某试验中心局域网常见ARP故障分析及诊断方法研究
某试验中心局域网常见ARP故障分析及诊断方法研究
作者:邹杨 陈建行 禄永旭 封志方
来源:《现代电子技术》2013年第06
        摘要: 随着局域网在科研试验中应用越来越广泛,为了解决科研试验局域网中ARP病毒广为传播造成用户信息被盗窃、网络断线、网络不稳、阻塞等问题,采用查攻击源,在MACIP的层次上,从源头上消灭ARP病毒的攻击空间,达到了从根本上杜绝ARP攻击发生的可能性。掌握ARP的攻击原理以及防御方法,对局域网运行安全具有十分重要的意义。
        关键字: 局域网; ARP攻击; ARP病毒; MAC
        中图分类号: TN911⁃34 TP393.3 文献标识码: A 文章编号: 1004⁃373X201306⁃0019⁃03
        0
        局域网(Local Area Network[3]是在一个有限范围内(如一个公司、学校和单位内),将很多计算机、外部设备和数据库等相互联接起来组成的一个网络通道。它可以通过数据通信
网或专用数据电路,与其他的局域网、数据库或处理中心互相连接,构成一个大范围的信息处理系统网络,被称作局域网,英文简称LAN,是指在某一区域内由多台计算机互联成的计算机组。地址解析协议(Address Resolution ProtocolARP[1],工作在数据链路层, 在本层和硬件接口联系,同时对上层(网络层)提供服务。在以太网中,由于以太网设备并不识别32位的IP地址,所以数据包的传送不是通过IP地址,而是通过48MAC地址(网卡的物理地址)来完成的。也就是说,在以太网中, 一台主机要和另一台主机进行直接通信, 必须要知道目标主机的MAC地址。但这个目标主机的MAC地址如何获得呢,它就是通过地址解析协议(ARP)获得的ARP协议用于将网络中的IP地址解析为MAC地址, 以保证通信的顺利进行。而在TCP/IP协议中,网络层和传输层只关心目标主机的IP地址。这就导致在以太网中使用IP协议时,数据链路层的以太网协议接到上层IP协议提供的数据中,只包含目的主机的IP地址。于是需要一种方法,根据目的主机的IP地址,获得其MAC地址。这就是ARP协议要做的事情。所谓地址解析(Address Resolution)就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
        认识了局域网和ARP的相关知识,就从根本上解决ARP病毒攻击提供了理论基础。
        1 ARP的攻击
        每台安装TCP/IP协议的电脑主机都有一个ARP高速缓存[1],存放着其他主机的IP 地址和MAC 地址的映射关系。当源主机需要将一个数据包发送到目的主机时,首先检查自己ARP列表中是否存在该IP 地址对应的MAC地址,如果存在,就直接将数据包发送到该MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP广播包有源主机的IP 地址、硬件地址以及目的主机的IP地址等。网络中所有的主机收到这个ARP请求后,会自动检查该包中的目的IP是否和自己的IP 地址一致,如果不同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方自己是其需要查的MAC 地址。源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP 列表中,并利用此信息开始数据传输。如果源主机一直没有收到ARP响应数据包,则表示ARP 查询失败。
        ARP 攻击是指攻击者利用地址解析协议本身的运行机制而发动的攻击行为,包括对主机发动IP 冲突攻击、数据包轰炸、切断局域网上任何一台主机的网络连接等。
        ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的AR
P通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP⁃MAC条目,造成网络中断或中间人攻击。
受到arp攻击        ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗手段截获所在网络内其他计算机的通信信息,并因此造成网内其他计算机的通信故障。
        基于ARP协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的ARP数据包,数据包内包含有与当前设备重复的MAC地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下,受到ARP攻击的计算机会出现两种现象:
        1)不断弹出本机的0255段硬件地址与网络中的0255段地址冲突的对话框;
        2)计算机不能正常上网,出现网络中断的症状。
        2 处理ARP攻击
        2.1 NBTSCAN查询处理法
        3
        局域网病毒是网络发展到一定规模的产物, 它的能量极大, 但它的危害性又取决于人们对它的认识、关注和防范的程度。因此, 树立和健全必要的前瞻性局域网防范意识和防范措施非常必要。由于大部分黑客对网络系统十分熟悉, 他们对网络的攻击能力、手法与日俱增, 其阵营日益扩大。因此加快网络立法和建立良好的网络运行机制, 有针对性地引进先进局域网的防范技术和研究应对策略, 开发更新的局域网的防范体系, 加强前瞻性局域网的防范意识和措施, 不断完善和提高局域网自身的管理水平十分必要。
        参考文献
        [1] 佚名.局域网[EB/OL].[2011⁃04⁃30].http///wiki/%E5%B1%80%E5%9F%9F%E7%BD%91.
        [2] 佚名.飞信[EB/OL].[2011⁃04⁃30].http///wiki/%E9%A3%9E%E4%BF%A1.
        [3] Anon.ARP [EB/OL]. [2011⁃04⁃30].http///wiki/ARP.
        [4] 罗永昌,王基一.ARP攻击原理及局域网防范[J].商丘职业技术学院学报,20082):42⁃45.
        [5] 吴慧敏.局域网ARP欺骗攻击及防御方案[J].电脑知识与技术,20085):869⁃871.
        [6] 陈博超.关于对局域网IP冲突的研究[J].软件导刊,20102):111⁃112.
        [7] 徐连霞.ARP攻击识别及防范措施[J].宁波职业技术学院学报,20092):99⁃102.
        [8] 张耀辉.ARP地址欺骗及防范措施的探讨[J].长沙通信职业技术学院学报,20073):46⁃49.
        [9] 何家栋,杨铭,刘欣.ARP攻击的定位与防范[J].计算机光盘软件与应用,20116):91.
        [10] 吕烨.高手教你如何清除局域网中的ARP病毒[EB/OL].[2007⁃05⁃25].http//io.
        [11] 孙新英.论局域网的安全管理策略[J].电脑知识与技术,20095):5363⁃5364.

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。