地址局域网中ARP欺骗攻击及安全防范策略

局域网中ARP欺骗攻击及安全防范策略

摘要ARP欺骗攻击作为一种非常专业化的攻击手段,给网络安全管理者带来了严峻的考验。文中通过分析ARP协议的工作原理,讨论了ARP协议从IP地址到物理地址解析过程中存在的安全隐患,给出了ARP欺骗的实现过程,并使用科来软件分析系统工具进行了攻击模拟实验。

关键词网络安全;ARP协议;ARP欺骗;安全防范

0引言

ARP欺骗是一种利用计算机病毒使计算机网络无法正常运行的计算机攻击手段。2007年6月初,国家计算机病毒应急处理中心预报一种新型“地址解析协议欺骗”(简称ARP欺骗)的恶意木马程序正在互联网络中传播。从此,ARP欺骗逐渐在校园网、小区网、企业网以及网吧等局域网中蔓延,严重影响了正常网络通讯。

1ARP及其工作原理

1.1ARP概述

在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的M AC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。这个目标MAC地址就是通过地址解析协议获得的。 ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。

1.2ARP工作原理

首先,每台主机都会在自己的ARP缓冲区中建立一个ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址。如果有,就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个A RP请求的广播包,查询此目的主机对应的MAC地址。 网络中所有的主机收到这个A RP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的M AC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。