基于ARP的网络欺骗原理与防范技术
作者:盘紫鹏
来源:《沿海企业与科技》2008年第04期
作者:盘紫鹏
来源:《沿海企业与科技》2008年第04期
[摘要]文章探讨ARP协议的工作原理,详细描述在局域网络中ARP欺骗原理和欺骗的方式、方法,并提出防范ARP网络欺骗攻击的方法。
[关键词]网络;ARP协议;ARP欺骗;防范
[作者简介]盘紫鹏,广西财经学院计算机与信息管理系讲师,广西大学电气工程学院在读研究生,研究方向:网络技术、信息安全,广西南宁,530003
[中图分类号] TM73 [文献标识码] A [文章编号] 1007-7723(2008)04-0026-0002
一、 引言
在计算机网络技术高速发展的今天,网络已经成为我们工作、生活中不可缺少的一部分,
给我们的工作、生活带来了极大便利。网络在带给我们方便和效率的同时,也带来了一系列负面问题。大家都知道,连接了互联网的电脑,几乎都遇到过各式各样的网络攻击,媒体上经常有服务器被黑客入侵或被病毒攻击的报道。实际上,网络安全已经受到了威胁。
特别是近年来,在很多学校经常爆发的ARP欺骗病毒,病毒的主要症状表现是:计算机的网络连接状态显示正常,但是网页无法正常打开,出现断网现象等问题。这种情况的出现,给学校师生的工作、教学和生活带来了很大的影响。因此,进行有效的网络安全的研究,了解各种攻击的原理方法并有针对性地研究各种攻击的防范方法,进而增强局域网的安全性,已经成为网络应用研究的一个重要课题。
二、 ARP协议工作原理
ARP,全称Address Resolution Protocol,中文名为地址解析协议,工作在OSI七层协议模型的第二层,即数据链路层。在本层与硬件接口联系,同时对上一层提供服务。
在局域网中,由于二层设备不能识别32位IP地址,只识别48位的以太网物理地址(MAC地址),所以一台主机与另一台主机进行通信,必须知道目标主机的MAC 地址。在二层中,MAC地址是封装成帧,数据是以帧为单位进行传输的。
ARP把IP地址和它的物理地址关联起来。在一个典型的物理网络,比如局域网,链路上的每一个设备都是用物理地址(受到arp攻击MAC地址)标志的。当一台主机需要出这个网络中的另一台主机的物理地址时,它就发送ARP查询分组。这个分组包括发送端的物理地址和IP地址,以及接收端的IP地址。因为发送端不知道接收端的物理地址,查询就在网络上广播。在这个网络上的每一个主机都接收和处理这个ARP查询分组;但是,只有真正的接收者才识别ARP查询分组的IP地址,并发回ARP响应分组。这个响应分组包含有接受者的IP地址和物理地址。这个分组用单播直接发送给查询者,它使用收到的查询分组中所用的物理地址。
ARP的基本工作过程:
1.发送端知道目标主机的IP地址。由于二层上的通信是基于MAC地址的,所以需要知道目标主机的MAC地址。
2.IP请求ARP产生ARP请求报文,填入发送端的物理地址、发送端的IP地址以及目标IP地址。目标物理地址字段填入0。
3.该报文发送给数据链路层,在这一层它被封装成帧,使用发送端的物理地址作为源地址,把物理广播地址作为目的地址。
4.这个网络上的每一台主机都收到这个帧。由于使用了广播目的地址,所有的站都把这个报文交给ARP。只有目标主机识别这个地址,其他的主机都丢弃这个分组。
5.目标主机用ARP回答报文进行回答,这个报文包含它的物理地址。报文使用单播。
6.发送端收到这个回答报文,知道了目标主机的物理地址。
三、 ARP欺骗原理
ARP 欺骗作为一种典型的欺骗类攻击,包括构造伪造的ARP 请求和ARP 应答包。攻击主机通过发送伪造的ARP 应答来更新目标主机的ARP 缓存,从而使自身赢得目标主机的信任。然后再实施有效攻击或非法监听网络数据包,造成目标主机被攻破或机密信息泄漏等一系列灾难性后果。
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断地发出伪造的ARP响应包,就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其他计算机的通信信息,并因此造成网内其他计算机的通信故障。
四、 防范技术
(一)基于交换机的端口与MAC地址绑定
通过交换机端口与MAC地址的绑定,设定绑定MAC地址的主机能通讯,可起到一定的防范作用。我们以思科的2950交换机为例,来说明一般的设置过程
Switch#config terminal
Switch(config)# Interface fastethernet 0/1
Switch(config-if)#Switchport mode access
Switch(config-if )switchport port-security mac-address aaaa.aaaa.aaaa
Interface fastethernet 0/1指定具体的端口,switchport port-security mac-address aaaa.aaaa.aaaa指令将端口与MAC地址绑定,aaaa.aaaa.aaaa为实际的需要绑定的MAC地址。
(二)创建PC机上的绑定脚本文件
以在XP系统上的设置为例:
建立一个批处理文件,完成后将它放在自动启动项,以便以后开机自动运行。
@echo off
arp - d
arp - s ipaddressmacaddress
此处的ipaddress和macaddress是所在网段网关的IP地址和MAC地址。
(三)在交换机上做单端口VLAN设定
由于ARP欺骗攻击一般在同网段危害比较大,我们将网络分段划分得比较细,从而减少危害影响面,达到一定的保护作用。具体做法是,在交换机上有多少个端口就设定多少个VLAN,将端口设定为工作在某个指定的VLAN。这样可在局域网内起到防范ARP欺骗攻击的作用。
(四)使用第三方软件
安装360安全卫士的360arp防火墙,在窗口中选择“综合设置”,点选“自动获取”,然后“保存设置”就可完成保护设定。
安装AntiArp软件。运行AntiArp软件后,输入本网段网关的正确IP 地址后,单击“获取网关MAC 地址”,点击“自动保护”,即可完成保护设定工作。
该方法由于安装、设置比较简单,适合普通用户的使用,是目前个人计算机上使用比较多的一种保护方式。
五、 结语
由于ARP协议本身的工作机制先天具有一些漏洞,给恶意攻击者以可乘之机。也正是ARP协议工作原理本身决定了利用其漏洞的攻击行为只能是在局域网络之中。本文分析了ARP 协议的工作原理,同时也分析了ARP欺骗的过程,并在此基础上总结了防范ARP网络欺骗攻击的几种方法。当然,在网络安全领域,没有任何一种技术手段可以解决所有的问题,对于各种类型的网络攻击,网络管理员应当密切检查网络,不断提高自身的技术水平,确保网络安全的正常运行。
[参考文献]
[1]王玉宝.ARP病毒原理分析[J].电脑知识与技术,2007,(26).
[2]刘扬,胡仕成,朱东杰.基于与欺骗的重定向技术的研究[J].计算机工程与设计,2007,(23).
[3]邓清华,陈松乔.ARP 欺骗攻击及其防范[J].微机发展,2004,(8).
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论