arp协议原理

关键词： 原理 协议

arp协议原理（精选九篇）

arp协议原理 篇1

对于一个小型局域网,常常采用硬件方法,将网络分段来限制攻击者利用ARP协议攻击。但这只能缩小被攻击对象的数量,而无法避免攻击。然而对于类似高校一样的大型局域网,不可能将网段分得太细,常用的防御方法是采用增设ARP服务器,但其致命弱点是该服务器是一个单点故障,一旦此服务器出现问题,整个网络将处于瘫痪状态。还有采用将网段分为可信任段和非可信任段,但这种划分对于校园网用户来说没有任何意义。现在还没有一套成型的方案来完全控制ARP欺骗。本文从管理和技术两个方面,给出防御ARP欺骗的具体方案。

1 ARP协议的基本原理

ARP协议是数据链路层协议,负责将网络层IP地址转变成数据链路层(第二层物理地址)的MAC地址。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行通信,必须要知道目标主机的MAC地址,它是通过地址解析协议获得的。地址解析就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程,作者:Administrators。该协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。

每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如表1所示。

我们以主机A(192.168.16.1)向主机D(192.168.16.4)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.4的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机D接收到这个帧时,才向主机A做出这样的回应:“192.168.16.4的MAC地址是dd-dd-dd-dd-dd-dd”。这样,主机A就知道了主机D的MAC地址,它就可以向主机D发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机D发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。

2 ARP欺骗种类及危害

ARP欺骗分两种,一种是对网关(路由器或三层交换机)的欺骗:刷新网关ARP列表,它伪造本网段内一系列IP地址及对应的错误MAC地址,通知网关,并按照一定的频率不断刷新,使真实的地址信息无法通过刷新保存在网关ARP列表中,结果网关的所有数据只能发送错误的MAC地址,造成正常的主机无法收到信息而导致不能上网,当ARP欺骗停止时,会恢复正常。另一种,是对内网主机的欺骗:刷新用户主机ARP列表,欺骗者伪造网关,建立假的网关,让所有上网的流量必须经过欺骗者的主机,其他主机原来直接通过交换机上网现在转由通过欺骗者主机上网,从而欺骗者利用一些嗅探工具和抓包工具监视到被欺骗主机的明文密码以及访问信息。这是十分危险的,欺骗者接到了数据时,它再提交给网关(如果不提交给网关,则用户无法上网),网关会认为数据就是它发的,它会修改源MAC地址,当然源IP是不会变的,从而网关回应时根本不会去找被欺骗主机,它会直接提交给欺骗者包括被欺骗者要与外部建立的TCP连接都会经过欺骗者的MAC,这样的话被欺骗者所有与外部的通信完全是要经过欺骗者的监视,它可以采取任何手段管理被欺骗者,包括流量限制。另外由于ARP欺骗的程序会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的程序停止运行时,用户会恢复正常网关。该病毒发作时,仅影响同网段内机器的正常上网。

3 ARP欺骗及实例

以对内网主机的欺骗为例,让上网主机的流量必须经过欺骗者的主机,其他主机原来直接通过交换机上网现在转由通过欺骗者主机上网。从而欺骗者利用一些嗅探工具和抓包工具监视到被欺骗主机的明文密码以及访问信息。这是十分危险的,欺骗者接到了数据时,它再提交给网关(如果不提交给网关,则用户无法上网)。由于一般ARP欺骗可以对本网段所有主机有影响,所以只采取对一台主机欺骗方式。

现在主机B(IP地址:202.192.235.31 MAC地址:00-16-17-96-F0-FD)对主机A(IP地址:202.192.235.33 MAC地址:00-11-D8-E9-76-97)进行ARP欺骗,利用Iris工具软件后,收到受ARP欺骗数据包的信息如表2所示。

欺骗者完全利用ARP协议漏洞,主机B在没有收到主机A发送的ARP请求Request包时,伪造一个ARP响应包Reply(IP地址:202.192.235.254网关,MAC地址:00-16-17-96-F0-FD)发给主机A,主机A收到主机B的响应包时,不存在对其真实性检查,也就无法识别出伪造的ARP数据包。再有,在协议中没有规定要提出请求才会有响应,所以回复必须接受的。即主机A刷新本地的ARP列表,由于主机B连续不断地发伪造的ARP响应包,从而使主机A的数据包不能发送到网关而导致不能上网。从表2受ARP欺骗数据包中看到,源IP地址为网关IP地址:202.192.235.254,源MAC地址为欺骗者主机的MAC地址:00-16-17-96-F0-FD,目的IP地址为主机A的IP地址:202.192.235.33,目的MAC地址为主机A的MAC地址:00-11-D8-E9-76-97。除此之外,还有多种方式可对ARP欺骗进行检测,如:采用其他工具软件、脚本及通过路由器或交换机的ARP列表分析等。在检测及分析过程中,ARP欺骗常有以下特点:用户在上网过程中,时断时续;密码常常丢失;在网关中有时出现一个MAC地址对应多个IP地址现象;以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配;ARP数据包的发送和目标地址不在自己网络网卡MAC地址数据库内(需要先建立一个IP地址和MAC地址对应的数据库),或者与自己网络MAC数据库MAC/IP不匹配;用户网卡处于混杂模式等。

4 防御ARP欺骗方案

在管理方面明确预防胜于治疗,对每个用户定期开展计算机网络安全培训课程,告诉用户如何保护自己不受病毒的侵害,如何诊断网络故障,理解主流病毒ARP欺骗原理及其影响;在用户开通端口的同时,告诉用户有义务保证自己的计算机保持无菌状态;各单位可以制定使用网络的准入标准,例如统一安装微软Windows XP系统,打上sp2的所有补丁,以及安装杀毒软件并及时更新病毒库;最后在不得已的情况下网络管理员封闭已经被ARP木马病毒侵犯的计算机网络端口。

(1)在网关(汇聚交换机)上实现IP地址和MAC地址的绑定。为每个主机添加一条IP地址和MAC地址对应的关系静态地址表。在交换机上使用如下命令:

Switch#config terminal

Switch(config)#arp ip address mac address arpa

上述命令在交换机内建立了MAC地址和IP地址对应的映射表。用户发送数据包时,若交换机获得的IP和MAC地址与先前建立的映射表匹配,则发送的包能通过,不符合则丢弃该数据包,这样能防止ARP欺骗。

(2)用户设置静态的MAC→IP对应表。以Windows XP系统为例,操作方法是:在命令提示符下输人命令:

arp-a获得网关的MAC地址

arp-d清除ARP列表

arp-s 192.168.0.10(网关IP地址)cc-cc-cc-cc-cc-cc(网关MAC地址)

第一条命令是查看用户机器的ABP缓存表,第二条命令是删除用户机器ARP缓存表中的动态表项,第三条命令是设置用户机器IP→MAC的静态绑定。

(3)用防火墙封堵常见病毒端口:134-139,445,500,6677,5800,5900,593,1025,1026,2745,3127,6129以及P2P下载。

(4)除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。

(5)使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑掉。

(6)使用“proxy”代理IP的传输。

(7)使用硬件屏蔽主机。设置好路由,确保IP地址能到达合法的路径。

(8)在客户机上进行网关IP及其MAC静态绑定,并修改导入如下注册表:(1)禁止ICMP重定向报文:ICMP的重定向报文控制着Windows是否会改变路由表从而响应网络设备发送给它的ICMP重定向消息,这样虽然方便了用户,但是有时也会被他人利用来进行网络攻击。通过修改注册表可禁止响应ICMP的重定向报文,从而使网络更为安全。具体修改方法是:打开注册表编辑器,找到或新建“HKEY_LOCAL_MachineSystemCurrentControlSetServicesTCPIPParamters”分支,在右侧窗口中将子键“EnableICMPRedirects”(REG_DWORD型)的值修改为0(0为禁止ICMP的重定向报文)即可;(2)禁止响应ICMP路由通告报文:“ICMP路由公告”功能可以使他人的计算机网络连接异常、数据被窃听、计算机被用于流量攻击等,因此建议关闭响应ICMP路由通告报文。具体修改方法是:打开注册表编辑器,找到或新建“HKEY_LOCAL_MachineSystemCurrentControlSetServicesTCPIPParamtersInterfaces”分支,在右侧窗口中将子键“PerformRouterDiscovery”。

5 结束语

arp协议原理 篇2

ARP协议

在局域网中，虽然我们习惯用IP地址来标识计算机，但在网络数据传输过程中，真正起到地址作用的是“MAC地址”。MAC(Media Access Control)地址又称物理地址，它通常由网卡生产厂家烧入网卡的EPROM(一种闪存芯片)，一般情况下它是全球唯一的。

一个主机要和另一个主机直接通信，必须知道目标主机的MAC地址。ARP协议“Address Resolution Protocol(地址解析协议)”的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，我们可以通过在DOS命令提示符下，输入：arp-a来获得本机的ARP缓存表。

如果在ARP缓存表中没有找到相对应的IP地址，主机就会在网络上发送一个广播，目标IP的主机接收到这个帧时，会向主机做出相应的回应。这样，主机就知道了目标主机的MAC地址，就可以向目标主机发送信息了。

ARP攻击原理

ARP攻击的最主要手段就是用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的攻击。攻击者持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC條目，造成网络中断或中间人攻击。

当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址)，MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了)。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存(A可不知道被伪造了)。当攻击源大量向局域网中发送虚假的ARP信息后，就会造成局域网中的机器ARP缓存的崩溃。以笔者所在的网络为例，通过抓包工具捕获数据包的结果来看，可以明显看到一个ARP攻击者的攻击情况。

ARP攻击的目的和现象

当局域网内某台主机运行ARP的欺骗木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网，现在则转由通过病毒主机上网。

这样做的目的有很多，比如用户已经登录了网游服务器，病毒主机就会经常伪造断线的假像，那么用户就得重新登录网游服务器，病毒主机就可以趁机盗号。所以当你遇到下面几个情况的时候，一定要注意可能是你的网络中出现了ARP木马。

1)上网速度突然变得异常的缓慢

2)经常断线。

3)访问所有的网站，杀毒软件都会弹出窗口说页面有病毒。

当怀疑局域网中存在ARP攻击时，可以打开DOS命令提示符，输入“arp-d”，清空ARP列表。如果能够恢复网络访问，则基本可以确定局域网中存在ARP攻击，或者有电脑染上了ARP病毒。接下来可以反复查看ARP列表，也就是反复使用“arp-a”命令(其间不要进行网络通信)，如果发现除了网关以外的某个IP会自动出现在列表中，而这个IP又没有和本机进行实质的数据通信，则基本可以确定攻击源，接下来需要断开该计算机的网络连接并彻底杀毒。

应对ARP欺骗攻击

面对凶猛的ARP攻击，以上提到的方法只能应急，该如何进行全面防范呢?利用Anti ARP Sniff，可以保护你的网卡和网关的通讯不被第三方监听，让ARP攻击对你的爱机无技可施。Anti ARP Sniff可以100％防御所有利用ARP技术的恶意程序，发现异常并自动重写ARP数据，它还具备追踪ARP攻击者的功能，能够追踪对方的IP地址，这样我们就能找出ARP攻击的“始作俑者”。

在Anti ARP Sniff主窗口的“网关地址”栏中输入网关地址，点击“获取MAC”按钮，获得网关的MAC地址，之后点击“自动保护”按钮，即可开启ARP攻击保护功能，当局域网中有人试图对本机进行攻击时，Anti ARP Sniff~口可出现ARP欺骗提示信息，在“欺骗数据详细记录”列表中显示ARP欺骗攻击事件信息。从中选中合适的ARP攻击事件，点击“追捕攻击者”按钮。即可得到攻击者的IP和MAC地址信息了，据此可以轻松找出局域网中的“破坏分子”。对于饱受ARP攻击之苦的用户，Anti ARP Sniff能让你轻松摆脱烦恼。

ARP欺骗原理与防范 篇3

（一）ARP概述

ARP，全称为Address Resolution Protocol，即地址解析协议。该协议是数据链路层协议，其主要功能是将网络层IP地址转变成数据链路层的MAC地址，起到IP地址到MAC地址的映射作用。

接入以太网中的每台主机，都会在自己的ARP高速缓存中建立一个IP地址到MAC地址的映射列表，我们称之为ARP缓存表。当源主机向目的主机发送数据包时，首先在自己的ARP缓存表中查询，如果表中存有目的主机IP地址对应的MAC地址，那么源主机就将数据包向该MAC地址对应的主机进行发送。如果ARP缓存表中没有目的主机IP地址对应的MAC地址，那么源主机就进行ARP广播请求，以获取目的主机的IP地址和对应的MAC地址。本地网段中的主机接收到ARP广播请求后，就会查询自己的ARP缓存表，如果表中存有对应的IP地址和MAC地址，就对源主机作出应答，向源主机发送ARP响应数据包。源主机在接收到ARP响应数据包后，就会更新自己的ARP缓存表。同时，也就获得了目的主机的IP地址及其对应的MAC地址，便可以向目的主机发送数据包了。如果源主机广播ARP请求包后，一直没有收到ARP响应数据包，则ARP查询失败。

（二）ARP欺骗原理

1. ARP漏洞分析

ARP协议本身存在弱点，或者说该协议不完善，存在一些缺陷和漏洞。具体的情况如下：(1) ARP协议没有连接的概念，ARP数据包的发送与接收是不需要连接的。任何活动的主机随时可以向其它主机广播ARP请求数据包，该请求不是建立连接请求，而是发送IP地址与MAC地址的映射查询请求;任何活动的主机在没有ARP请求的时候也可以随时做出应答，向其它主机发送ARP数据包。(2) ARP缓存表是动态更新的。任一主机只要接收到ARP应答数据包，就会查询自己的ARP缓存表，并与ARP应答数据包中的数据进行比较，如果发现应答数据包中有新的IP地址与MAC地址映射项，就立即更新自己ARP缓存表的数据。(3) ARP协议中没有认证机制。任何活动的主机只要接收到有效的ARP数据包，就会立即刷新自己的ARP缓存，更新表中的数据，而不管是哪台主机发送的，也不验证其真实性与合法性。

因此，利用ARP协议的这些漏洞，攻击者可以随时发送虚假的ARP数据包，使得被攻击的主机更新其ARP缓存，实现欺骗的目的。

2. ARP欺骗过程

ARP欺骗的实质是修改主机ARP缓存表中IP地址与MAC地址映射表项。ARP欺骗常采用的方法是向网络中广播伪造的ARP数据包，使得被攻击的主机刷新自己的ARP缓存，将虚假的IP地址与MAC地址映射表项更新到自己的ARP缓存表中，以实现欺骗的目的。

现有主机A, MAC地址为：AA-10-A7-14-30-AA, IP地址为：202.193.98.7;主机B, MAC地址为：BB-24-37-B2-11-BB, IP地址为：202.193.98.8;主机C, MAC地址为：CC-35-21-C3-58-CC, IP地址为：202.193.98.9。源主机A需要和目的主机B通信时，主机A会在自己的ARP缓存表中查找是否有目的主机B的IP地址与MAC地址。如果有，就直接把目的主机B的MAC地址写入帧里进行发送;如果没有，主机A就会在网络上发送一个广播包，用以获取主机B的IP地址与MAC地址。同一网段上的所有主机都会收到这个ARP请求广播包。除主机B外，其他主机收到后检查数据包中的目的IP地址与自己的IP地址不相同，就丢掉此包;而主机B收到后，检查到目的IP地址和自己的IP地址相同，就将主机A的IP地址和MAC地址记录到自己的ARP缓存表中，如果ARP缓存表中已经存在主机A的信息，将其覆盖，然后给主机A发送一个ARP请求的响应数据包。主机A收到主机B的ARP响应数据包后，将主机B的IP地址和MAC地址记录到自己的ARP缓存表中。

ARP协议并不只在发送了ARP请求才接收ARP应答。当主机接收到任何ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP地址和MAC地址存储在ARP缓存表中。因此，主机C欺骗主机A时，可以向主机A发送一个伪造的ARP应答。例如：发送方IP地址是202.193.98.8 (主机B的IP地址) ，MAC地址是CC-35-21-C3-58-CC (主机B的真实MAC地址应该是BB-24-37-B2-11-BB) 。当主机A接收到主机C伪造的ARP应答时，就会更新本地的ARP缓存。那么主机B的真实IP地址与MAC地址映射项就会被伪造的所替换。当主机A再向主机B进行通信时，实际是将信息发送给了主机C。而主机A向主机B的通信就被主机C欺骗了，除非主机A重新获取主机B真实的IP地址与MAC地址映射。

（三）ARP欺骗防范

根据ARP欺骗的原理，可采取以下措施对ARP欺骗进行防范，以提高网络的稳定性和安全性。

1. 提高网络安全意识，加强防范措施。

如：安装杀毒软件，及时更新病毒库，经常对机器进行病毒扫描;安装并使用网络防火墙;及时安装系统补丁，更新操作系统;关闭一些不需要的服务等。

2. 使用专门的防ARP欺骗和攻击的软件。

如ARP专用防火墙;ARP木马病毒专杀软件。

3. 使用ARP命令或ARP防火墙将网关IP与MAC地址进行静态绑定，并采取一些安全策略。

如：拒收无请求的ARP应答数据包;只接收来自网关的ARP数据包;实时主动保持和网关的连接;手动添加可信任的主机IP和对应的MAC地址等。

4. 使用具有防范ARP欺骗功能的网络交换机，通过在交换机端进行配置而实现防范。

（四）结束语

在实际应用中，单一采用上述某种防范方法，必然存在一定的局限性，而多种方法综合运用，才能更为有效的防范ARP欺骗，但仍不能彻底防范所有的ARP攻击。这是因为ARP协议自身的漏洞而造成的。随着网络的发展，新的网络协议和技术的应用，可望解决该问题。

参考文献

[1]谢希仁.计算机网络[M].北京:电子工业出版社, 2003.

[2]LauraA.Chappell/EdTittel.TCP/IP协议原理与应用[M].马海军, 等译.北京:清华大学出版社, 2005.

简述ARP欺骗原理及解决方法 篇4

关键词：ARP欺骗；IP地址；MAC地址

中图分类号：TP393.18 文献标识码：A文章编号：1007-9599 (2011)05-0000-01

Brief Introduction of ARP Spoofing Outlined Principles and Solutions

Shen Haiwan

(School of Information Engineering, Zhejiang,Huzhou313000,China)

Abstract:With the extensive application of the Internet, "ARP" deceit-like virus outbreak followed, full of different parts of our network management to bring our wide range of issues. ARP (Address Resolution Protocol, Address Resolution Protocol) is a located in the TCP / IP protocol stack in the low-level protocol, responsible for IP address resolution into a corresponding MAC address. Once the link error, we can not communicate properly and the target host, resulting in paralysis of the entire network. In this paper, principle of ARP spoofing and a number of solutions is briefly described.

Keywords:ARP spoofing;IP address;MAC address

一、ARP的工作原理

ARP是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。整个解析过程是一台主机先向目标主机发送包含IP地址信息的广播数据包，即ARP请求，然后目标主机向该主机发送一个含有IP地址和MAC地址数据包，通过MAC地址两个主机就可以实现数据传输了。

二、ARP欺骗原理

一般计算机中的原始的ARP协议，假如把ARP协议看成一个人，那么它就像一个思想不坚定，容易被其它人影响的人，ARP欺骗/攻击就是利用这个特性，误导计算机作出错误的行为。ARP欺骗攻击的包一般有以下两个特点：第一，以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配；第二，ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内，或者与自己网络MAC数据库MAC/IP不匹配。

将ip地址转换为mac地址是ARP的工作，在网络中发送虚假的ARP respones，就是ARP欺骗。从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

三、ARP欺骗的症状

计算机网络连接正常，有时候PC无法访问外网，重新启动路由器又好了，过一会又不行了；用户私密信息被窃取；局域网内的ARP广播包巨增，使用ARP查询时发现不正常的MAC地址，或者是错误的MAC地址，还有一个MAC地址对应多个IP的情况；局域网内出现网络拥塞，甚至一些网络设备当机。

四、ARP欺骗的判别

假如网络出现掉线了,是ARP造成的，如何去判断？如果用户发现以上疑似ARP欺骗的情况，可以通过如下操作进行诊断：点击“开始”按钮->选择“运行”->输入“arp–d”->点击“确定”按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。

五、ARP问题解决

现在看到ARP解决方案，主要有以下的二种。

（一）静态绑定（IP+MAC法）。解决ARP欺骗最常用的方法就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。 欺骗是通过ARP的动态实时的规则欺骗内网机器，所以我们把ARP全部设置为静态可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。下面简单介绍下具体绑定方法：

1.对每台主机进行IP和MAC地址静态绑定。2.arp -s可以实现 “arp –s IP MAC地址 ”。例如：“arp –s 192.168.0.1 CC-CC-CC-CC-CC-CC”。3.设置成功会在PC上面通过执行arp -a 可以看到相关的提示：

Internet Address Physical Address Type

192.168.0.1 CC-CC-CC-CC-CC-CC static(静态)

（二）主动维护（路由器ARP广播）。现在很多路由器具有ARP广播功能,它的原理是路由器不间断的广播正确的路由器ARP。例如:路由器的IP是192.168.0.1 MAC:11:12:13:14:15:16,那它就会不停的每秒广播自己的正确ARP。不管你内网机器是否喜欢收,1秒收一个一秒收一个,收到了就改一次ARP表。无穷无尽无止无息,如果出现ARP欺骗,欺骗者发出欺骗信息,PC刚收到欺骗信息就收到了正确信息。所以问题也就解决了。但是有个隐患,就是广播风暴的问题。不间断的广播是会影响内网的网络。以每秒次的频率发送APR广播在内网是微乎其微的,因为任何一个机器都会有广播发生,多一个ARP最多相当于多几台机器的信息量,对内网是不会有影响的。但是这种方式有它的问题,当欺骗者加大欺骗ARP的频率超过路由时(在欺骗软件上面实现非常容易),还是会造成欺骗的效果。解决也应该很简单就是加大路由器的广播频率,但是这样也未必能解决好问题。因为当你使用超量路由器ARP广播的时候，网络内部容易造成混乱，为了一个ARP，7*24小时折腾网络，致使网络的性能大大的下降。

六、结论

不坚定的ARP协议，注定了它成为网络攻击时被利用的对象，近些年来，ARP欺骗在网络上一直很猖獗，给广大用户带来了极大的损失。所以我们只有了解它，才能采取有效的防范措施，通过本文的阐述，让大家对ARP欺骗有一定的了解，能够采取一些行之有效的防范措施，为构建和谐网络社会起到积极作用，促进信息社会健康发展。

参考文献：

[1]雷震甲.网络工程师教程[M].清华大学出版社,2006

ARP攻击和实现原理解析 篇5

ARP (Address Resolution Protocol, 地址解析协议) 是一个位于TCP/IP协议栈中的网络层协议, 对应于ISO七层协议的数据链路层, 负责将IP地址进行解析, 转换成对应的MAC地址。ARP协议的主要功能就是通过目标设备的IP地址, 以缓存表和广播的形式查询目标设备的MAC地址, 以保证通信的进行。

2 ARP与ARP缓存表

在以太网协议中规定, 局域网中的主机进行通信时, 必须知道目标主机的以太网地址 (MAC地址) , 而在TCP/IP协议中, 网络层和传输层只关心IP地址, 数据链路层并不能识别IP地址, 通过MAC地址来传输数据包。因此, IP数据包在局域网内部传输时通过识别主机的MAC地址进行转发的。这就需要一种方法, 可以根据主机的IP地址来获取其MAC地址, 二者之间存在一种对应关系, 这就需要ARP协议了。

ARP协议就是所谓的地址解析协议, 主要是进行目标IP地址和目标MAC地址的转换。具体的说, 当ARP工作时, 首先请求主机会发送一个以太网数据包, 数据包中含有目标主机的IP地址, 然后目标主机接收到数据包后, 会进行解析, 获得数据包中的IP地址, 并用包含IP地址和MAC地址对应关系的数据包来应答。因此, 请求主机就获得了目标主机的MAC地址, 并保存在ARP缓存表中。缓存表的管理采用了高效的老化机制, 增加新的内容的同时, 会删除使用少的数据, 这样可以在不增加缓存表长度的同时加快查询速度。

2.1 冒充"中间人"——ARP欺骗原理

ARP是用来将IP地址解析为MAC地址, ARP欺骗简单来说就是冒名顶替其他计算机的MAC地址, 从而捕获发送给其他主机的数据包信息。

由上可知, 以太网内部是依靠MAC地址来传输数据包的, 每台主机 (包括网关) 在传输数据包都会使用自己保存的ARP缓存表, 此表中包含着经常使用的IP地址和MAC地址的对应关系。一般情况下, ARP缓存表是有效的, 在以太网通信时, 可以保证其数据的传输。因此, 当两台主机通过网关进行数据传输时, 其它的主机是不能捕获到他们的通信信息的。

但是, 这并意味这ARP协议的完善, 相反, ARP协议有一个很大的弊端, 那就是当主机接收到ARP的应答包后, 不能验证这个请求是否发送过, 会用接收到的应答包中与IP地址对应的MAC地址来替换缓存表里的旧信息。因此, 这个弊端就可以使一台主机来捕获其他主机主机之间的数据通信。

其具体过程是, 首先, 主机C向主机A发送ARP应答包, 包含IP地址192.168.2.1对应的MAC地址是xx-xx-xx-xx-xx-01。主机A接收后不会去验证收到的数据包, 而是将自己缓存表中与IP地址192.168.2.1对应的MAC地址替换成xx-xx-xx-xx-xx-01。与此同时, C也会向网关1发送同样地ARP应答包, 包含IP地址192.168.3.1的MAC地址是xx-xx-xx-xx-xx-01。同样, 网关1会将自己缓存表中与IP地址192.168.3.1对应的MAC地址替换成xx-xx-xx-xx-xx-01。

这样, 主机A的ARP缓存表就发生了改变, 当主机A和主机B进行数据通信时, 它把应该发送给网关1 (192.168.3.1) 的数据包发送到主机C (xx-xx-xx-xx-xx-01) 。C接收到数据包后, 再转发给网关1。当B发送的数据包传输到网关1后, 网关1经过ARP解析, 将本该发送给192.168.3.1的数据包, 发送给主机C (xx-xx-xx-xx-xx-01) , C收到数据包后, 经过ARP解析, 传输给主机A, 完成了A与B的成功通信。主机C利用ARP协议的缺陷进行了ARP欺骗, 捕获了其传输的数据。

因此, 主机B欺骗了网关1, 让网关1以为主机B是主机A, 同时, 主机B又欺骗了主机A, 让主机A以为主机B是网关1。主机B同时对主机A和网关1进行欺骗, 充当"中间人", 捕获了主机A与网关1之间的数据交换内容。

要想实现有效的ARP欺骗, 最终的就是必须进行双向欺骗。欺骗者不但要欺骗网关, 也应欺骗主机。只有两者都被欺骗, 欺骗者才能捕获到所需要的信息, 否则只是徒劳。

2.2 ARP欺骗的代码实现

3 WinPcap简述

WinPcap是基于Win32平台, 可以成功捕获数据包, 并有效进行网络分析的体系结构。WinPcap可以完成很多功能, 其核心主要有几下机电:

1) 有效捕获数据通信的原始数据包, 包括主机之间和其他设备 (共享媒介) 上进行交换的数据包;

) 在数据包发送给某应用程序前, 根据自定义的规则过滤数据包;

3) 在网络上发送原始的数据包;

4) 收集网络数据通信中的统计信息。

只有在Win32内核中安装网络设备驱动程序, 并增加需要的动态链接库DLL, 才能实现上述的功能。

WinPcap包括了一个内核级的数据包过滤器, 一个低层动态链接库 (packet.dll) , 一个高层的, 依赖于系统的库 (wpcap.dll) 。

3.1 ARP攻击核心函数的实现

根据前面几节阐述的ARP攻击原理, 我们首先需要构建一个函数用于实现对ARP缓存的操作如图1所示其中部分以太网和ARP等协议数据结构形式构建不在此阐述。

参考WinPcap例子构建函数用于打开相应的网卡句柄, 然后设置网卡的类型为混杂模式, 使网卡能接受以太网上的广播数据包, 函数代码实现如图2所示。

3.2 Sniffer定位ARP欺骗主机

ARP欺骗主机的查找

首先搭建实验环境如图3所示。

其中红色标记为欺骗主机, 按照ARP欺骗的基本原理, 数据包应通过红色主机转发, 所以大量数据包都集中在红色的攻击主机上。通过数据抓包如图4所示 (图中单位内部服务器地址清除) 。

通过上图分析192.168.0.144流量存在异常, 同理通过MAC地址流量图也可以发现00-21-98-11-33-56也存在流量异常;再次通过192.168.0.96截获的数据包可以发现数据都是通过192.168.0.144和00-21-98-11-33-56转发的, 因此可以基本判断红色机器为ARP攻击主机。

在局域网中任意两台计算机之间的通信, 或者局域网中的计算机将IP数据包转发给网关设备时, 网卡先在缓存中查找目标IP地址相对应的MAC (物理地址) , 以填充物理帧的目的地址。ARP欺骗和攻击正是利用了这一点, 将自身的MAC地址填入正常的ARP协议缓存表中, 从而达到欺骗和攻击的目的。通过将IP地址和MAC地址进行静态绑定是有效防范ARP攻击的方法之一。

摘要：ARP是Address Resolution Protoco (l地址转换协议) 的简称, 是TCP/IP协议中网络层中的协议之一。它的作用是完成IP地址和MAC (物理地址) 间的地址转换。

参考文献

[1]李涛.网络安全概论[M].北京:电子工业出版社, 2004;

浅谈ARP病毒的攻击原理 篇6

众所周知, 最近这些年网络已经在我们的生活以及生产活动中得到非常广泛的使用, 它的这种普及程度为我们开展生活以及生产活动贡献了非常积极地力量, 不过我们在进行工作的时候常常会面临一个非常大的困境, 即网络非常容易受到各种病毒的影响, 一旦受到这种影响, 它将失去其原有的功能, 严重的阻碍了我们开展正常的生产活动。目前校园局域网出现了非常恶劣的ARP欺骗木马病毒, 这种病毒的位置程度非常严重, 而且不易察觉, 通常的反应是网络能够合理的连接, 而且也可以登录到我们所需的网站, 可是问题就在于我们无法浏览所需的页面, 这对于我们开展工作来说是一种非常大的损失。

2 ARP协议的工作原理

在以太网中传输的数据包是以太包而以太包的寻址是依据其首部的MAC地址。如果我们只是知道一个具体的主机的网络地址, 此时内核系统是不能够实现数据传输活动的, 而进行这项活动的必要条件是需要获取上述机器的MAC址。

在以太局域网内数据包传输依靠的是MAC地址, IP地址与MAC对应的关系依靠ARP缓存表, 通常来讲, 任何一台机器自身都具备一个独特的缓存表。它具有非常强大的功能, 能够帮助我们在合理的状态下, 确保将数据信息合理的对应的进行输送。通常我们能够在窗口中进行相关的操作, 比如查看信息或者是将信息更新等。

当在进行活动的时候, 即主机把设定好的数据信息发送到我们所需的机器上的时候, 主机会对本身的列表进行合理认真的自检, 查看气宗有没有我们所需的地质, 假如查找之后发现有该地址, 此时我们只需把要传递的信息进行输送即可完成。但是如果经过检查没有发现我们所需的地址, 此时主机就会自行想相关的网站发送广播信息, 针对所需的信息进行征询。当在寻找的范围中的全部数量的设备收到信息之后, 都会自行的查看信息中的地质和本机的是否相同, 假如不同的话, 此时就不需要做任何的反映活动, 假如检查之后发现相同, 此时本机就会自行将发送端的MAC地址和IP地址添加到自己的ARP列表中, 假如列表中原本就有所需的地址, 此时系统会自动的把原有的信息进行处理, 然后向征询信息的设备发送信息, 此回应的目的是向其表达本机就是广播中所要的地址, 源主机收到这个ARP响应数据包后, 将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中, 然后借助这一信息进行输送活动。不过也会存在不属于上述情况的状态发生, 通常是因为查询的地址并不在设定的范围之内, 此时就收不到回应的信息, 代表我们的此次查找活动没有取得成功。

3 病毒的运行模式以及机理

通过分析我们发现绝大多数的木马等通过ARP进行不当行为是为了能够获取在有效环境中合理的对信息进行监听, 进而供给系统。上述的病毒也不例外。

我们来做过比喻, 如果一个局域网中仅有三个计算机, 这个网络的运行是辅助交换机来进行的。我们把第一个电脑设定为甲, 它来充当病毒者, 另一个叫做乙, 它充当的是源主机, 也就是具体的负责信息传输。然后把最后一个叫做丁, 它的角色是代表接受信息的主机。这三台电脑的IP地址分别为:192.168.0.2, 192.168.0.3, 192.168.0.4, MAC地址分别为:MAC-A, MAC-S, MAC-D。

首先, 计算机乙要向丁输送信息, 它回自行对本身的缓存信息进行查阅, 分析其中有没有丁计算机的网络地址, 假如有它的地址, 此时即可直接的对信息进行输送即可。如果没有, 乙电脑便向全网络发送一个这样的ARP广播包:乙的IP是192.168.0.3, 硬件地址是MAC-S, 要求返回IP地址为192.168.0.4的主机的硬件地址。此时, 计算机丁收到信息之后, 首先会自行的检查自身的地址, 发现就是需要的信息, 此时将信息输送给计算机乙。现在乙电脑可以在要发送的数据包上贴上目的地址MAC-丁发送出去, 同时它还会动态更新自身的ARP缓存表, 将192.168.0.4-MAC-丁这一条记录添加进去, 因此, 当计算机乙要想再次向丁输送信息时, 即可直接发送即可, 上述的步骤就是我们在合理的状态下进行的信息输送步骤。

不过上面讲述的这个步骤存在一个非常大的弊端现象, 也就是说这项活动的基础是网络中所有的计算机都是安全有效的, 换句话讲, 它必须在这个背景下进行, 不管是网络中的哪一个具体的计算机, 它们输送的信息都能保证是合理的。比如在上述数据发送中, 当乙电脑向全网询问后, 丁电脑也回应了自己的正确MAC地址。但是当此时, 甲电脑却返回了丁电脑的IP地址和和自己的硬件地址。由于甲电脑不停地发送这样的应答数据包, 则会导致乙电脑又重新动态更新自身的ARP缓存表, 这回记录成:192.168.0.4与MAC-A对应, 我们把这步叫做ARP缓存表中毒。这样, 就导致以后凡是乙电脑要发送给丁电脑, 都将会发送给甲主机。也就是说, 甲电脑就劫持了由乙电脑发送给丁电脑的数据。这就是ARP欺骗的过程。

结语

通过上面的分析, 我们得知, ARP欺骗是目前网络管理, 特别是校园网管理中最让人头疼的攻击, 它的攻击技术含量低, 随便一个人都可以通过攻击软件来完成ARP欺骗攻击。同时防范ARP欺骗也没有什么特别有效的方法, 目前只能通过被动的亡羊补牢形式的措施了。无论是攻和防, 首要的就是找出每种攻击的“症结”之所在。只有这样才能找到行之有效的解决方案。当然最根本的办法在客户端自身的防范上, 如及时下载安装系统补丁、所装杀毒软件及时升级, 安装ARP专杀与防范软件等。

摘要：与我们生活非常密切的有各个范围之内的不同形式的局域网。学校中广泛使用局域网, 它有非常多的优势, 对于学习师生之间的互动有非常优秀的促进作用, 不过最近一段时间由于受到一些病毒的危害, 网络运行遇到很多不利因素, 笔者基于目前的这种背景环境重点的分析讲解了目前面对的这一现象以及应对的方式。

关键词：网络协议,IP地址,ARP病毒

参考文献

[1]宋生勇.浅谈局域网防ARP病毒[J].柴达木开发研究, 2011 (03) .

[2]杨涛, 宋群豹, 范玮.基于局域网的ARP病毒的分析与防御[J].商场现代化, 2009 (18) .

浅谈ARP欺骗原理与解决方法 篇7

1 ARP协议简介和工作原理

1.1 ARP协议简介

ARP,中文名为地址解析协议,全称Address Resolution Protocol,工作在数据链路层,将电脑的32位IP地址解析为48位的MAC地址,保证网络通信的顺利进行。具体说来,ARP就是将网络层(OSI的第三层)IP地址解析为数据链路层(OSI的第二层)的物理地址[1]。

1.2 ARP协议的工作原理

装有TCP/IP协议的电脑中都有一个已生成的ARP缓存表,表中的一组IP地址和MAC地址对应一台电脑,如下图。

以电脑A(172.31.50.1)向电脑B(172.31.50.2)发送数据为例,电脑A先在ARP缓存表中寻找是否有电脑B的IP地址。如找到电脑B的IP地址,直接把MAC地址写入帧里面发送;如没有电脑B的IP地址,电脑A会在局域网内发送一个广播,向本网段的所有电脑询问:“172.31.50.2的MAC地址是多少呀?”其他电脑不回应这一询问,只有电脑B接收到才向电脑A作出回应:“172.31.50.2的MAC地址是bb-bb-bb-bb-bb-bb。”电脑A知道了电脑B的MAC地址,就可对电脑B发送信息了。同时,更新了自己的缓存表,下次再对B发送数据时,直接在缓存表找即可。ARP缓存表采用老化机制,删除长时间不用的地址组,可以缩短缓存表的长度,加快查询速度[2]。

2 ARP协议欺骗原理

从ARP协议漏洞分析可知,应答可随意发送,并非只有发送了ARP请求后才回应。当电脑接收到ARP应答数据包时,对ARP缓存表进行更新,将IP和MAC地址对应存储在缓存中。当局域网中的电脑B向电脑A发送一个伪造的ARP应答,此应答是电脑B冒充电脑C伪造出来的,即IP地址为172.31.50.3,对应的MAC地址是bb-bb-bb-bb-bb-bb,当电脑A接收到电脑B伪造的ARP应答后,就会更新ARP缓存,这样电脑B与A之间的通信替代了C与A之间的通信[3]。

ARP攻击是通过伪造IP和MAC地址的对应关系实现ARP欺骗,产生大量的ARP通信数据包使网络阻塞,攻击者只要接连不断地发送伪造的ARP响应包,就可更改目标电脑缓存表中的IP-MAC条目,引起网络中断或中间人攻击等不良后果。

3 ARP欺骗的诊断方法

3.1 利用ARP缓存表查找

任意选两台不能上网的电脑,在DOS窗口下运行arp-a命令。如两台电脑的缓存表中除了有网关的IP-MAC地址对应项外,都包含有172.31.50.3的IP地址,则可断定IP地址是172.31.50.3的电脑就是攻击者。

3.2 利用命令诊断ARP欺骗

如发现电脑上网异常现象,可通过如下操作判断电脑是否被ARP攻击:

点击“开始”按钮—选择“运行”—输入命令“arp–d”—点击“确定”按钮,然后重新上网,如能恢复正常,说明掉线可能是ARP欺骗引起。arp-d命令只能用于清除并重建缓存表,不能抵御ARP欺骗,执行后可能再次遭受攻击。

4 ARP欺骗后的解决办法

(1)对感染ARP病毒者,使用杀毒软件清除病毒,最彻底的办法是对受感染电脑重新安装系统。

(2)对被ARP欺骗者,手动绑定网关mac地址。方法如下:

(a)获得路由器的内网MAC地址(例如网关地址172.31.1.1的MAC地址为aa-aa-aa-aa-aa-aa)。

(b)编写批处理文件AntiArp.bat内容如下:

@echo off

arp -d

@echooffarp-darp-s172.31.1.1aa-aa-aa-aa-aa-aa

将该批处理文件AntiArp.bat拖到“windows—开始—程序—启动”中。开机时该批处理就自动执行了。

(3)安装ARP防火墙软件,主动抵御ARP攻击。 可显著防范被ARP欺骗,并能快速检测出感染电脑的MAC地址,找到进程路径后,选择终止该进程,清除病毒文件。

(4)对交换机进行IP和MAC地址的动态绑定

思科Dynamic ARP Inspection(DAI)在交换机中提供IP和MAC地址的绑定技术,可动态建立绑定关系。DAI是以DHCP Snooping绑定表为基础,对没有使用DHCP服务器的个别电脑,可通过静态添加ARP access-list实现绑定。DAI配置是针对VLAN,对同一VLAN内的端口可开启DAI也可关闭。DAI通过控制端口的ARP请求数据包数量,达到防范ARP攻击的目的。

5 结束语

上面谈到ARP欺骗造成局域网网络异常,让被欺骗的计算机不能正常访问内外网,甚至造成大面积的网络瘫痪;现在我们根据ARP协议欺骗原理和攻击方式,对ARP欺骗电脑进行强有力的查杀,彻底处理,让ARP木马程序无处可藏,从而告别ARP欺骗净化网络环境,营造安全文明健康的网络氛围。

摘要：大部分局域网都受到过ARP欺骗的攻击,这严重影响了正常工作和学习。鉴于此现象,本文通过ARP协议原理揭穿ARP欺骗,并提出相应的处理措施。

关键词：ARP协议,欺骗,IP地址,MAC地址,缓存

参考文献

[1]查普尔,蒂特尔.TCP/IP协议原理与应用[M].北京:清华大学出版社,2009.

[2]程秉辉.IP网络安全技术[M].北京:人民邮电出版社,2008.

ARP欺骗的原理及解决方法 篇8

在介绍ARP之前, 我们先介绍下什么是MAC地址, MAC地址是烧录在Network Interface Card (网卡, NIC) 里的。MAC地址, 也叫硬件地址, 是由48比特长 (6字节) , 16进制的数字组成.0-23位是由厂家自己分配.24-47位, 叫做组织唯一标志符 (organizationally unique, 是识别LAN (局域网) 节点的标识。其中第40位是组播地址标志位。网卡的物理地址通常是由网卡生产厂家烧入网卡的EPROM (一种闪存芯片, 通常可以通过程序擦写) , 它存储的是传输数据时真正赖以标识发出数据的电脑和接收数据的主机的地址。

我们知道在互联网当中, IP地址是唯一的, 也就是说一旦确定了IP地址, 即可以向接收端的IP地址发送数据信息, 进行信息的传输。但在局域网 (确切地说是在数据链路层) 中进行数据传输时刚必须通过MAC地址进行通信, 所以就需要一种协议来解决从IP地址到MAC地址的办法。

ARP是解析地址的协议。也就是说, 所获得接收端的IP地址, 只是在想知道下一个接收机器的MAC地址时才加以利用。当接收端主机不在同一条数据链路的情况下, 使用ARP来检查下一个应该发送的网关的MAC地址。

二、ARP工作原理

假设局域网中有主机A和主机B两台计算机, 主机A有向主机B发送数据的需求, 但还不清主机B的MAC地址, 则其先向网络中发送一个包含主机B的IP地址的广播包。同一网段内的所有计算机都会收到这个广播包, 并对该包的内容进行分析, 当主机B发现目标IP地址就是自己的IP地址时, 则将自己的MAC地址附加到ARP应答包中, 返回主机A, 其它主机由于分析这个ARP广播包的IP地址不是自己的IP, 所以丢弃该包。主机A收到主机B发送的应达包后, 会将主机B的MAC地址存入到自己主机的缓存中, 在接下来的一段时间内, 直接从缓存中得到主机B的MAC地址并进行通信即可。

由于ARP协议能够自动地解析地址, 因此, 在使用TCP/IP通信的情况下, 人们并没有意识到MAC地址的存在, 只需考虑IP地址即可, 这也是人们忽略ARP协议存在的原因。

三、ARP协议的缺陷:

ARP协议是建立在互相信任的基础上的, 效率很高, 但存在安全隐患, 因为它只要收到一个ARP报文就会更新自己的缓存, 而不去验证自己是否发了这样的请求。所以就为ARP的欺骗提供了可能, 一些有恶意的站点一旦发布虚假的ARP报文, 就会干扰正常的上网秩序。

例如:局域网当中现有主机A, 主机B, 主机C三台计算机, 主机A有需求和主机B进行通信, 则主机A会发送一个ARP包广播当局域网当中, 主机B会发送应答包, 在主机A收到后, 将主机B的MAC地址存入缓存, 并开始通信。但如果主机C此时也发送一个ARP应答包, 告诉主机A它是主机B, 并将它自己的MAC地址发送给主机A, 则主机A在收到后会不加验证的将主机C的MAC地址存入缓存中并覆盖真正主机B的MAC地址, 这样一来, 主机A发给主机B的信息, 就全部发给了主机C了。

而在实际当中, 攻击者或中了ARP病毒计算机往往会伪装成网关的物理地址, 使得所有发往网关的数据全部发给了攻击者, 从而造成了局域网的瘫痪。

四、解决ARP攻击的方法:

1、绑定

用户在各自上网的计算机当中进行绑定:首先从网管人员那里得到正确的网关IP地址和MAC地址, 或者是在命令提示符下输入arp-a如图

然后继续在命令提示符下输入如下信息:Arp-s IP地址MAC地址。

本例中输入arp-s 192.168.110.251 00-0f-e2-7f-22-58即可。

如果觉得每次输入都较繁琐的话, 那我们可以做个批处理文件, 然后将其放入启动文件夹下, 每次开机后, 都会自动运行绑定网关程序。

批生理文件制作如下:

打开文本程序, 输入下列命令:

@echo off

Arp-d/清空arp缓存

Arp-s 192.168.110.251 00-0f-e2-7f-22-58/绑定网关的IP与MAC地址

最后要保存为BAT文件。

2、交换机绑定

在三层交换机上将所有上网的计算机的IP地址与MAC地址绑定。这样做虽然比较繁琐, 但可以在最大限度上防止ARP台骗以及盗用IP地址情况的发生, 具体操作视不同交换机命令有所不同, 下面以H3C的9508交换机为例进行操作:

3、使用专用软件

目前, 具有防护ARP欺骗功能的软件也较多, 较常见的有瑞星, 360安全卫士卫士, Anti-ARP等都有该功能, 它们的工作原理有的是以一定的频率向网络广播正确的ARP信息, 有的是将网关的IP地址与MAC地址绑定, 一旦收到与原网关MAC地址不同的信息时, 会及时报警。总之, 这些软件在一定程度上都能做到防护ARP欺骗, 所以建议读者务必安装。

本文主要介绍了ARP协议的工作原理, 以及由于设计缺陷而造成的ARP欺骗的解决方法, 目前此类病毒在高校和企事业单位还是比较严重的, 为了更好的防御, 建议还是多用几种防御的方法, 以加强网络的健壮性、安全性。

摘要：近年来, 大学校园网或多或少的会受收到ARP欺骗的侵扰, 这在一定程度上干扰了正常的教学秩序和工作秩序, 本文从ARP协议的工作原理出发, 找出ARP协议的缺陷及ARP欺骗的手段, 结合实际工作提出解决ARP欺骗的方法。

关键词：ARP,ARP欺骗,MAC地址

参考文献

[1].竹下隆史, 村山公保.TCP/IP综合基础篇[M].北京:科学出版社, 2004.

[2].吴小平.基于SNMP的ARP欺骗主动防御机制[J].华中师范大学学报, 2007 (4) .

浅谈校园网ARP攻击原理与防范 篇9

1. ARP病毒简介

1.1 ARP病毒

ARP病毒是一类特殊的病毒, 该病毒一般以木马病毒的形式出现, 不具备主动传播的特性, 不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包, 干扰全网的运行, 因此它的危害比一些蠕虫还要严重得多。其危害主要表现在:局域网内的部分或所有电脑不能上网;无法打开网页或打开网页慢;在打开的网页顶部和底部插入恶意广告;不断提示IP地址冲突 (非IP共用产生的IP地址冲突) ;局域网时断时续并且网速较慢等。

1.2 ARP协议介绍

ARP协议是一个不安全的协议, 因为是直接和用户使用的网络设备交互的协议, 所以很容易被仿冒、篡改、复制和非法获取。从其衍生出来的问题也越来越严重。ARP协议是建立在信任局域网内所有结点的基础上的, 所以效率很高, 但却不太安全。该协议是无状态的协议, 不会检查自己是否发过请求包, 也不管 (其实也不知道) 是否是合法的应答, 只要收到目标MAC是自己的ARP reply包或ARP广播包 (包括ARP request和ARP reply) , 都会接受并缓存。这就为ARP欺骗提供了可能。恶意节点可以发布的ARP报文从而影响网内结点的通信, 甚至可以做“中间人”。有的利用该协议造成ARP攻击, 使网络变慢, 客户机不能正常上网。进而严重影响校园网的正常运转。ARP协议的具体的工作过程如下:假设网络中有四台主机A、B、C和D, 他们的IP地址和对应的硬件地址如表1-1所示。

2. ARP病毒攻击的表现形式

一般来说, ARP攻击的后果非常严重, 大多数情况下会造成大面积掉线。有些网管员对此不甚了解, 出现故障时, 认为主机没有问题, 交换机不可能是导致掉线的原因, 电信服务商也不承认宽带故障。而且如果第一种ARP攻击发生时, 只要重启路由器, 网络就能全面恢复, 那问题一定是在路由器了。实际上这是错误的。ARP协议是一种很特殊也很重要的协议。因此ARP病毒的发作也给网络的正常传输带来了各种各样破坏。其表现形式基本上分为以下几点:

2.1 网络频繁掉线

网络频繁掉线主要表现为用户在使用网络的过程中, 网页打开速度慢、时断时续甚至根本打不开以及其它的网络应用处于断线状态。这种现象是因为感染ARP病毒的主机一旦收到ARP请求包后, 它就会向源主机发送伪造的ARP包, 导致源主机无法与真正的目的主机通讯。当伪造的ARP包中包含错误的网关信息时, 源主机会误认为中毒主机就是网关, 便会通过中毒主机连接外网, 如果中毒主机性能很差, 无法胜任“网关临时代理”功能就会表现为用户网络连通, 但延时太大, 所以用户上网才会觉得慢、时断时续, 甚至根本无法连接网络。

2.2 弹出恶意广告

ARP病毒在伪装网关的基础上, 还会对HTTP请求访问进行篡改。HTTP是应用层的协议, 主要用于WEB网页访问。当源主机的请求通过访问某个网站的时候, 中毒主机仍然会担任“网关临时代理”之职, 仍然会给源主机下载所请求的web网站内容, 但不同的是, 在将web内容传送给源主机的同时, 会在下载的web内容中插入恶意网址连接, 该恶意网址连接会利用多种系统漏洞, 向源主机种植木马病毒, 破坏用户的操作系统以及网络环境。

2.3 提示IP地址冲突

ARP病毒还会造成用户IP地址冲突, 并不断的提示, 干扰用户正常使用网络。正常情况下, 当主机A在连接网络 (或更改IP地址) 的时候就会向网络发送ARP包广播自己的IP地址, 也就是free ARP。如果网络中存在相同IP地址的主机B, 那么B就会通过ARP来reply该地址, 当A接收到这个reply后, A就会跳出IP地址冲突的警告, 当然B也会有警告。但如果网内存在ARP攻击病毒, 那么中毒主机便可以伪造这个ARP reply, ARP reply的内容就是“我的地址和主机A一样”, 主机A就误认为自己的IP和别人冲突了, 就会不断的出现IP地址冲突警告, 也就无法与网络通信。

3. 校园网ARP病毒防范的实现

3.1 系统配置

ARP攻击者本身有其正常使用的IP, 当攻击某台计算机时, 他会假冒成被攻击者的IP, ARP攻击会针对网关以及同一个网段的许多台计算机 (跨网段的ARP欺骗除此之外还要利用ICMP重定向欺骗) 。因此在网络上, ARP攻击者表现为同一个MAC地址, 对应许多IP, 且对应的IP不断的变化。不论是以广播方式发送的ARP欺骗, 还是针对网关的非广播欺骗, 路由器都能够接收到, 并且记录在其ARP缓存中。校园网络的发展有个一个实际的好处是, 在申请上网的时候保存了相应的用户信息。这就为本文提供了一个非常有效的资源, 我们可以根据绑定的IP和MAC地址来检测相应的IP地址和MAC地址映射的正确性从而判定ARP攻击的发生。

3.2 病毒检测模块

主程序接受到返回的字符串后, 调用ARP_Cache的execute () 方法执行后, 获取数据流中的IP和MAC映射对。返回一个ARP_Cache类型的数组。execute () 方法的具体实现如下:

3.3 病毒防御策略

通过对返回的数据处理和检测, 得到了病毒的样本, 保存到error_data数据库中, 通过访问该数据库可以知道校园网中ARP病毒的基本情况。在每次telnet之前先查询temp_table, 该交换机的ip是否在表中。如果没找到, 直接进行检测;否则提取相应的端口号和危险等级, 威胁最高的修改认证服务器使其不能连接到网络, 禁用该端口, 不再对该端口进行检测;危险等级的较高的, 禁用该端口, 不再对该端口进行检测;危险等级普通的, 清空该端口的缓存信息, 不再对该端口进行检测。在完成本次telnet后, 删除temp_table中相应的表项。

思科Dynamic ARP Inspection (DAI) 在交换机上提供IP地址和MAC地绑定, 并动态建立绑定关系。DAI以DHCP Snooping绑定表为基础, 对于没有使用DHCP服务器的个别机器可以采用静态添加ARP access-1ist实现。DAI配置针对VLAN, 对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI控制某个端口的ARP请求报文数量。通过这样的配置, 可以在一定程度上解决ARP攻击问题, 提高网络安全性和稳定性。通过这些技术可以防范“中间人”攻击。

结论

校园网的飞速发展, 为学生和教职员工的生活、工作、学习提供了良好的环境。在发展的同时, 校园网面临着严峻的挑战, ARP病毒是主要的威胁之一。ARP病毒爆发的时候, 造成重要信息的泄露和网络大面积掉线等危害。针对这种情况, 本文在校园网ARP病毒的检测定位与防范方面进行了研究, 设计了一个用于ARP病毒检测定位与防范的系统。

摘要：当今的信息社会是建立在计算机网络的基础之上的, 网络信息安全形势十分严峻。网络协议安全是网络安全的重要环节, 对网络协议的分析、利用越来越受到人们的关注。本文分析了ARP协议及其存在的漏洞, ARP病毒的攻击原理和方式方法, 并设计实现了一个检测、定位和防范ARP病毒的系统。

关键词：校园网,ARP,攻击,防范

参考文献

[l]凌捷.计算机数据安全技术[M].北京:科学出版社, 2004.

[2]秦宗全, 于咏梅, 郭大春.校园网络安全防范体系研究[J].计算机时代, 2007 (2) :16-18.

[3]Stephen Northeutt.深入剖析网络边界安全[M].北京:机械工业出版社, 2003.8:4-11.