网络安全中的ARP协议和欺骗技术及其对策
网络安全中的ARP协议和欺骗技术及其对策
作者:蔺晓峰 黎 明
来源:《硅谷》2008年第06
        [摘要]针对目前校园网用户ARP病毒的频繁发作的现象,简单介绍ARP协议并分析ARP病毒攻击原理,提出了相应的解决方案。
        [关键词]ARPMAC地址 木马病毒
        中图分类号:TP3 文献标识码:A 文章编号:167175972008032003801
       
        近一段时间以来,“ARP欺骗木马病毒在校园网络中猖狂的肆虐,严重影响了网络环境的正常运行。感染了病毒的计算机会出现突然断网的现象,而且如果一台电脑感染就可能导致整个局域网中所有的用户都不能上网,造成整个网络瘫痪。一些“ARP欺骗木马变种病毒还会盗取用户的帐户,密码等个人信息,给用户造成了巨大的损失。
       
        一、什么是“ARP协议
       
        ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。所谓地址解析就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
       
        二、“ARP协议的工作原理
       
        在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢? 首先,每台主机都会在自己的ARP缓冲区 ARP Cache)中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。 A主机需要将一个数据包要发送到B主机时,会首先检查自己 ARP列表中是否存在该 IP地址所对应的
MAC地址,如果有﹐就直接将数据包发送到这个MAC地址;如果没有,就向本地网段内所有用户发出一个ARP请求的广播包,查询B主机的MAC地址。网段中所有用户在收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果相同,则给A主机发送一个 ARP响应数据包,告诉对方自己是它需要查的MAC地址;A主机收到这个ARP响应数据包后,将得到的B主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果不相同就忽略此数据包。
        由于ARP协议自身的限制,源主机只要收到目标MAC地址是自己所要连接的地址就会接受并缓存,并不会检查收到的响应包是否合法。这就为ARP欺骗提供了可能,感染了ARP木马病毒的用户就会以欺骗的手法冒充合法的响应包进行网络通信,造成网内其它计算机的通信故障。
       
        三、“ARP欺骗木马病毒的解决策略
       
        (一)使用静态绑定网关的方式
        当网络环境是安全的时候,在窗口模式下输入“ARP-a”命令来查看,
        Interface: 192.168.10.17 --- 0x10003
        Internet Address Physical Address  Type
        192.168.10.1   00-0c-db-43-ce-00  dynamic
        192.168.10.196  00-e0-4c-5c-7b-ac  dynamic
        其中192.168.10.17是本机的IP地址,网关192.168.10.1MAC地址是0-0c-db-43-ce-00,类型是动态的。
        输入“ARP-192.168.10.1 00-0c-db-43-ce-00”对网关进行绑定, “ARP-a”后显示
        Interface: 192.168.10.17 --- 0x10003
        Internet Address Physical Address  Type
        192.168.10.1   00-0c-db-43-ce-00  static
        192.168.10.196  00-e0-4c-5c-7b-ac  dynamic
        此时网关的类型就成了静态的了。
        我们还可以编写一个含有上面命令语句的批处理文件放在系统的启动选项中,以保证计算机在每次启动时都能绑定网关,防止“ARP欺骗木马病毒。
        (二)使用使用ARP防护软件
        现在有很多的ARP病毒防护软件,这里我们以奇虎360防火墙为例。安装ARP防火墙后,它可以在系统内核层拦截外部ARP攻击数据包,保障系统不受ARP欺骗、ARP攻击影响,保持网络畅通及通讯安全。由于采用内核拦截技术,本机运行速度不受任何影响,发现攻击行为后,自动定位到攻击者IP地址和攻击机器名,还能够防止恶意攻击程序篡改本机ARP缓存。
        (三)加强日常使用中的预防
        由于ARP病毒的不断更新,在日常的使用过程中还是要以防为主,电脑用户应该及时的更新操作系统补丁,安装和更新杀毒软件,尽量使用静态IP设置等方法,对一些不安全的链接不要轻易的点击,不要轻易地打开陌生的邮件,下载文件时一定要经过杀毒软件的扫描确定是安全的时候再打开。保护好自己的帐户和密码,防止ARP欺骗木马病毒的感染,造成经济损失。
        (四)使用物理设备进行防治
受到arp攻击        在经济条件允许的情况下,还可以采用能够大量绑定ARP和进行ARP攻击防御的交换机,它能杜绝任何非法ARP包在主交换机进行传播,这样ARP攻击只能影响到同一个分支交换机上的电脑,这样可能被攻击到的范围就大大缩小了。当攻击发生时,不可能造成整个网络的问题。另外也可以在路由器上进行设置,来防止路由器的ARP表被恶意的ARP数据包更改,造成网络的彻底瘫痪。
       
        四、结束语
       
        随着网络在社会各方面的延伸,进入网络的手段也越来越多,网络安全也成为当前一个十分严峻的问题。我们在享受网络所带给我们的方便与快捷的同时必须高度重视ARP病毒的预防与治理,最大程度的减少受到的危害,提高工作效率。
       
        参考文献:
        [1]《计算机网络安全导论(第二版)》龚俭,杨望著,东南大学出版社.2007.9.
        [2]《计算机网络技术与应用》 王宝军著 中国劳动社会保障出版社.2003.2.
        [3]《网络安全基础》张宏等著,机械工业出版社.2004.4.
        [4]ARP专题学习指导》华为内部培训教程.
       
        作者简介:
        蔺晓峰,男,河北廊坊,河北工业大学廊坊校区现代教育中心,实验师,学士,专业方向网络安全,计算机应用;黎明,男,河北廊坊,河北工业大学廊坊校区现代教育中心,实验师、学士,专业方向网络安全,计算机应用。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。