ARP论文局域网论文

1、顾中国学术期刊洌wwv/ARP 论文局域网论文摘要：本文首先对 arp 协议进行了介绍，分析了产生 arp 攻击的原因，描述了网络遭受到arp 攻击之后的表现，最后给出了主动防御和被动防御两种安全解决方案。关键词：arp ;局域网；攻击positioning and prevention of arp attackhe jiadong1,yang ming2,liu xin2(1.8630 troops networkcenter,tianjin300250,china;2.military medical college networkinformation center,tianjin30

2、0162,china)abstract:this paper first introduces the arp protocol,analyzesthe reasons for producing arp attacks,describing the networksperformance suffered after the arp attack.finally,the active defenseand passive defense two security solutions given.keywords:arp;lan;attack一、概述在网络世界中，mac 地址的获取过程是一个动

3、态的解析 的过程。在这个过程之中通过arp 地址解析协议将 ip 地址与网卡 mac 地址进行映射。arp 攻击就是利用 arp 地址解析_论文发表专家一顾中国学术期刊洌wwv/过程的漏洞对局域网用户进行攻击，使受害者获得错误的ip-mac 映射关系，导致受害者与错误的主机进行通讯。禾 U用arp 攻击，攻击者可以实现欺骗攻击、交换环境嗅探、地址表溢出以及拒绝服务攻击。因此， arp 攻击对局域网存 在着巨大的威胁。二、arp 攻击arp （ address resolution protocol，地址解析协议）是一个位于 tcp/ip 协议栈中的底层协议，负责将某个ip 地址解析成对应的 m

4、ac 地址arp 是地址解析协议，是一种将 ip 地址转化成物理地址 的协议。从 ip 地址到物理地址的映射有两种方式：表格方 式和非表格方式。arp 具体说来就是将网络层地址解析为数 据连接层的 mac 地址。arp 攻击就是通过伪造 ip 地址和 mac 地址实现 arp 欺骗， 能够在网络中产生大量的arp 通信量使网络阻塞，攻击者只要持续不断的发出伪造的arp 响应包就能更改目标主机arp缓存中的 ip-mac 条目，造成网络中断或中间人攻击。_论文发表专家一mac顾中国学术期刊洌wwv/arp 攻击主要是存在于局域网网络中，局域网中若有一 台计算机感染 arp 木马，则感染该 arp

5、 木马的系统将会试图 通过“ arp 欺骗”手段截获所在网络内其它计算机的通信信 息，并因此造成网内其它计算机的通信故障。顾中国学术期刊洌wwv/基于 arp 协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的 arp 数据包，数据包内包含有与当前设备 重复的mac 地址，使对方在回应报文时，由于简单的地址重 复错误而导致不能进行正常的网络通信。一般情况下，受到arp 攻击的计算机会出现两种现象：1.不断弹出“本机的0-255 段硬件地址与网络中的 0-255 段地址冲突”的对话框； 2.计算机不能正常上网，出现网络中断的症状。三、arp 攻击的定位一旦网络中遭受到 arp 攻击，由于

6、arp 协议天生的缺陷， 必需尽快找到攻击源头，将其从网络中隔离开，才能彻底阻 止其对网络继续入侵。从攻击原理上进行分析，一方面所有的 arp 攻击源都会 有其特征-网卡会处于混杂模式，因此，我们可以通过arpkiller 这样的工具扫描网内有哪台机器的网卡是处于混 杂模式的，从而判断这台机器有可能正在进行arp 攻击。从另一方面来说，在局域网发生 arp 攻击时，可以通过 查看交换机的动态 arp 表中的内容，确定攻击源的 mac 地址; 也可以在局域网中部署 sniffer 等网络嗅探工具，定位 arp 攻击源的 mac。四、arp 攻击的防范_论文发表专家一顾中国学术期刊洌wwv/（一）

7、被动防御措施顾中国学术期刊洌wwv/1.客户端安装杀毒软件并保持病毒库随时更新，解决终端用户不小心感染 arp 病毒，从而对局域网造成危害的问题。2.客户端安装 arp 防火墙软件，防止被 arp 攻击。一般arp 防火墙通过向网络中定期广播自己的mac 地址来“主动”告知其他终端不要被“欺骗”，同时在自己的客户端上 绑定网关的 mac 地址，防止自己被“欺骗”。3.舍弃 arp 协议，采用其他寻址协议，例如pppoe。采用该方式则会产生一系列的兼容性问题。总之，采用被动的防御措施，只能“治标”，不能“治本”，而且会给网络带来额外的负担。并不是我们介绍的重 点。（二）主动防御措施l.dhcp

8、snooping。dhcp snooping 技术是 dhcp 安全特性，通过建立和维护 dhcp snooping 绑定表过滤不可信任的 dhcp信息，这些信息是指来自不信任区域的dhcp 信息。dhcpsnooping 绑定表包含不信任区域的用户mac 地址、ip 地址、租用期、vlan-id 接口等信息。_论文发表专家一顾中国学术期刊洌wwv/dhcp-snooping 的主要作用就是隔绝非法的dhcpserver， 通过配置非信任端口。 另外， 建立和维护一张 dhcp-snooping的绑定表，这张表一是通过dhcp ack 包中的ip 和 mac 地址生成的，二是可以手工指定。顾中

9、国学术期刊洌wwv/这张表是后续 dai (dynamic arp inspect )和 ip sourceguard 基础。这两种类似的技术，是通过这张表来判定ip或者 mac 地址是否合法，来限制用户连接到网络的2.arp inspection 。dai 是以 dhcp-snooping 的绑定表 为基础来检查 mac 地址和 ip 地址的合法性。需要注意的是， 对于前面dhcp-snooping 的绑定表中关于端口部分，是不做 检测的；同时对于已存在于绑定表中的mac 和 ip 对于关系的主机，不管是 dhcp 获得，还是静态指定，只要符合这个 表就可以了。如果表中没有就阻塞相应流量。在开始应用 dynamic arp inspection时，交换机会记录大量的数据包，当端口通过的数据包过多时，交换机会认 为遭受dos 攻击，从而将端口自动 errdisable ，造成通信中 断。为了解决这个问题，我们需要加入命令errdisablerecovery cause arp-inspection在 cisco 网络环境下，boot request 在经过了启用 dhcpsnooping 特性的设备