arp欺骗原理与防护技术研究.doc

arp欺骗原理与防护技术研究姓名单位摘要： ARP协议对网络安全具有极其重要的意义，通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。关键词：ARP；欺骗原理；防护技术一、ARP协议简介1、ARP协议概念ARP协议(Address Resolution Protocol)即地址解析协议，该协议将网络层的IP地址转换为数据链路层地址。TCP IP协议中规定，IP地址为32位，由网络号和网络内的主机号构成，每一台接入局域网或者Internet的主机都要配置一个IP地址。在以太网中，源主机和目的主机通信时，源主机不仅要知道目的主机的IP地址，还要知道目的主机的数据链路层地址，即网卡的MAC地址，同时规定MAC地址为48位。ARP协议所做的工作就是查询目的主机的IP地址所对应的MAC地址，并实现双方通信。 2、基本功能在以太网协议中规定，同一局域网中的一台主机要和另一台主机进行直接通信，必须要知道目标主机的MAC地址。而在TCP/IP协议栈中，网络层和传输层只关心目标主机的IP地址。这就导致在以太网中使用IP协议时，数据链路层的以太网协议接到上层IP协议提供的数据中，只包含目的主机的IP地址。于是需要一种方法，根据目的主机的IP地址，获得其MAC地址。这就是ARP协议要做的事情。所谓地址解析（address resolution）就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。3、工作原理在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的。以主机A（192.168.1.23）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到目标IP地址，主机A就会在网络上发送一个广播，A主机MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“我是192.168.1.5，我的硬件地址是FF.FF.FF.FF.FF.FE.请问IP地址为192.168.1.1的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时A和B还同时都更新了自己的ARP缓存表（因为A在询问的时候把自己的IP和MAC地址一起告诉了B），下次A再向主机B或者B向A发送信息时，直接从各自的ARP缓存表里查找就可以了。ARP缓存表采用了老化机制（即设置了生存时间TTL），在一段时间内（一般15到20分钟）如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。 二、arp欺骗原理及遭受ARP欺骗攻击后现象、危害 1、arp欺骗原理 ARP欺骗攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。将ip地址转换为mac地址是ARP的工作，在网络中发送虚假的ARP respones，就是ARP欺骗。ARP处理需要两个信息来完成数据传输，一个是IP地址，一个是MAC地址。所以当ARP传输数据包到目的主机时，有其他主机故意顶替目的主机的MAC地址，就造成了数据包不能准确到达。这就是所谓的ARP欺骗。在正常情况下每台主机（包括网关）都有一个ARP缓存表，这个缓存表能够有效的保证数据传输的一对一性。但是在ARP缓存表的实现机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。假如我们有两个网段、三台主机、两个网关、分别是：主机名 IP地址 MAC地址网关1 192.168.1.1 01-01-01-01-01-01主机A 192.168.1.2 02-02-02-02-02-02主机B 192.168.1.3 03-03-03-03-03-03网关2 10.1.1.1 04-04-04-04-04-04主机C 10.1.1.2 05-05-05-05-05-05主机B截取主机A与主机C之间的数据通信成为可能。首先主机B向主机A发送一个ARP应答包说192.168.1.1的MAC地址是03-03-03-03-03-03，主机A收到这个包后并没有去验证包的真实性而是直接将自己ARP列表中的192.168.1.1的MAC地址替换成03-03-03-03-03-03，同时主机B向网关1发送一个ARP响应包说192.168.1.2的MAC是03-03-03-03-03-03，同样网关1也没有去验证这个包的真实性就把自己ARP表中的192.168.1.2的MAC地址替换成03-03-03-03-03-03。当主机A想要与主机C通讯时，它直接把应该发送给网关1(192.168.1.1)的数据包发送到03-03-03-03-03-03这个MAC地址，也就是发给了主机B，主机B在收到这个包后经过修改再转发给真正的网关1，当从主机C返回的数据包到达网关1后，网关1也使用自己ARP表中的MAC，将发往192.168.1.2这个IP地址的数据发往03-03-03-03-03-03这个MAC地址也就是主机B，主机B在收到这个包后再转发给主机A完成一次完整的数据通讯，这样就成功的实现了一次ARP欺骗攻击。因此简单点说ARP欺骗的目的就是为了实现全交换环境下的数据监听与篡改。2、ARP欺骗的种类ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。 3、遭受ARP欺骗攻击时的现象 ARP欺骗攻击后现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。 4、遭受ARP欺骗攻击的危害ARP欺骗攻击只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码，如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等给用户造成了很大的不便和巨大的经济损失。三、arp欺骗防护技术初探1、arp欺骗攻击的发现 局域网内一旦有ARP的攻击存在，会欺骗局域网内所有主机和网关，让所有上网的流量必须经过ARP攻击者控制的主机。其他用户原来直接通过网关上网，现在却转由通过被控主机转发上网。由于被控主机性能和程序性能的影响，这种转发并不会非常流畅，因此就会导致用户上网的速度变慢甚至频繁断线。另外 ARP欺骗需要不停地发送ARP应答包，会造成网络拥塞。一旦怀疑有ARP攻击，我们就可以使用抓包工具来抓包，如果发现网内存在大量ARP应答包，并且将所有的IP地址都指向同一个MAC地址，那么就说明存在ARP欺骗攻击，并且这个MAC地址就是用来进行ARP欺骗攻击的主机MAC地址，我们可以查出它对应的真实IP地址，从而采取相应的控制措施。另外，我们也可以到路由器或者网关交换机上查看IP地址与MAC地址的对应表，如果发现某一个MAC对应了大量的IP地址，那么也说明存在ARP欺骗攻击，同时通过这个MAC地址查出用来ARP欺骗攻击的主机在交换机上所对应的物理端口，从而进行控制。2、arp欺骗攻击的防护（1）在客户端使用arp命令绑定网关的真实MAC地址命令如下： arp (先清除错误的ARP表) arp 192.168.1.1 03-03-03-03-03-03 （静态指定网关的MAC地址）（2）在交换机上做端口与MAC地址的静态绑定。（3）在路由器上做IP地址与MAC地址的静态绑定。（4）使用“ARP SERVER”按一定的时间间隔广播网段内所有主机的正确IP-MAC映射表。（5）建立MAC数据库，把局域网内所有网卡的MAC地址记录下来，每个MAC和IP、地理位置统统装入数据库，以便及时查询备案。（6）最主要是要提高安全意识，养成良好的安全习惯，包括：及时安装系统补丁程序；为系统设置强壮的密码；安装防火墙；安装有效的杀毒软件并及时升级病毒库；不主动进行网络攻击，不随便运行不受信任的软件。参考文献1 邓清华,陈松乔.ARP欺骗攻击及其防范J.微机发展,2004,14(8):126-128.2 孟晓明.给予ARP的网络欺骗的检测与防范J.信息技术,2005(5):41-44. 3 徐功文,陈曙,时研会.ARP协议攻击原理及其防范措施J. 网络与信息安全,2005,(1):4-6.4 张海燕.ARP漏洞及其防范技术J.网络安全,2005,(4):40-42.5 王佳,李志蜀.基于ARP协议的攻击原理分析J. 微电子学与计算