后介绍了常见的arp欺骗形式,最后介绍了防御arp欺骗的对策。
关键词:高职校园网;arp欺骗;防御对策
中图分类号:tp393 文献标识码:a 文章编号:1009-3044(2013)13-3012-02
随着信息化水平的不断提高和计算机技术的普及,很多高职都加大了对校园网的建设力度,校园内的网络越来越普及。人们在感受到网络带来的快捷和方便之外,也感受到了网络带来的危害,比如说网络安全问题。arp攻击是校园局域网中最为常见的一种攻击方式,很多学校的校园网都深受其害,有些还造成了大面积的计算机网络中断,给学校都正常教学和工作带来了极为不利的影响。
校园网内的计算机实验室饱受arp攻击最为严重的场所之一,主要原因为实验室中计算机数量
多而且集中,而且由于用户的i知识水平参差不齐,容易收到arp病毒的攻击。arp病毒攻击给校园网络管理人员带来了巨大的工作量,而且也严重影响了学校正常的工作和教学秩序。要减小或者消除arp欺骗的攻击,我们必须对arp有个全面而准确的了解。
1 arp简介及受到arp攻击arp病毒攻击原理
1.1 arp协议概念
arp是address resolution protocol的简称,即地址解析协议。arp协议的作用是将计算机的网络地址转化为物理地址,即将ip地址转化为mac地址。使用arp协议,通过目标计算机的ip地址查询到目标计算机的mac地址,从而达到与目标计算机通信的目的。在网络中,只有知道目标设备的物理地址,才能实现通信,因此,在学校的局域网中,所有的ip通讯最终都要转化为物理地址的通信,而这些就是arp协议所要实现的功能。ip地址与物理地址的映射方式有两种,表格方式和非表格方式。
1.2 arp协议的工作原理
每一个安装了tcp/ip协议的计算机都有一个arp高速缓存,里面放着一个ip地址-mac地址的映
射表,映射表中包含目前计算机所知道的的局域网中各个主机和路由器的ip地址与mac地址的对应关系。
下面我们以实例来对说明arp协议的工作原理。假设有一台主机a,其ip地址是192.168.0.112,mac地址为00-36-ac-78-24-cb,有一台主机b,其ip地址是192.168.0.36,mac地址是00-ca-65-40-cb-78。
当主机a想要向主机b发送数据包的时候,主机a会去查询自己的arp高速缓存表,看自己的arp高速缓存表中是否有主机b的映射信息,即主机b的ip地址和mac地址的对应关系。如果主机a的arp高速缓存表中有主机b的映射信息,那么出主机b的mac地址,然后根据主机b的mac地址向主机b发送数据包。如果主机a的高速缓存表中没有主机b的映射信息,那么主机a会向网络中的所有主机都发送一个arp请求的广播数据包,这个数据包是向所有主机询问“192.168.0.36”的主机的mac地址。别的主机在接收到这个广播数据包之后,不会回应这个广播数据包,只有主机b接收到这个广播数据包之后,会以arp应答包的方式回应主机a,即告诉主机a,本机的ip地址就是“192.168.0.36”,本机的mac地址是“00-ca-65-40-cb-78”。主机b发出的数据会发送给主机a,主机a在接收到主机b的mac地址之后会根据这个mac地址向
主机b发送数据包。同时,主机a还会把主机b的ip地址与mac地址对应关系写入高速缓存表中,这样,当主机a下次还要向主机b发送数据包的时候就可以直接在arp高速缓存表中到主机b的mac地址。
arp高速缓存表采用了老化机制,即arp表中的ip地址与mac地址的对应关系只会存在一定的时间,超过这个设置的时间之后,如果缓存表中有一行没有使用的话就会被删除,从而加快查询的速度。
1.3 arp协议的设计缺陷
arp协议在设计之初就没有考虑过安全性,在设计arp协议时,是认为局域网的所有节点都是可以信任的,网络是绝对安全的,因此,不会去检查是否发送过广播数据包,也不会去检查受到的应答是否合法。因此,arp协议是存在着设计缺陷的,主要表现如下:
1)主机的arp高速缓存表是依据接收到的arp应答包来进行动态更新的。主机的高速缓存表会在一个设置时间后进行刷新,很多攻击者就是利用更新数据之前的时间段来修改被攻击机器上的地址缓存,从而来进行拒绝服务或者假冒的攻击的。
2)arp协议没有连接的概念,局域网中的主机在没有发出arp请求的情况下,也会做出应答。有些攻击者向主机发送arp响应,而主机即使没有向攻击者发送arp请求,也会接受arp响应,从而根据攻击者发出的虚假的信息来修改其高速缓存表。
3)arp协议没有认证机制,只要接收到协议包就会就会根据协议包来修改arp缓存表,而不去检查其是否合法。这样完全信任局域网内主机的方式,给局域网的安全带来了相当大的安全隐患。
由此可见,arp协议中存在很多的安全漏洞,而这些安全漏洞导致了arp攻击具备了欺骗性和隐蔽性,而且arp攻击的技术门槛比较低,因此,对arp攻击的防御难度比较大。
1.4感染arp病毒的症状
网络中的计算机被arp病毒攻击之后,主要表现为以下一些症状:在某一个网段中的所有主机都无法正常连接网络;网速很慢,网络连接时断时续,严重者甚至根本就无法连接网络,发送包数据量远远高出接收到的数据包量;会发现一些可疑的进程;交换机指示灯出现大面积相同频率的闪烁;查看当前缓存表时返回的网关的mac地址与实际网关的mac地址不同。出现这些情况,则可以证明局域网中有主机感染了arp病毒。
2 常见的arp欺骗形式
2.1欺骗主机
所谓的欺骗主机,就是采用伪造、假冒等方法来迷惑局域网中的主机。具体在arp攻击中,主要指攻击者伪装为网络中的网关,从使得被欺骗的主机无法连接网络。当arp攻击者使用欺骗主机的手段的时候,它把自己的mac地址对应的ip地址以广播数据包或者arp应答包的形式不断向被欺骗的主机发送信息,由于arp协议的设计存在缺陷,因此,被欺骗的主机中的arp高速缓存表中存储的网关的mac地址就变成了攻击者的mac地址,从而导致被欺骗的主机无法正常连接网络,出现掉线。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论