arp协议的主要功能是

关键词：

arp协议的主要功能是（精选2篇）

篇1：arp协议的主要功能是

国子监的主要功能

国子学或国子监，是在中国古代封建社会的教育管理机关和最高学府，其具备了两种功能，一是国家管理机关的功能，二是国家最高学府的功能。国子学的设立相对于“太学”而言，除了是国家传授经义的最高学府外，更多的承担了国家教育管理的.职能；但同时，国子监与太学也可互称，经常用太学来指代国子监。

“国子监”出现后，“学”与“监”不同的含义说明了二者在承担两种功能上的不同分工，“学”是传授知识，指向教育和最高学府的功能；“监”是督查监管，指向国家教育管理的功能。

明国子监学习《四书》、《五经》，兼习《性理大全》以及律令、书数等，此外，国子监对教职员的职务、待遇及对监生的管理、待遇等方面，都有十分明确的规定。

国子监职务

祭酒一人，从四品；司业二人，从四品下。掌儒学训导之政，总国子、太学、广文、四门、律、书、算凡七学。

丞一人，从六品下，掌判监事。每岁，七学生业成，与司业、祭酒莅试，登第者上于礼部。

主簿一人，从七品下。掌印，句督监事。

篇2：arp协议的主要功能是

ARP欺骗具有隐蔽性、随机性的特点, 在Internet上随处可下载的ARP欺骗工具使ARP欺骗更加普遍。目前利用ARP欺骗的木马病毒在局域网中广泛传播, 给网络安全运行带来巨大隐患, 是局域网安全的首要威胁。有时会出现网络设备完好, 运转正常的情况下, 局域网内用户上网速度缓慢甚至完全阻塞的情况, 这种现象往往是由于局域网内遭到ARP攻击引起的, 一些带有ARP欺骗功能的木马病毒, 利用ARP协议的缺陷, 像大规模爆发的流行性感冒一样, 造成网络时断时续, 无法正常上网。同时清理和防范都比较困难, 给不少的网络管理员造成了很多的困扰。

二、ARP协议概述

ARP协议全称为Address Resolution Protocol, 即地址解析协议, 是TCP/IP协议栈中的基础协议之一, 它工作于OSI模型的第二层, 在本层和硬件接口间进行联系, 同时为上层 (网络层) 提供服务。是将IP地址与网络物理地址一一对应的协议, 负责IP地址和网卡实际地址 (MAC) 之间的转换。也就是将网络层地址解析为数据链路层的M A C地址。在以太网中, 一个网络设备要和另一个网络设备进行直接的通信, 除了知道目标设备的I P地址外, 还要知道目标设备的M A C地址。A R P协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通讯的顺利进行。当一个网络设备需要和另一个网络设备通信时, 它首先把目标设备的I P地址与自己子网掩码进行“与”操作, 以判断目标设备与自己是否位于同一网段内, 如果目标设备与源设备在同一网段内, 则源设备以第二层广播的形式 (目标MAC地址全为1) 发送ARP请求报文, 在ARP请求报文中包含了源设备与目标设备的IP地址。如果目标设备与源设备不在同一网段, 则源设备首先把IP分组发向自己的缺省网关, 由缺省网关对该分组进行转发。

三、ARP协议的缺陷

1. 主机ARP列表是基于高速缓存动态更新的。

由于正常的主机间的MAC地址刷新都是有时限的, 这样恶意用户如果在下次交换之前成功地修改了被欺骗机器上的地址缓存, 就可以进行假冒或拒绝服务攻击。

2. 可以随意发送ARP应答分组。

由于ARP协议是无状态的, 任何主机即使在没有请求的时候也可以做出应答。因此任何时候发送ARP应答。只要应答分组是有效的, 接收到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机高速缓存。

四、ARP的主要攻击类型

ARP期骗是指利用ARP协议的漏洞, 通过向目标设备主机发送虚假的ARP报文, 达到监听或者截获目标主机数据的攻击手段。主要攻击类型:冒充主机欺骗网关 (对路由器ARP表的欺骗) 、冒充网关欺骗主机 (对内网P C的网关欺骗) 。

1. 冒充主机欺骗网关

攻击主机C发出一个报文, 其中源MAC地址为MAC C, 源IP地址为IP A。这样任何发往主机A的报文都会被发往攻击主机C。网关无法与真实主机A直接通信。假如攻击主机不断地利用自己的真实MAC地址和其他主机的IP地址作为源地址发送ARP包, 则网关无法与网段内的任何主机 (攻击主机C除外) , 进行直接通信。然而, 这种情况下, 交换机是不会产生任何报警日志的, 原因在于, 多个IP地址对应一个MAC地址在交换机看来是正常的, 不会影响其通过IP所对应的MAC来交付报文。

如果攻击者将网关ARP缓存中的MAC地址全部改为根本就不存在的地址, 那么网关向外发送的所有以太网数据帧会丢失, 使得上层应用忙于处理这种异常而无法响应外来请求, 也就导致网关产生拒绝服务 (不能响应外界请求, 不能对外提供服务) 。

2. 冒充网关欺骗主机

(1) 在主动攻击中, 攻击者C主动向A发送ARP应答数据包, 告诉A, B (网关) 的IP地址所对应的MAC地址是CC-CC-CC-CC-CC-CC, 从而使得A修改自己的ARP列表, 把B的IP地址对应的M A C地址修改为攻击者C的M A C地址。

(2) 同时, 攻击者C也主动向B发送ARP应答数据包, 告诉B, A的IP地址所对应的MAC地址是CC-CC-CC-CC-CC-CC, 从而使得B修改自己的ARP列表, 把A的IP地址对应的MAC地址修改为攻击者C的MAC地址。

(3) 从而使得A←→B之间的通信形式变成A←→C←→B, 实现了中间人攻击。

在被动攻击中, 攻击者C只在A或者B发送ARP请求数据包时, 延时一段时间发送应答数据包, 使得自己的应答包在正确的应答包之后到达, 防止自己修改的相应主机的ARP列表被正确的应答包再次修改。

那么主机A发往网关B的报文都会被发往攻击主机C, 造成主机A突然断网。如果攻击主机向网关B转发了来自主机A的报文, 那么主机A能通过攻击主机C继续上网, 但其上网质量完全取决于攻击主机C, 通常表现为时断时续。

例如, 网络上有3台主机, 有如下的信息:

主机名IP地址硬件地址

A 202.206.208.1 AA:AA

B 202.206.208.2 BB:BB

C 202.206.208.3 CC:CC

这三台主机中, C是一台被入侵者控制了的主机, 而A信任B, 入侵者的目的就是要伪装成B获得A的信任, 以便获得一些无法直接获得的信息等。

四、ARP欺骗防范和解决方案

1.手动防御

防御A R P欺骗的简单方法是网络管理员分别在主机和路由器上静态绑定地址映射。这种方法非常有效, 但仅适用于小规模的局域网, 而且这种方法不适用于DHCP自动分配地址的情况, 也不能适应网络的动态变化。对于大型动态IP的网络, 建立DHCP服务器 (建议建在网关上) 。所有客户机的IP地址及其相应主机信息, 只能由网关这里取得, 网关开通DHCP服务, 保持网内的机器IP/MAC一一对应的关系。在由DHCP服务器构成的动态分配主机IP的环境中, 主机申请IP时的MAC地址和IP地址是一一配对的, 也是唯一的, 上述的攻击主机C也不能例外, 不可能利用一个MAC地址申请到多个IP地址, 更不可能申请到网关地址。同时, 网关机器关闭ARP动态刷新的过程, 使用静态路由, 这样的话, 即使犯罪嫌疑人使用ARP欺骗攻击网关的话, 这样对网关也是没有用的, 确保主机安全, 即可防御冒充主机欺骗网关的ARP欺骗。

另一方面通过arp-s命令, 在PC上绑定网关的MAC和IP地址, 这样可以防御冒充网关欺骗主机的A R P欺骗。

另一种有效的手动防御方法是在局域网中增加VLAN的数目, 减少V L A N中的主机数量。局域网管理员可以根据本单位的网络拓扑结构划分若干个VLAN, 这样既能够在发生ARP攻击时减少所影响的网络范围, 又能够在发生ARP攻击时便于定位出现的网段和具体的主机。缺点同样是增加了网络维护的复杂度, 也无法自动适应网络的动态变化。

2.使用ARP服务器

在局域网内部的设置一台机器作为ASP服务器, 专门保存并且维护网络内的所有主机的IP地址与MAC地址映射记录, 使其他计算机的ARP配置只接受来自ARP服务器的ARP响应。当有ARP请求时该服务器通过查阅自己缓存的静态记录并以被查询主机的名义响应ARP局域网内部的请求, 从而防止了ARP欺骗攻击的发生。但是这个方法也有不足, 首先要保证ARP服务器不被攻击, 确保ARP服务器的安全;其次要保证主机只接受指定ARP服务器的ARP响应报文。如何做到这一点, 目前还是比较困难的。

3. ARP欺骗的解决措施

以上只是对A R P欺骗的防御手段, 但对于局域网中已经有机器中了A R P欺骗木马, 伪造网关, 则可采用以下方法解决。

判断攻击机的IP地址

某计算机所处网段的路由IP地址为xx.xx.xx.1, 本机地址为xx.xx.xx.8, 在计算机上DOS命令行中运行arp-a后输出如下:

C:Documents and SettingsAdministrator>arp-a

Interface:xx.xx.xx.8---0x10003

Internet Address Physical Address Type

xx.xx.xx.1 00-01-02-03-04-05 dynamic

其中, 00-01-02-03-04-05就是路由器xx.xx.xx.1对应的MAC地址, 类型为动态, 因此可被改变。正常情况下, xx.xx.xx.1和00-01-02-03-04-05始终对应。被攻击后, 重复使用该命令查看, 就会发现该MAC已经被替换成攻击机器的MAC, 而且攻击机器的M A C地址和真正的网关M A C地址会出现交替现象, 如

C:Documents and SettingsAdministrator>arp-a

Interface:xx.xx.xx.8---0x10003

Internet Address Physical Address Type

xx.xx.xx.1 00-01-02-03-04-05 dynamic

xx.xx.xx.6 00-01-02-03-04-05 dynamic

由此可判断xx.xx.xx.6的计算机就是攻击机, 接下来就要判断攻击机的MAC地址并对连接该主机端口进行定位, 定位操作主要通过S N M P协议完成。最后关闭交换机上受病毒感染的端口并对通过端口查出的相应用户进行彻底查杀。当然也可以直接下载ARP欺骗检测工具, 如ARP Checker可以有效的定位到发起ARP欺骗的主机。

五、结论

通过以上几种方法来解决A R P病毒对于局域网的欺骗攻击是比较有效果的。但是由于ARP病毒版本在不断更新升级中, 所以仍会给局域网用户带来新的冲击与危害。因此有必要提前做好局域网ARP病毒的防范工作, 使得ARP病毒的危害减少到最小程度。当然, 在网络安全领域, 没有任何一种技术手段可以解决所有的问题, 对于各种类型的网络攻击, 经常查看当前的网络状态, 对网络活动进行分析、监控、采取积极、主动的防御行动是保证网络安全和畅通的重要方法。网络管理员应当密切检查网络, 不断提高自身的技术水平, 确保网络安全的正常运行。

参考文献

[1]张胜伟:基于DAI的ARP欺骗深度防御[J].计算机安全, 2009, (01)

[2]李新:ARP欺骗防御技术的研究[J].商场现代化, 2008 (36)