ARP病毒对校园网络影响论文:校园网ARP欺骗原理与防御方法研究
ARP病毒对校园网络影响论文校园网ARP欺骗原理与防御方法研究
受到arp攻击摘要:ARP病毒对校园网络影响很大,严重妨碍了校园的安全和稳定,本文介绍了ARP病毒的攻击原理,并根据其原理提出几种防御的方法。
  关键词:ARP 拥塞 地址映射 地址解析协议
  中图分类号:TP393文献标识码:A 文章编号:1007-9416(2011)05-0072-02
  The Principle of ARP Cheat and the Defense Method on Campus Network
  Abstract: The ARP virus serious influence campus network’s safety and stability, in this paper, the author introduces the principle of ARP attacks and several defense methods.
  Key words: ARP Congestionaddress mappingAddress Resolution Protocol
 
  1、引言
  随着科技的进步,网络也逐渐成为了人们在工作、生活中不可缺少的一部分,高校的网络得到了较快的发展,近几年来,随着校园网络规模急剧膨胀、网络用户数量快速增长,给ARP病毒的传播带来一个绝佳的机会,ARP病毒在高校网络当中迅速蔓延。
  ARP病毒发作的迹象就是间断性的断网,网络性能严重不足、网速变慢,其原因是本来流向主干网络的大量的信息却流向了病毒主机,而且这些大量的数据包可能使得本网段拥塞,所以使得网速变得很慢或者直接断网。
  2、ARP介绍
  ARP[1,2](Address Resolution Protocol,地址解析协议),用于IP地址到MAC地址的映射,这一对映射是很有必要的,原因是在网络层及其以上的层次在传输信息时,必然要使用到IP地址,然而物理层却并不识别IP地址,更不会为其服务传输这些信息,所以必须先进行地址解析,然后才能通过物理层传输数据,所以说ARP协议对网络通信来说是很重要的。
  ARP地址解析的具体步骤如下:
  假定在一个局域网内,主机A欲向主机B发起通信(前提是已知主机B的IP地址),首先到
自己的ARP缓存表中查询是否存在(IPB ,MACB)这一对映射,如果不存在,便向网络当中广播一个ARP请求数据包,内容是:“我的IP地址为:IPA ,物理地址是:MACA, IP地址是:IPB 的主机,请答复你的MAC地址是多少?”,只有IP地址是IPB 的主机把自己的MACB地址写进ARP回复报文进行ARP应答。
  在局域网当中为了尽量减少ARP请求广播,每一个主机都有一个ARP缓存表,并根据接受到的ARP应答报文动态的更改自己的ARP缓存表。此ARP协议的缺陷就在于没有一个有效检测机制,不管ARP应答报文中的 (IP,MAC)映射是否合法,都会对自己的ARP缓存表就行更新,所以一些不法分子可以通过伪造 IP 和 MAC 的映射来制造ARP欺骗攻击,轻则造成被攻击的主机经常断网,重则是截取被攻击主机的重要信息,使得受害者蒙受巨大损失。
  3、ARP 欺骗[3]
  一般来说,ARP欺骗是在篡改ARP缓存表的基础上实施的,ARP病毒有2种攻击形式,即主动攻击形式和被动攻击形式。
  3.1主动攻击形式
  所谓的主动攻击形式就是攻击主机主动的发送ARP应答报文,恶意更改害主机ARP缓存中的IP和MAC 映射。
  3.1.1 中间人攻击
  在某一局域网当中存在以下几台主机(IP / MAC),如下图所示:
  在正常情况下,A可以利用自己ARP缓存表中的信息或者使用ARP协议是可以跟D正常通信的,此时C向A发送ARP数据包,其内容是( 192.168.1.4 , CC—CC—CC—CC—CC—CC),A收到此数据包时,会修改自己的ARP缓存表,把D的物理地址修改为:CC—CC—CC—CC—CC—CC,此时当A再向D发送数据时,数据包首先发送到C,,即C截取到了A数据包。
  3.1.2 仿冒网关欺骗
  所谓的仿冒网关欺骗就是ARP病毒向网络的中主机发送含有错误网关(IP,MAC)映射对的ARP数据包,受害主机接受到此ARP数据包并更新了自己的ARP缓存表,当受害主机发送数据时,这些本来流向网关的数据却被重定向到另一台主机上或一个错误的MAC地址上,导
致受害主机无法访问网关。如图2 所示:
  在主机A向本网段中发送了一个ARP数据包,内容是(192.168.1.2,FF-FF-FF-FF-FF-FF),在本网段中的主机C接受到此ARP数据包,根据其内容更新自己的ARP缓存表,即错误的更改了网关的(IP,MAC)映射,此时主机C在一段时间内是无法访问到网关的。
  3.1.3 ARP洪泛攻击
  ARP洪泛攻击就是感染ARP病毒的主机,在一段时间内持续的向网络中发送ARP数据包,远远的超过了本网段中主机的ARP缓存表容量,即主机ARP缓存表当中都是错误的(IP,MAC)映射,并且无法学习到合法的映射,此时,主机无法正常获取网络服务。
  3.2 被动攻击形式
  所谓的被动攻击形式就是攻击主机并不主动的去修改受害主机的ARP缓存表,而是当受害主机发送ARP协议询问包时,再进行应答,实施欺骗攻击。
  由此,可以看出ARP协议默认所有的ARP数据包都是可信的。
  4、解决方法
  4.1配置静态记录
  因为在校园网络中,常见的ARP攻击方式就是仿冒网关,所以我们首先要获悉正确网关的(IP,MAC),然后在命令提示符下运行 arp —d ,清空主机的ARP缓存表,然后再使用命令 arp —s 配置静态的ARP记录,这样可以有效的阻止ARP攻击,但是这样会破坏ARP动态解析的过程,需要管理人员实时的去修改ARP记录,不宜维护。
  4.2 在交换机上启动DHCP Snooping 和DAI 服务
  DHCP Snooping 主要作用就是屏蔽掉非法的DHCP 服务器,使用户获取到正确的网络地址,并且建立、维护一张动态的DHCP-Snooping表,这张表格是用DHCP ack 数据包中的IP / MAC 映射对生成的,还可以手动的添加记录,此表格是DAI技术的基础,DAI技术原理就是截取网络当中的ARP数据包,验证此数据包当中的MAC / IP映射是否合法(与DHCP-Snooping表进行比较),验证成功就转发,否则丢弃此数据包。
  4.3 划分Vlan
  划分Vlan的好处就是减少广播在网络中传播,将广播隔离在一个小的网段当中,所以即使本网段中有主机感染了ARP病毒,那么该病毒波及的范围也不会太大,不至于蔓延到整个网络。
  校园网络可以根据实际情况进行划分Vlan,并且把每一个Vlan端口与ARP防火墙相连,这样可以防止ARP病毒跨网段传播。
  5、结语
  本文对ARP攻击以及防御方法进行了简单的介绍,进一步讲解ARP攻击方式及其原理,但是由于ARP协议在设计上的缺陷,仅仅光靠技术的手段来防御ARP攻击是不行,还应该有健全的管理规范和防患意识,才能使得校园网络安全、稳定的运转。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。