ARP欺骗的检测(精选十篇)
ARP欺骗的检测 篇1
近些年来, 随着我国高校信息化建设的快速发展, 校园内的工作、学习、生活越来越离不开网络, 校园网用户对互联网上进行各种文件的下载与应用, 难免有包含一些不安全的文件, 使得高校校园网存在较多的安全隐患。其中ARP欺骗是最常见的一种病毒攻击方法, 其传播速度快, 影响面积大, 往往造成校园网击大面积用户网络不稳定、上网速度慢或网络中断。因此如何防范ARP欺骗攻击, 已成为网络管理员与用户高度关注的问题。
2 ARP和ARP欺骗的工作原理
2.1 ARP协议工作原理。
ARP是地址解析协议 (Address Resolution Protocol) 的缩写, 它是一个数据链路层协议, 工作在OSI七层模型的第二层, 它将网络层的逻辑地址 (IP) 映射到数据链路层的物理地址 (MAC) , 以便将IP报文封装成以太帧发送, 达到通过IP地址访问以太网的目的[1]。
在网络中, 主机与主机之间的通信, 必须进行MAC地址和IP地址之间的转换来完成。ARP协议的工作原理就是通过广播式的请求和单播应答将目标主机的IP地址转换为MAC地址, 通过目标主机的IP地址, 查询并翻译目标主机的MAC地址, 也就是将网络层的IP地址解析为数据链路层的MAC地址。同时将转换关系分别存放在源主机和目标主机中的ARP缓存表中, 以便查询。
2.2 ARP欺骗工作原理。
ARP欺骗攻击是利用ARP协议本身的运行机制, 可以对局域网上的机器进行攻击, 攻击主机通过发送伪造的ARP应答包来更新目标主机的ARP缓存, 从而赢得目标主机的信任, 然后再实施有效攻击或非法监听网络数据包, 造成目标主机被破坏或机密信息泄漏等一系列灾难性后果, 甚至使整个局域网陷于瘫痪。因此通过分析ARP协议的运行机制和ARP攻击手段, 研究一种准确侦测和安全防御ARP欺骗攻击的方案变得十分必要[2]。
3 ARP欺骗的攻击手段
随着网络技术的不断发展, 校园网给学校的管理、工作、学习、生活带来了方便, 同时也给信息安全提出了更大的挑战。通过近几年对校园网内不同程度爆发的几种典型ARP欺骗深入分析, ARP欺骗的攻击方式也不断变化, 除了众多的ARP攻击工具, 许多病毒也采用了ARP欺骗技术, 其攻击方式更多样化和复杂化, 破坏力也比以前更大。利用ARP欺骗进行攻击的表现方式主要有以下几种:
3.1 冒充主机, 阻碍网络通信。
冒充网内一台主机或是并不存在的IP地址和MAC地址以广播的形式不断向同一子网的其他机器发送假冒的ARP请求包或者ARP应答包, 散播虚假的IP、MAC映射关系, 导致网内其他主机的ARP表混乱, 欺骗网络中主机的正常通信。当冒充的主机是该网段的网关时, 就会导致网内所有机器全部断网。
3.2 数据监听, 篡改数据包。
当一台主机感染带有ARP欺骗功能的病毒后, 会在网内发送正确的ARP协议, 它本身并不是病毒, 所以一般的杀毒软件堵它无效, 但是它会监听局域网内所有主机的数据包, 截取并篡改网络上访问网页的数据包, 在被访问的网页代码里加入包含有木马程序的恶意网页链接。从而导致局域网内其它主机不管访问什么网站都会被导引到含有木马程序的网页。该网页连接会利用多种系统漏洞, 向电脑种植木马病毒, 久而久之导致该网段内所有机器都中病毒。
3.3 以中间人方式截获数据。
该种方式建立于冒充方式的基础上, 非法主机将自己插入两台主机的通信路径之间, 当其中一台主机 (下述主机A) 发送ARP请求后, 非法主机也可以收到主机A的ARP请求, 并且再发送一个几乎与主机A所发送的ARP请求相同的请求。同时非法主机发送的ARP请求更改了另一台主机 (下述主机B) 的ARP缓存表, 使主机B误认为主机A的物理地址为是非法主机的物理地址, 这样非法主机就在主机A和主机B之间充当中间人的角色, 监听主机A和主机B之间的通信。所有A与B之间传输的数据都将经过非法主机, 再由非法主机分别转发给主机A和主机B。特别是当目标主机是一台DHCP服务器时, 非法主机便可以冒充合法的DHCP服务器, 然后为DHCP客户端分配一个经过修改的DNS服务器地址, 在用户毫无察觉的情况下被引导至预先配置好的钓鱼网站, 进而骗取用户的账号和密码[3]。
4 高校校园网状况
目前, 所有国内几乎所有高校都或多或少的出现过ARP欺骗类病毒爆发的现象, 这种现象与高校校园网的管理混乱和复杂的网络用户群体是密不可分的, 具体来说高校校园网有如下几个特点:
4.1 网络基础环境良好。
二十世纪九十年代, 国内各高校相继开始组建校园网络, 百兆、千兆校园网络普遍存在, 万兆校园网络屡见不鲜, 校园网的用户群体一般也比较大, 少则千人多则万人, 高校学生住宿一般比较集中, 由于校园网带宽高用户量大的特点, 网络安全问题尤其是病毒传播比较快, 对网络的影响比较严重。
4.2 校园网管理的混乱。
随着校园网诞生的同时, 高校也相继成立了校一级别的网络管理部门, 负责学校的网络环境的建设和规划, 但校园网中的计算机的购置和管理情况却异常复杂, 学生公寓中的电脑一般是学生自己购买、自己维护, 教师办公用机和学校教学用机都是由各个部门统一采购。在这种情况下不可能做到所有的上网主机实施统一的安全政策。
4.3 用户群体的安全意识差。
在上网用户群体中, 高学学生通常是最活跃的网络用户, 对网络新技术充满好奇, 勇于尝试, 但在求知的同时却往往忽视了安全意识, 有些学生在无意中成为网络病毒的传播者, 更有甚者少数学生会尝试使用网上学到的、甚至自己研究的各种攻击技术, 同样对网络造成一定的影响和破坏。
4.4 网络环境的开放性。
在高校由于教学和科研的特点决定了校园网络环境应该是开放的, 建设了许多多媒体教室和机房, 相对而言这些教室和机房的管理也是较为宽松的。企业网可以限制允许Web浏览和电子邮件的流量, 甚至限制网络访问的端口, 但是校园网一般不能实施过多的限制, 否则一些新的应用、新的技术很难在校园网内部实施。有时却必须为一些特殊的服务开启特别的端口, 这也为黑客和病毒的攻击打开了通道[4]。
5 ARP欺骗的检测
基于ARP所有的攻击都是从PC终端上发起的, 如果能从终端操作平台采取防范措施, 这些不安全因素将从终端源头被控制的思想, 从局域网中的每个终端入手, 提出防范ARP攻击的主要思路:对每个主机发送和接收的ARP报文进行一致性检测, 丢弃ARP头信息不一致的ARP报文;采用主动探测的方式, 对接收的ARP报文实施发送方身份认证, 拒绝未通过认证的报文, 并且告警;接收ARP协议报文的顺序是先发送请求后接收应答, 拒绝无请求型应答, 防范其它主机对本机的ARP攻击;检查其发送的ARP报文中的源MAC地址和IP地址是否与本机一致[5], 这样可有效的杜绝主机被非法操纵发起对其它机器的ARP攻击, 实现了针对本机的攻击行为的拦截。
6 ARP欺骗的防护
针对高校校园网覆盖面积大、应用广、用户多的特点, 对与ARP欺骗的防护不可能从一个个主机做起, 应该从根本上解决问题所在, 所以应利用校园网的路由交换设备的功能来进行彻底的防护。
6.1 建立双向的静态映射。
ARP病毒攻击的最根本原理是改变IP与MAC地址的对应关系。所以, 可以采取静态MAC地址表法防范。主机或交换机的IP--MAC地址映射表使用手工维护, 输入之后不再动态更新, 显然可以避免ARP病毒的攻击。ARP病毒攻击形式有攻击路由器ARP表和攻击计算机ARP表两种, 因此静态IP--MAC地址映射也有路由器ARP表的静态映射和计算机本地ARP表的静态映射。
双向设置静态映射其实需要设置三个, 即局域网内计算机需要设置本机IP地址和对应的MAC地址、网关的IP地址和对应的MAC地址, 然后还要在路由器上设置客户机的IP地址和对应的MAC地址的静态映射。但是, 这种方法的缺陷也很明显, 采用此方式设置静态ARP缓存, 管理员需要定期轮询, 检查主机上的ARP缓存。
6.2 VLAN和端口隔离。
根据校园网用户使用网络的不同, 在交换机上采用VLAN技术, 将局域网内的主机分成若干个网段, 网段之间都不能直接通信, 将ARP的广播风暴控制在最小范围;同时采用端口隔离技术, 将不同的主机隔离, 只有上层VLAN全局可见, 下层VLAN相互隔离。即保证接入用户可以通过VLAN的端口与外网相连, 又将每个端口广播局限在本VLAN内, 隔离用户的广播报文, 防止相互探测, 防止内部用户的ARP欺骗。
6.3 DHCPSnooping技术。
如果校园网内主机的IP地址是由DHCP服务器动态分配的, 同一主机 (MAC地址唯一) 不同时间获得的IP地址并不相同。因此不能在交换机上对IP与MAC地址进行静态绑定, 交换机的ARP缓存表必须是动态可更新的。DHCPSnooping技术是DHCP安全特性, 通过建立和维护DHCPSnooping绑定表过滤不可信任区域的DHCP信息。DHCPSnooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID接口等信息。交换机上连接普通主机的端口在发送ARP报文时受到交换机检测, 报文中IP与MAC地址对必须与DHCPSnooping检测并记录的主机当时动态申请的IP地址相符。这样中毒主机就无法发送虚假的ARP报文了。
6.4 使用ARP服务器。
在局域网内架设ARP服务器, 替代主机应答ARP包。效果较明显, 但配置复杂, 需要改变客户端设置。
7 结论
由于ARP协议制定时间较早, 当时针对协议的缺陷考虑不周, 使得ARP病毒攻击成为校园网中常见的入侵攻击方式。本文仅介绍如何在校园网内进行ARP病毒的检测与其相关防范策略, 但仍未做到完全避免ARP病毒的入侵, 这仍有待于继续探讨。在解决问题的同时, 更重要的是通过发现问题和解决问题去规范校园网的管理, 只有不断积累和总结, 不断发现问题和解决问题, 才能使校园网络安全、顺畅。
参考文献
[1]罗琳.校园网ARP欺骗分析与防范检测技术[J].电脑知识与技术, 2009 (3) .
[2]张昊, 杨静.基于ARP欺骗的网络监听检测技术研究[J].安徽科技学院学报, 2011 (3) :34-38.
[3]孔祥翠, 郭爱章, 耿玉水.校园局域网防ARP病毒的研究和解决[J].计算机安全, 2008 (3) :95-96, 100.
[4]黄玉春, 王自南.浅谈局域网中的嗅探原理和ARP欺骗[J].大众科技, 2006 (8) :84.
ARP地址欺骗的分析与实现 篇2
关键词:ARP表MAC地址ARP欺骗IP地址
中图分类号:TP393.1文献标识码:A文章编号:1674-098X(2011)03(a)-0051-01
ARP表是IP地址和MAC地址的映射关系表,任何实现了IP协议栈的设备,都通过该表维护IP地址和MAC地址的对应关系。如果一台计算机接收到了一个ARP请求报文,会用ARP请求报文中的源IP地址和源MAC地址更新自己的ARP缓存。
假设有三台计算机A,B,C,其中A已经正确建立了B和C计算机的ARP表项。假设B是攻击者,此时,B发出一个ARP请求报文:源IP地址是C的IP地址,源MAC地址是B的MAC地址;请求的目标IP地址是A的IP地址。计算机A在收到这个ARP请求报文后,发现已有的MAC地址与收到的请求的源MAC地址不符,于是更新自己的ARP表。则A的ARP缓存中就存在这样的错误:C的IP地址跟B的MAC地址对应。则A发给C的数据都被计算机B接收到。
下面搭建如下所述的网络环境,并利用中软吉大开发的TCP/IP协议分析系统实现并分析ARP欺骗的工作过程。
1 设备配置环境
主机A :172.16.2.21/24;主机B :172.16.2.24/24;主机C:172.16.2.23/24。使用共享模块连接各设备。
2 ARP欺骗前
(1)主机A、C启动协议分析器开始捕获数据并设置过滤条件为ARP协议和ICMP协议。
(2)主机A ping 主机C。观察主机A、C上捕获到的ICMP报文,记录MAC地址。主机A的IP地址是172.16.2.21;MAC地址 002268-566A79;主机C的IP地址 172.16.2.23;MAC地址 002268-566A38。
3 实施欺骗
(1)主机B启动仿真编辑器向主机A编辑ARP请求报文,其中:MAC层:“源MAC地址”设置为主机B的MAC地址;“目的MAC地址”设置为主机A的MAC地址。ARP层:“源MAC地址”设置为主机B的MAC地址;“源IP地址”设为主机C的IP地址;“目的MAC地址”设置为000000-000000;;“目的IP地址”设为主机A的IP地址
(2)主机B向主机C编辑ARP请求报文(暂时不发送)。其中:MAC层:“源MAC地址”设置为主机B的MAC地址;“目的MAC地址”设置为主机C的MAC地址。ARP层:“源MAC地址”设置为主机B的MAC地址;“源IP地址”设置为主机A的IP地址;“目的MAC地址”设置为000000-000000;“目的IP地址”设置为主机C的IP地址。
(3)同时发送第1步和第2步所编辑的数据包。注意:为防止主机A和主机C的ARP高速缓存表被其它未知报文更新,可以定时发送数据包(例如:每隔500ms发送一次)。
(4)观察并记录主机A和主机C的ARP高速缓存表,如图1,2所示。
说明:
*主机A原本记录主机C的IP地址 172.16.2.23;MAC地址 002268-566A38。现在,更新为 172.16.2.23<---->002268-566AB0 (其实是主机B的MAC地址);
*主机C原本记录主机A的IP地址是172.16.2.21;MAC地址 002268-566A79;现在,更新为 172.16.2.21<---->002268-566AB0(其实是主机B的MAC地址);此时,A ping C,则不会通。
(5)在主机B上启动静态路由服务(方法:在命令行方式下,输入“staticroute_config”),目的是实现数据转发。此时,A ping C,则能通。分析A、C捕获的数据包可知数据流向:A→B→C;回应请求:C→B→A;
4 结语
计算机A、C,已经正确建立了ARP表项。攻击者B冒充C向 A发出ARP请求报文;冒充A向C发出ARP请求报文;计算机A、C在收到这个ARP请求报文后使用ARP请求的源MAC地址(即B的MAC地址)更新各自的ARP表。这样A、C的ARP缓存中就存在错误的ARP表项:A主机中,C的IP地址跟B的MAC地址对应;C主机中,A的IP地址跟B的MAC地址对应。结果是:A发给C的数据都被计算机B接收到,B 主机如果启用静态路由,则可以将A的数据转发给C主机,但这是经过B主机转发的,这样B主机就可以截获A、C间的数据传输,而A、C并不知情,实现了欺骗。
参考文献
[1]兰少华.TCP/IP网络与协议.清华大学出版社.2009,6.
[2]网络协议仿真教学系统.吉林中软吉大信息技术有限公司.
ARP欺骗的检测 篇3
近年来, 在校园网上频繁出现A R P欺骗的现象。造成校园网各局域网用户全部或部分断网, 网络时断时通。影响及危害十分严重。那么ARP协议的工作原理及欺骗过程是怎样的呢?应该通过什么方法快速检测ARP欺骗主机?并且采取什么有效的方法预防ARP欺骗行为成为各个高校网络管理人员高度重视的问题。
2 ARP协议的工作原理及欺骗过程
2.1 ARP协议的工作原理
在以太网中, 数据包是通过4 8位MAC地址而不是通过IP地址来传送的, 在局域网中, 一台主机要与另一台主机进行通信, 就必须知道目标主机的MAC地址。ARP协议的作用就是负责将网络层的IP地址转换成数据链路层的MAC地址。在同一个网段中, 每台主机都有一个存放着其它主机IP地址和MAC地址对应关系的ARP缓存, 当一台主机要和另一台主机通信时, 源主机首先查找ARP缓存是否有目标主机的MAC地址, 如果存在目标主机IP地址和MAC地址的对应关系, 就直接构建连接关系并发出数据包, 否则就在局域网中发出ARP请求广播报文, 要求得到目标主机的MAC地址;局域网中的非目标主机并不作相应的应答, 而目标主机得到此广播报后就会将源主机的IP地址和MAC地址添加到自己的ARP缓存中, 并发给源主机一个包含目标主机MAC地址信息的应答报文, 源主机收到这个应答报文后, 将目标主机IP地址和MAC地址的对应关系添加到自己的ARP缓存中并开始通信。
2.2 ARP欺骗过程
从ARP协议的工作原理中我们可以看出, ARP协议设计的前提是运行在彼此相互信任的网络环境下, 那么就很容易实现在以太网上的ARP欺骗。假如对源主机进行欺骗, 当源主机在其ARP缓存中无法找到目标主机的MAC地址, 就在局域网中发一个广播报文进行询问。此时, 假如把目标主机的MAC地址欺骗为一个非目标主机的MAC地址, 那么源主机发送到目标主机上的数据包就都发送到ARP欺骗主机上了。这种欺骗的最终结果就是导致源主机和目标主机之间不能正常进行通讯, 如果欺骗行为表现为对网关MAC地址的欺骗, 就会导致整个网段全部或部分主机断网。
3 ARP欺骗主机的检测
ARP攻击对局域网的正常上网的危害是十分严重的, 对于网络管理人员来说最重要的就是要尽快检测到ARP欺骗主机, 并及时采取相应的措施将ARP欺骗主机从网络中隔离, 从而实现第一时间恢复网络的正常运行。
ARP欺骗行为表现为欺骗局域网内的所有主机和欺骗网关两种。当ARP欺骗行为发作时, 局域网内所有主机的ARP缓存表中的网关的MAC地址表现为ARP欺骗主机的MAC地址, 而在网关的ARP缓存表中, ARP欺骗主机的MAC地址替换了局域网内所有活动主机的MAC地址;前者使得局域网内主机发往网关的数据包均发送给ARP欺骗主机;而后者使得网关发送给局域网内主机的数据包均发送给ARP欺骗主机。
鉴于ARP欺骗行为的表现方式, 检测ARP欺骗主机主要可以通过客户端主机和网络层交换设备来定位。
3.1 通过不能正常上网的客户端主机检测
可以使用几种方法通过不能上网的客户端主机来检测ARP欺骗主机
方法一:在不能正常上网的客户端主机上, 打开MS-DOS窗口, 输入arp–a命令运行。可以看到网关ip地址和网关MAC地址的对应关系, 比较这个MAC地址与真正的网关MAC地址不同, 则拥有这个MAC地址的主机就是ARP欺骗主机。
方法二:在不能正常上网的客户端主机上, 打开MS-DOS窗口, 输入tracert www.sohu.com (任意一个电信网或教育网的地址) 命令运行。在跟踪这个地址的同时, 我们发现第一跳的ip地址并不是网关地址, 则拥有这个非网关ip地址的第一跳地址的主机就是ARP欺骗主机。
方法三:在不能正常上网的客户端主机上, 使用sniffer或其它抓包工具, 发现某个ip地址不断向其发送请求数据包, 那么拥有这个ip地址的主机就是ARP欺骗主机。
3.2 通过网络层交换设备检测
网络层交换设备即是局域网各主机网关地址所在的设备, 可以根据主机的ip地址和MAC地址是否在网络层交换设备上实现静态绑定而采取不同的方法来检测ARP欺骗主机。
本文所涉及的网络配置和命令均以我校使用的Alcatel OmniSwitch系列产品为例。
方法一:当主机的ip地址和MAC地址未在网络层交换设备上实现静态绑定时, 使用show arp命令查看其ARP缓存表, 发现某一个MAC地址同时占用了很多同一局域网的i p地址, 则拥有这个MAC地址的主机就是ARP欺骗主机。
方法二:当主机的ip地址和MAC地址在网络层交换设备上实现静态绑定时, 使用show log swlog命令查看交换机日志, 发现某一个MAC地址试图占用同一局域网的其它ip地址, 从而产生了与原静态地址绑定不匹配的警告信息, 则拥有这个MAC地址的主机就是ARP欺骗主机。
4 隔离ARP欺骗主机
当检测到了ARP欺骗主机之后要迅速采取有效方法将ARP欺骗主机隔离出局域网, 从而尽快恢复其所在局域网的网络通畅。本文在数据链路层和网络层同时采取措施, 从而使ARP欺骗主机完全从局域网中隔离。
在数据链路层进行配置:进入接入层交换机, 找到ARP欺骗主机MAC地址对应的交换机端口, 并且把此端口的工作状态设置为disable或down状态, 这样这个交换机端口将停止传送任何数据, 从而将ARP欺骗主机从本局域网中隔离。
在网络层进行配置:进入网络层交换设备, 定义一条关于MAC地址的ACL (Access Control List) 访问控制规则, 要求将ARP欺骗主机作为源主机发送出来的所有数据包全部丢弃, 这样即使ARP欺骗主机使用者将主机更换了物理端口, 即相当于更换了接入层交换机端口, 也无法正常上网, 从而真正做到了将ARP欺骗主机从校园网中隔离。
5 ARP欺骗的预防
ARP欺骗的预防措施关系到整个校园网是否能够长期稳定运行。本文从客户端主机、数据链路层和网络层同时采取措施, 从而实现了在校园网内全面预防ARP欺骗的局面。
5.1 在客户端主机上实现网关ip地址与MAC地址的静态绑定
在网络正常运行的情况下, 进入MS-DOS窗口, 输入arp-a命令运行, 查看网关IP地址及其对应的MAC地址, 再使用arp-s[网关ip地址][网关MAC地址]命令将其绑定。这样便将网关ip地址与正确的网关M A C地址进行了绑定, 使得局域网内进行ARP欺骗的主机无法对其再进行网关欺骗。
为了防止计算机重启后ARP静态绑定失效, 可以把上述命令做成一个*.bat批处理文件, 并放在操作系统的启动里, 使得系统在启动的同时便将网关i p地址和MAC地址进行了静态绑定。批处理文件内容如下:
arp-s[网关ip地址][网关MAC地址]
对于终端用户, 由于网络知识的缺乏和操作的错误, 往往会将网关的ip地址和MAC地址绑定错误, 为了保证用户能将正确的网关i p地址和M A C地址进行绑定, 我们将每个局域网网段网关的静态绑定批处理文件放在校园网上供用户下载使用。
5.2 在接入层交换机上进行VLAN划分和端口隔离
由于ARP欺骗的行为只能在同一个网段内产生效果, 所以在接入层交换机上按照实际应用划分VLAN对防治ARP欺骗是很重要的。例如:在某一个区域内, 存在普通上网用户以及为全校师生提供某种服务的服务器, 那么要将普通网络用户和服务器划分到不同的VLAN中, 以免发生ARP欺骗行为时, 影响整个学校的网络服务。
而在正常的网络管理和维护中, 细分VLAN是很不现实的, 现在很多接入层交换机都具备端口隔离的功能, 将一台接入层交换机的所有下连端口启用端口隔离功能, 那么这些下连端口之间便不允许直接进行数据通讯, 每个下连端口都只能与上连端口通讯, 从而通过上连端口实现下连端口之间的数据传输。这种方法解决了多种与以太网广播报文相关的安全问题。由于ARP欺骗行为正是通过在局域网内发送广播报文, 所以在接入层交换机上启用端口隔离功能对预防ARP欺骗行为有很好的效果。
5.3 在网络层交换设备上将用户的ip地址与MAC地址进行绑定
我校的上网环境使用静态IP地址, 可以通过绑定用户IP地址和MAC地址解决ARP欺骗主机对同一局域网内其他主机的欺骗行为, 为了切实有效地预防ARP欺骗, 在网络层交换设备上对IP地址和MAC地址进行静态绑定。虽然工作量较大, 但对预防ARP欺骗攻击以及迅速定位ARP欺骗主机都有着明显的效果。
6 结语
目前我校使用了网络用户管理系统, 系统中记录了每一个网络用户的ip地址分配情况、个人信息以及联系方式, 我们在具备端口隔离功能的接入层交换机上启用端口隔离功能, 并在网络层交换设备上对每一个用户的ip地址和MAC地址进行绑定, 然后定时查看交换机日志, 发现某个MAC地址试图占用同一网段的其它ip地址, 确认为ARP欺骗主机后, 在数据链路层和网络层同时将此主机从校园网中隔离, 再从网络层交换设备ARP缓存表中找到这个MAC地址对应的真正ip地址, 最后查看网络用户管理系统找到客户端用户, 通知其处理完病毒后再开通网络。整个过程简单高效, 对各个高校处理ARP欺骗及ip地址盗用行为具有很好的借鉴意义。
参考文献
[1]崔北亮, 杨小健.针对校园网中ARP攻击的防御[J].南京工业大学学报.2007;29 (5) :79-81
[2]杨延朋.校园网络ARP协议欺骗的检测与防御[J].鞍山科技大学学报.2007;30 (2) :164-168
ARP欺骗原理与防护技术研究 篇4
地址解析协议;ARP欺骗;MAC地址
1.ARP协议简介
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。它是通过地址解析协议(AddressResolution Protoco,l ARP)获得的。ARP协议是一个网络层子协议,它用于将网络中的IP地址解析为硬件地址(MAC地址),以保证通信的顺利进行。
2.ARP协议的工作原理
在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如表1所示。
以主机H(192.168.1.5)向主机A(192.168.1.1)发送数据为例。当发送数据时,主机H会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机H就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:192.168.1.1的MAC地址是什么。网络上其他主机并不响应ARP询问,只有主机A接收到这个帧时,才向主机H做出这样的回应:192.168.1.1的MAC地址是00-aa-00-62-c6-09。这样,主机H就知道了主机A的MAC地址,它就可以向主机A发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机A发送信息时,直接从ARP缓存表里查找就可以了。
ARP协议安全缺陷。在TCP/IP协议的网络环境下,ARP工作时,送出一个含有所希望的IP地址的以太网广播数据报。一个IP数据报走到哪里,要怎么走主要是靠路由表定义。但是,当IP数据包到达该网络后,哪台机器响应这个IP包却是靠该IP包中所包含的硬件MAC地址来识别。也就是说,只有机器的硬件MAC地址和该IP包中的硬MAC地址相同的机器才会应答这个IP包,所以,在每台主机的内存中,都有一个ARP→硬件MAC地址的转换表。通常是动态的转换表(该ARP表可以手工添加静态条目)。
ARP欺骗原理。典型的ARP欺骗过程如下:
假设局域网分别有IP地址为192.168.1.1、192.168.1.2和192.168.1.3的A、B、C三台主机,假如A和C之间正在进行通讯,此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.1.3(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB,当A接收到B伪造的ARP应答,就会更新本地的ARP缓存,这时B就伪装成C了。同时,B同样向C发送一个ARP应答,应答包中为发送方IP地址192.168.1.1(A的IP地址),MAC地址BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA),当C收到B伪造的ARP应答,也会更新本地ARP缓存,这时B又伪装成了A。这时主机A和C都被主机B欺骗,A和C之间通讯的数据都经过了B,主机B完全劫持目标主机与其他主机的会话。
ARP欺骗一般分为两种:主机型ARP欺骗。欺骗过程:A欺骗B,A告诉B,我(A)就是C,当然告诉的是真IP地址和假MAC地址,使B不能与C连接。若C是网关,B就不能上外网Internet了。
网关型ARP欺骗。欺骗过程:B充当中间人角色向两个方向发送ARP欺骗包,使A的上网数据包经过B再到C,又使C的返回数据经过B再到A,卡在中间,以达到窃取数据的目的。B发送ARP欺骗包给A,B告诉A,我(B)就是网关;同时,B又发送ARP欺骗包给真正的网关C,告诉真正的网关C,我(B)就是A,这样B就欺骗了双方,接着B通过劫持A和C之间的通信会话,就可以窃听数据了。
从影响网络连接通畅的方式来看,ARP欺骗分为两种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
3.ARP欺骗防范措施
建立DHCP服务器,另外所有客户机的IP地址及其相关主机信息,只能由网关这里取得,网关这里开通DHCP服务,但是要给每个网卡,绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址,但每次开机的IP地址都是一样的或手工清除PC和网关ARP表项,从新学习正确的ARP信息。ARP欺骗发生后的PC和网关设备的ARP表被篡改了,这样我们可以通过手工方式来清除ARP表项,然后让双方重新学习。
主机:arp–d
网关:clear arp。
建立MAC数据库,把局域网内所有网卡的MAC地址记录下来,每个MAC和IP、地理位置统统装入数据库,以便及时查询备案,PC机上静态绑定网关MAC地址,防止对主机的欺骗。在主机上可以使用静态的ARP绑定网关的IP地址和网关的MAC地址,比如在PC机上配置autoexec.bat批处理文件:
@echo off
arp–d
arp–s主机ip地址主机mac地址//mac地址格式为xx-xx-
xx-xx-xx-xx。
网关机器关闭ARP动态刷新的过程,使用静态路由,这样的话,即使ARP欺骗攻击网关的话,对网关也是没有用的,因此可以确保主机安全。网关建立静态IP/MAC捆绑的方法是:建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下:192.168.2.3208:00:4E:B0:24:47然后在/etcrc. d/rc. local最后添加: arp -f生效即可。
网关监听网络安全。网关上面使用抓包程序截取每个ARP程序包,用脚本分析软件分析这些ARP协议。ARP欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配,或者ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内,或者与自己网络MAC数据库MAC/IP不匹配。这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道哪台机器在发起攻击了。
使用支持端口隔离的二层交换机。通过端口隔离特性,可以将不同用户的端口划分到同一个VLAN,不同用户之间不能互通,从而增强了网络的安全性,阻止了ARP病毒源的机器对网络的影响,提供了灵活的组网方案,同时节省了大量的VLAN资源。
安装杀毒软件,及时升级病毒库,定期全网杀毒。
[1]陈 明.网络协议教程[M].北京:清华大学出版社,2004
[2]杨义先等.网络安全理论与技术[M].北京:人民邮电出版社,2003
ARP欺骗的防御 篇5
关键词:ARP欺骗,原理,中毒现象,防御
随着网络技术日新月异的飞速发展,以太网技术由于标准化程度高、应用广泛、带宽提供能力强、扩展性良好、技术成熟,设备性价比高,对IP的良好支持,成为城域网和接入网的发展趋势。但是,以太网技术的开放性和其应用的广泛性,也带来了一些安全上的问题。2007年6月上旬,国家计算机病毒应急处理中心通报一种新型“地址解析协议欺骗”(简称:ARP欺骗)的恶意木马程序正在互联网络中传播。从此,ARP(Address Resolution Protocol)欺骗逐渐在小区网、校园网、企业网及网吧等局域网中蔓延,严重影响了正常网络通讯。因而如何有效防范ARP欺骗,避免受其影响,已成网络安全工作的重中之重。
一、ARP欺骗的原理及中毒现象
1. ARP欺骗的原理
ARP欺骗攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP病毒,则感染该ARP病毒的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
在局域网中,我们的通信一般都是通过ARP协议来完成IP地址到第二层物理地址(即MAC地址)的第二层转换。ARP协议对网络安全具有重要的意义。ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或“中间人”攻击。
ARP病毒是一种木马程序,其本质就是通过伪造IP地址和MAC地址实现欺骗,在网络中产生大量的ARP通信量使网络阻塞,或使信息流向实际并不存在的看似合法的“IP地址和MAC地址”主机,致使真实地接收方收不到信息。
2. 中毒现象
局域网出现突然掉线,过一段时间后又会恢复正常的现象;计算机系统也会受到影响,出现IP地址冲突,频繁断网、IE浏览器频繁出错,以及一些系统内常用软件出现故障等现象;严重时会导致整个局域网瘫痪。ARP欺骗病毒只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能引起整个网络瘫痪。该病毒发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。
二、ARP欺骗的主要方式及防御技术
1. ARP欺骗的主要方式
ARP欺骗性攻击常见有以下几种。
(1)“中间人”攻击,即冒充计算机欺骗计算机,达到信息截取或传播恶意程序目的。攻击源会以正常身份伪造虚假的ARP应答,欺骗其它计算机,结果其它计算机发给被冒充计算机的数据全部被攻击源截取。如果冒充计算机启动IP转发功能,将很容易获取发往被冒充计算机的数据而不被发现或传播恶意数据。
正常的传输方式:Host A—正常数据—Host B;“中间人”攻击传输方式:Host A—正常数据—Host C—修改好的数据(带有恶意的)—Host B。
(2)ARP报文泛洪攻击。攻击源伪造出大量的ARP报文(内含MAC和IP地址),对局域网内广播,造成设备的ARP表项溢出,影响正常用户的转发,干扰正常通信。
(3)冒充网关欺骗局域网内计算机。通过建立假网关,让被它欺骗的计算机向假网关发数据,而不能通过正常的路由途径上网。从用户的角度看来,就是上不了网或网络掉线了。
(4)冒充计算机欺骗网关。这个与“中间人”攻击类似,感染ARP病毒的计算机通知网关一系列错误的内网MAC地址,并按照一定的频率不断进行,致使真实的地址信息无法通过更新保存在网关ARP表中,结果网关发给正常计算机的数据被欺骗计算机拦截或发送给并不存在的错误的MAC地址,造成正常计算机无法收到信息。
2. 常用ARP欺骗的防御技术
(1)静态绑定。最常用的方法就是将IP和MAC作静态绑定,此方法适用于较小型网络。欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网计算机的欺骗。同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。
首先,在每台计算机上绑定网关IP和MAC。打开命令提示符窗口,输入命令:ARP-d,清除本地ARP缓存表,然后输入命令ARP-s网关IP网关MAC;也可将上述命令做成批处理放在启动项内,省去每次开机都要输入的麻烦。
其次,在交换机或路由器上,为每个网内IP对应的MAC地址进行静态绑定。对于内网IP是自动获取的方式,可以通过DHCP服务器进行设置IP与MAC的对应关系。
(2)安装ARP防护软件和杀毒软件。目前关于ARP类的软防火墙产品比较多,比较常用的有360安全卫士、彩影ARP防火墙、欣向巡路ARP工具和金山ARP防火墙等。常用的杀毒软件也比较多,国内品牌有瑞星、江民、金山毒霸等;国外品牌有卡巴斯基、Macfee等,但就目前使用效果而言,还没一款杀毒软件能真正查杀ARP病毒。
(3)使用具有ARP防护功能的路由设备。对于ARP病毒攻击,我们主要是通过在路由器与PC终端机进行双向绑定IP地址与MAC地址,这样即使出现ARP欺骗攻击,也不会使ARP表混乱,从而达到相应的防御目标。但是在路由器端与计算机端对IP地址与MAC地址的绑定比较复杂,需要查找每台计算机的IP地址与MAC地址,其工作量非常大,操作过程中出也容易出现问题。因而,就有了第3种防御方法,这样不但减小了工作量,而且可以有效地拒绝ARP对网关的欺骗,防止ARP病毒的攻击。
随着计算机技术的发展,ARP欺骗也在不断地发展和变化中,网络的安全需要广大网络用户和管理员共同努力,密切配合,提高警惕性,加强网络安全意识和责任感,从而减少ARP欺骗对网络的影响。
参考文献
[1]http://www.antivirus-china.org.cn/head/yubao/yubao_227.htm.
[2]华为技术有限公司.ARP专题学习指导.2-7.
[3]王坚,梁海军.ARP欺骗原理及其防范策略的探讨[J].计算机与现代化,2008,(2):100.
ARP欺骗的防御策略 篇6
关键词:ARP,ICMP,TCP/IP
1. ARP协议
1.1 ARP协议
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议。所谓地址解析就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议属于链路层协议,在以太网中数据帧从一个主机到达网内另一台主机是根据48位以太网地址(硬件地址)来确定接口,而不是根据32位IP地址。内核(如驱动)必须知道目的端的硬件地址才能发送数据。在安装了以太网网络适配器的计算机中都有专门的ARP缓存,包含一个或多个表,用于保存IP地址及经过解析的MAC地址。ARP协议对网络安全具有重要意义。通过伪造IP地址和MAC地址实现ARP欺骗,能在网络中产生大量ARP通信量使网络阻塞。
1.2 工作过程
当一个基于TCP/IP的应用程序需要从一台主机发送数据给另一台主机时,它把信息分割并封装成包,附上目的主机的IP地址。然后,寻找IP地址到实际MAC地址的映射,这需要发送ARP广播消息。当ARP找到了目的主机MAC地址后,就可以形成待发送帧的完整以太网帧头。最后,协议栈将IP包封装到以太网帧中进行传送。在每台主机的内存中,都有一个arp-->硬件mac的转换表。通常是动态的转换表(该arp表可以手工添加静态条目)。也就是说,该对应表会被主机在一定的时间间隔后刷新。这个时间间隔就是ARP高速缓存的超时时间。通常主机在发送一个ip包之前,它要到该转换表中寻找和ip包对应的硬件mac地址,如果没有找到,该主机就发送一个ARP广播包,于是,主机刷新自己的ARP缓存。然后发出该ip包。ARP协议只使用于本网络,不能通过IP路由器发送广播,所以不能用来确定远程网络设备的硬件地址。ARP协议的所有操作都是内核自动完成的,同其他的应用程序没有任何关系。
1.3 ARP协议的缺陷
ARP协议建立在信任局域网内所有节点基础上,高效但不安全。它是无状态的协议,不会检查自己是否发过请求包,也不管是否是合法的应答,只要收到目标MAC是自己的ARP reply包或ARP广播包(包括ARP request和ARP reply)都会接受并缓存。这就为ARP欺骗提供了可能,恶意节点可以发布虚假ARP报文,从而影响网内节点的通信。
2. ARP欺骗技术
2.1 ARP欺骗
ARP欺骗是指使用大量编造的MAC地址对网络发送数据包这样会导致ARP表快速膨胀从而降低网络质量。ARP欺骗的主要用途就是进行在交换网络中的嗅探。把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的。在特别安全的网络上,ARP映射可以用固件,并且具有自动抑制协议达到防止干扰的目的。
2.2 ARP欺骗的方法
ARP协议对于网络来说是一把双刃剑:一方面ARP协议是网络通信中不可或缺的协议,就好像是一个问路人,在一定程度上决定了数据的传输路径;另一方面,ARP协议又容易被攻击者使用,担当不恰当的角色。一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。
ARP欺骗是黑客常用的攻击手段之一,ARP欺骗分为两种:一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由途径上网。在PC看来,就是上不了网了,“网络掉线了”。
ARP病毒也叫ARP地址欺骗类病毒,这是一类特殊的病毒。该病毒一般属于木马病毒,不具备主动传播的特性,不会自我复制,但是由于其发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至比一些蠕虫病毒还要严重得多。ARP病毒发作时,通常会造成网络掉线,但网络连接正常,内网的部分电脑不能上网,或者所有电脑均不能上网,无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象,严重影响到企业网络、网吧、校园网络等局域网的正常运行。
3. 防御策略
ARP欺骗攻击存在的原因,究其根本在于ARP协议本身的不完善,要从根本上解决ARP欺骗的问题,必须要在局域网内的通信双方之间建立起一个可信任的验证体系。为了防范ARP攻击,我们给出一些初步的防御方法。
(1)做好IP-MAC地址的绑定工作(即将IP地址与硬件识别地址绑定),在交换机和客户端都要绑定,这是可以使局域网免疫ARP病毒侵扰的好办法。
(2)设置静态的mac-->ip对应表,不要让主机刷新你设定好的转换表。
(3)除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。在linux下可以用ifconfig-arp可以使网卡驱动程序停止使用ARP。
(4)使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器ARP广播,确保ARP服务器不被黑。
(5)使用代理网关发送外出的通讯。
(6)使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
(7)管理员定期用响应的IP包中获得一个RARP请求,然后检查ARP响应的真实性。
(8)管理员定期轮询,检查主机上的ARP缓存。
(9)修改系统拒收ICMP重定向报文。
(10)安装杀毒软件,及时升级病毒库,定期全网杀毒。
(11)使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
另外,在linux下可以通过在防火墙上拒绝ICMP重定向报文或者是修改内核选项重新编译内核来拒绝接收ICMP重定向报文。在Win2000下可以通过防火墙和IP策略拒绝接收ICMP报文。
4. 结束语
随着互联网的迅速发展,网络办公在各行各业得到充分应用,网络安全也成为企业关注的焦点。因为ARP而导致企业网络瘫痪的例子举不胜举,很多企业面对这些攻击束手无策。遭遇ARP欺骗攻击的网络,不仅严重影响办公效率,还可能泄露秘密,给企业带来不可估量的损失。因此,了解ARP欺骗的原理,采取相应的防范措施,是网络用户确保网络安全、避免损失一种途径,对网络安全具有重要的意义。
参考文献
[1]DOUGLAS E.COMER and DAVID L.STEVENS著.《用TCP/IP进行网际互连》.电子工业出版社,1998.
[2]WILLIAM STALLINGS著.《局域网与城域网》.电子工业出版社,1998.
ARP欺骗的分析与防范 篇7
(一)ARP欺骗的原理分析
1. ARP的原理和作用
ARP用于获取目的结点的MAC地址。通常,计算机会建立一个ARP高速缓存表,记录局域网计算机的IP地址和MAC地址的映射关系。
假设某主机A要将一个数据包发送到目的主机B, A首先要根据B的IP地址查找其ARP高速缓存表中是否存在所对应的MAC地址,如果有,就直接根据此MAC地址封装数据帧并发送;如果没有,就向本地网段发起一个ARP请求的广播包,请求该IP地址的MAC地址是多少,由于ARP请求是一个广播包,所以本网段的所有主机都会收到这个包,并记录源主机A的IP地址和MAC地址,将其添加到各自的ARP高速缓存表中。而对于B来说,作为请求的对象,还会对ARP请求做出响应。它会返回一个单播响应包,其中包含了B的IP地址和MAC地址。当A收到这个响应后,将B的IP地址和MAC地址的映射关系存储在ARP高速缓存表中。此时,A和B都有了对方的IP地址和MAC地址的映射关系,可以进行正常的数据通信。
特别要指出的是,当某主机要和一台不同网段的计算机通信时,则将数据包交由网关(或路由器)转发,于是此主机要通过ARP协议请求网关的MAC地址,在获得了正确的网关的MAC地址后,将数据投递到网关,由网关进行转发,才可能完成跨网段的通信。
在计算机上,使用arp–a命令,可以查看本机的ARP地址映射表。如下:
2. ARP欺骗的过程解析
通过对ARP工作机制的分析可以发现,以太网上很容易实现ARP欺骗:然而在以太网中工作的计算机,并不对它所接收的数据包中的源MAC地址的真实性检查,因此计算机上很有可能存储伪造的某IP的MAC地址;其次,ARP缓存表总是保留最新收到的IP和MAC地址的映射关系,当计算机接收到一个新的ARP应答数据包的时候,就会对本地的ARP缓存进行更新。所以,一旦有计算机向网络中广播虚假的IP地址和MAC地址的映射关系时,网络中的其他计算机都会刷新本地主机的ARP高速缓存表,记录错误的MAC地址。由于局域网的通信就是按照MAC地址进行传输,所以,被欺骗的计算机就产生了通信故障。
例如:假设局域网中有计算机A要与B通信,而C是一个发送ARP欺骗的攻击者,而它们的IP地址及MAC地址如表一所示:
正常情况下,A和B都在ARP缓存中记录对方的IP和MAC。然而假设此时有计算机C在网络中发送ARP响应数据包,将IP_A映射MAC_C作为ARP响应,那么B收到此ARP响应后就会刷新ARP缓存表,将表中的IP_A所对应的MAC地址修改为MAC_C;同样的方法,也可以使得A刷新ARP缓存表,将IP_B所对应的MAC地址修改为MAC_C。此时,C就成功的“欺骗”了A和B,而A和B彼此通信的数据最终都会被发送到C,它们之间就无法正常通信了。
(二)ARP欺骗对局域网的危害
从上面的分析可以看出,ARP欺骗可以攻击局域网内任何一台没有防范的计算机或网络设备。在实际的情况中,ARP欺骗通常有两种表现形式:一种是对网关(路由器)的ARP欺骗;另一种是对内网计算机的ARP欺骗。
对网关(路由器)的ARP欺骗主要方法是:欺骗者不断的向路由器发送大量ARP响应数据包,而这些数据包伪造了一系列对应与内网IP的MAC地址,当欺骗者不断发送这些伪造的数据包时,真实的ARP映射信息无法通过更新保存在路由器中,于是路由器转发的数据只能发送给错误的MAC地址,造成PC无法正常收到信息。
对内网计算机的ARP欺骗主要方法是:欺骗者伪造网关的MAC地址,并向内网计算机发送伪造的ARP响应数据包,使得内网的计算机在ARP缓存中记录的不是正确网关的MAC地址,从而导致内网计算机普遍“断网”。在园区网络中,以此类ARP欺骗最常见,影响也最严重。
ARP欺骗攻击的后果非常严重,它可能使得用户访问时断时续,甚至是造成大面积掉线。此外,由于ARP欺骗可以使得原本要发送到目的计算机的数据被发送到其他计算机,因此在ARP欺骗中,可以让上网主机的流量必须经过欺骗者的主机,其他主机原来直接通过交换机上网现在转由通过欺骗者主机上网。如果结合使用抓包分析工具,欺骗者利用一些嗅探工具和抓包工具监视到被欺骗主机的明文密码以及访问信息。这是十分危险的,欺骗者接到了数据时,它再提交给网关。这样的方法可以截获以明文传输的信息,盗取未经加密传输的用户名和口令。
(三)ARP欺骗的检测
1. 在局域网内使用抓包软件进行抓包分析:
抓包软件很多,如sniffer, Ethereal, Windump等。以检测网络中是否存在对计算机的ARP欺骗为例,可以在网络中的某台计算机上安装sniffer,抓一个源IP地址为网关的ARP响应包进行分析,如果此ARP响应分组包中所对应的MAC地址不是网关真实的MAC地址,那么网络中就存在着ARP欺骗。这种检测方法简单易行,而且误判率小。
2. 在三层交换机中查看ARP表:
查看作为网关的三层交换机的ARP缓存表,如果ARP表中存在一个MAC对应多个端口,或者发现关于某计算机的ARP映射关系明显与真实情况不符,则也表明网络中存在ARP欺骗攻击。然而这种检测方法仅合适于有网络管理权限的管理员,普通用户无法操作。
3. 对比查看本地ARP表:
对于网络上的计算机,在可以正常访问网络的情况下,用“arp–a”命令查看本地的ARP表,并记录网关所对应的MAC地址;在网络出现故障时,再次用“arp–a”命令查看本地的ARP表。如果此时网关所对应的MAC地址和之间所记录的MAC地址不同,此计算机则是受到了ARP欺骗攻击,而此时网关所对应的新的MAC地址,就是发送ARP欺骗的计算机的网卡MAC地址。
(四)ARP欺骗的防范措施
1. 在主机上静态绑定的网关的IP和MAC地址
针对ARP攻击对象为局域网上的计算机的欺骗,可以在用户端的计算机上静态绑定网关MAC,以防止主机刷新ARP缓存。方法如下:建立一个开机自动运行的批处理文件,清空本地ARP列表,并加入这样一条绑定静态ARP表的命令:“arp–s网关的IP地址网关的MAC地址”。例如:
这种做法在ARP缓存表中静态绑定了网关的正确的MAC,使得它不被ARP欺骗包刷新,达到了防制的效果,非常简单易行,一般用户都可以用此方法来解决ARP欺骗的问题。
2. 架设ARP服务器
在局域网内架设ARP服务器的做法是:管理员先记录网络中的网关和所有主机的IP地址以及MAC地址,然后在ARP服务器上预先配置这些IP和MAC的映射关系。当ARP服务器收到ARP请求时就立即发送正确的ARP响应,用来协助主机响应局域网内的所有ARP请求。此外,还可以设置此ARP服务器定时在网络中广播发送正确的ARP响应信息,来保证局域网内的计算机时刻有一个正确的ARP缓存表。让网络设备和主机发送大量的正确A R P信息,和欺骗信息抢夺网络资源。这是一种常见的解决方案,但由于存在无法彻底根除,会造成大量垃圾流量的问题,现已很少使用。
3. 用接入层交换机防止ARP欺骗
许多交换机都有了IP+MAC+端口绑定的功能。在接入层交换机的端口上绑定了主机的IP和MAC对应关系后,仅有正常的数据包可以通过主机所在的端口,仿冒其它设备的ARP欺骗报文则无法通过,也就不能通过MAC地址的替换来达到攻击的目的。
4. 使用安全工具软件
除了以上防止ARP欺骗的方法以外,计算机还应当及时安装具有防止ARP攻击功能的安全工具,例如Anti ARP Sniffer、360安全卫士、瑞星防火墙等,此外还可以利用木马杀客等安全工具查杀ARP木马。
(五)结语
ARP欺骗的存在严重影响了局域网的稳定和安全,虽然在目前的网络中还不能从根本上消除ARP欺骗,但只要能做到经常检查网络状态,对网络进行检测、监控,采取积极主动的防御行动,一定能在很大程度上保证网络的安全和畅通。
摘要:ARP欺骗给当前许多园区网络通信带来了严重影响。文章讨论了ARP的工作原理, 结合分析局域网中计算机通信的具体过程, 阐明了ARP欺骗的原理和对局域网造成的危害。并针对这种攻击原理, 总结了检测以及防范ARP欺骗的若干方法。
关键词:ARP欺骗,ARP欺骗的检测,防范措施
参考文献
[1]杨延朋.校园网络ARP协议欺骗的检测与防御[J].鞍山科技大学学报, 2007, 30 (2) .
ARP欺骗的检测 篇8
目前, 利用ARP欺骗进行的网络攻击十分普遍, 然而, 随着网络管理防范意识的加强和各种防范ARP攻击措施如MAC与IP双绑定, PC安装ARP防火墙的实行, ARP攻击变的不再那么容易。可以说, ARP攻击和防御手段都已经日趋成熟。然而, 笔者目前发现交换环境下一种不同于A R P攻击的新的M A C欺骗攻击方式出现, 可以轻易的绕过A R P防火墙使现有的一些ARP攻击防范措施失效。
1 传统的ARP欺骗攻击分析
1.1 ARP欺骗攻击的原理
1.1.1 ARP协议原理
ARP协议 (Address Resolution Protocol) 即地址解析协议, 是局域网中解决I P地址到硬件M A C地址映射的协议。在TCP/IP参考模型中, IP地址只是主机在网络中的逻辑地址, 若将网络层中传输的数据报交给目的主机, 必须知道该目的主机的物理地址 (MAC地址) , 这是因为二层的以太网交换设备并不能识别32位的IP地址, 而是以48位的物理地址 (MAC地址) 传输以太网帧的;因此IP地址与MAC地址之间就必须存在一种对应关系, 并且计算机中应当存放这种对应关系的转换表, 同时能够进行动态更新, 而ARP协议就很好地解决了这些问题。
ARP协议工作的过程是:数据报时, 在其ARP表中查看有无主机B的IP地址。如有, 即可查出对应的MAC地址, 然后, 将该数据报发往此MAC地址。在查不到主机B的IP地址的情况下, 主机A就自动运行ARP, 并按照以下步骤找出主机B的M A C地址。
(1) A R P进程在本局域网上广播发送一个A R P请求分组, 此分组上有主机B的IP地址, 也有主机A自身IP到MAC地址的对应关系。
(2) 在本局域网中的所有主机上运行的ARP进程都收到此ARP请求分组。
(3) 主机B在ARP请求分组中见到自己的IP地址, 就向主机A以单播的形式发送一个A R P响应分组, 写入自己的MAC地址, 同时, 主机B将请求分组当中的主机A的IP地址到M A C地址的对应关系写入自己的A R P表当中。
(4) 主机A在收到主机B的ARP响应分组后, 就在其ARP表中写入主机B的IP地址到MAC地址的对应关系。
如上所述, ARP协议可以很好的保证同一网段内主机之间或者与网关之间的通信, 但是, ARP协议是基于网络之中所有的主机或者网关都是可以信任的前提工作的, ARP协议中缺乏认证机制, 局域网内的任何一台主机都可以随意的伪造ARP包, 因此, 针对ARP协议的攻击是很容易的。
1.1.2 ARP攻击过程
(1) 攻击者可在两台正在通信的主机A, B之间充当中间人 (man-in-the-middle) , 假冒主机B的IP地址, 而MAC地址为攻击者的M A C地址来欺骗主机A将数据发往攻击者的机器, 并且攻击者可开启IP路由功能, 将数据包再转发至主机B。同样, 对主机B可实施类似的欺骗, 因此, 主机A, B之间的所有通信内容都被攻击者窃听。
(2) 对主机A发送伪造的ARP应答报文, 假冒主机B的IP地址, 但MAC地址设为不存在的一个硬件地址, 主机A接收此报文后错误地刷新ARP高速缓存中主机B的IP地址与MAC地址的映射关系, 导致主机A与主机B的网络通信中断。这种方法属于拒绝服务 (Denial of Service, DoS) 攻击, 网络上流行的网络执法官等软件就是采用ARP欺骗机制, 发送错误的网关M A C地址给非法用户, 使其通信中断。
1.2 ARP欺骗攻击的防范
针对ARP欺骗, 解决办法有很多, 目前主要有主机与交换机双向的MAC地址绑定, 在PC端使用ARP防火墙等防护软件。
主机与交换机双向的MAC地址绑定是针对ARP欺骗动态实时更新的特点, 将IP和MAC静态绑定。在网关和主机都进行IP和MAC的绑定, 这样双向绑定令ARP欺骗无从进行。
ARP防火墙等防护软件一般有被动和主动防御的功能。被动防御方式中根据预先设定的网关静态的IP和MAC的绑定, 拦截伪ARP包, 保护ARP缓存, 从而实现保护。而主动防御方式则是在网络上不断广播主机正确的IP和MAC, 从而令伪ARP包建立的错误IP-MAC映射无法存在, 但会给这种方式网络带来一定负荷。
2 MAC欺骗攻击的分析
2.1 MAC欺骗攻击的原理
在交换环境中, 接入层交换机的转发过程是这样的:交换机的一个端口收到一个数据帧时, 首先检查改数据帧的目的MAC地址在MAC地址表 (CAM) 对应的端口, 如果目的端口与源端口不为同一个端口, 则把帧从目的端口转发出去, 同时更新M A C地址表中源端口与源M A C的对应关系;如果目的端口与源端口相同, 则丢弃该帧。交换机可以识别数据包中的M A C地址信息, 根据M A C地址进行转发, 并将这些MAC地址与对应的端口记录在自己内部的一个地址表中 (如图1) 。具体的工作流程如下:
(1) 当交换机从某个端口收到一个数据包, 它先读取包头中的源M A C地址, 这样它就知道源M A C地址的机器是连在哪个端口上的。
(2) 再去读取包头中的目的MAC地址, 并在地址表中查找相应的出往端口。
(3) 如表中有与这目的MAC地址对应的端口, 把数据包直接复制到这端口上。
(4) 如表中找不到相应的端口则把数据包广播到所有端口上, 当目的机器对源机器回应时, 交换机又可以学习一目的MAC地址与哪个端口对应, 在下次传送数据时就不再需要对所有端口进行广播了。
不断地循环这个过程, 对于全网的MAC地址信息都可以学习到, 交换机就是这样建立和维护它自己的地址表, 这是交换机的基本工作过程 (如图1) 。
现有如下的工作场景:一个4口的switch, 端口分别为Port.A、Port.B、Port.C、Port.D对应主机A, B, C, D, 其中D为网关。当主机A向B发送数据时, A主机按照OSI往下封装数据帧, 过程中, 会根据IP地址查找到B主机的MAC地址, 填充到数据帧中的目的MAC地址。发送之前网卡的MAC层协议控制电路也会先做个判断, 如果目的MAC相同于本网卡的MAC, 则不会发送, 反之网卡将这份数据发送出去。Port.A接收到数据帧, 交换机按照上述的检查过程, 在MAC地址表发现B的MAC地址 (数据帧目的MAC) 所在端口号为Port.B, 而数据来源的端口号为Port.A, 则交换机将数据帧从端口Port.B转发出去。B主机就收到这个数据帧了。这个寻址过程也可以概括为IP->MAC->PORT, ARP欺骗是欺骗了IP/MAC的对应关系, 而MAC欺骗则是欺骗了MAC/PORT的对应关系。
2.2 MAC欺骗攻击过程
工作环境为上述的4口swith, 和ARP攻击类似, 攻击者可在两台正在通信的主机A, B之间充当中间人 (man-in-themiddle) , 这里, 是A主机劫持B主机和网关之间通信的数据。
首先, A发送任意da=网关.mac、sa=B.mac的数据包到网关。这样就表明b.mac对应的是port.a, 在一段时间内, 交换机会把发往b.mac的数据帧全部发到a主机。这个时间一直持续到b主机发送一个数据包, 或者另外一个da=网关.mac、sa=b.mac的数据包产生前。接下来, A主机收到网关发给B的数据, 记录或修改之后要转发给B, 在转发前要发送一个请求B.MAC的广播, 这个包是正常的MAC信息为:da=FFFFFFFFFF、sa=a.mac。这个数据帧表明了a.mac对应port.a, 同时会激发b主机响应一个应答包MAC信息为:da=a.mac、sa=b.mac这个数据帧表明了b.mac对应port.b至此, 对应关系已经恢复, A主机将劫持到的数据可顺利转发至B。只要A主机保持高发包的频率, 保持错误的映射关系, 就能成功的对交换机欺骗从而不断的获得本该发送给B主机的数据包。而如果A主机没有将数据转发B主机的过程, 这就变成一种拒绝服务攻击, B主机的网络连接就将受到影响。
2.3 MAC欺骗攻击的危害及防御措施
和A R P欺骗攻击类似, 这种M A C欺骗攻击也会造成各种危害, 如通过拒绝服务攻击造成网络的混乱甚至瘫痪。如果攻击主机截取数据再加以修改转发, 利用部分主机IE浏览器等漏洞, 或者通过网页挂马等方式在网络中传播, 窃取网络中用户的数据, 将直接威胁网络信息安全。
由于这种M A C欺骗攻击方式并非利用A R P地址解析协议的漏洞, 而是针对交换机PORT-MAC映射关系的欺骗, 因此, 针对传统ARP欺骗的一些防御措施比如IP-MAC双绑定, ARP防火墙等方式无法防御这种攻击。为防御这种攻击方式, 可以采取划分静态VLAN的方式, 减小其危害。如果要从根本上解决这种攻击, 针对其攻击的原理只有在交换机上进行IP-MAC-PORT的绑定。但如果采用的是现在接入层大量应用的自适应交换机, 无法进行绑定操作的话, 这种攻击将很难防范。
3 结语
本文所讨论的这种攻击方式, 尚未如ARP欺骗攻击那样被病毒利用大规模的流行, 但已经出了一些利用这种方式进行嗅探和劫持的软件。为了网络信息的安全, 网络管理员应认真分析攻击的特点, 加强安全防范, 保护网络系统的信息安全。
参考文献
[1]谢希仁.计算机网络[M].北京:电子工业出版社.2003.
[2]任斌.ARP攻击分析及防御解决方法[J].长春工程学院学报 (自然科学版) .2008.
基于ARP欺骗内网渗透和防范 篇9
关键词:ARP欺骗;内网渗透;防范
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2014) 18-0000-01
就整体而言,ARP是保障计算机网络正常、安全运行的一个重要的协议,该协议的目的主要是为了使得IP和对应的MAC之间能够进行相互转换,最终实现网络设备的访问。近年来,许多的非法网络用户利用ARP协议存在的不足,进行监听、获取他人在网络上所传输的信息的非法行为,严重威胁着网络运行的安全,而ARP协议欺骗也成为了一种十分严重的网络威胁。ARP协议欺骗,指的是网络中的非法用户利用协议的弱点,冒充其中一方与另一方进行通信的行为。对于现今交换式的网络环境,如果希望截获网络上不属于自己的通信,完全能够依靠协议欺骗来达到。
一、协议欺骗及内网渗透
(一)ARP协议欺骗
ARP协议能够达到保障IP地址和MAC地址之间顺利转换、进行网络设备访问的目的。ARP协议的工作原理具体如下:首先是利用网络上的通信源向网络发出ARP的请求包,要求取得网络IP所对应的MAC地址;接着,利用该IP的机器向请求方发送含有相应MAC地址的ARP回应包,这样就能够明确数据发送的最终目的。
ARP欺骗可以分为多种类型,依据内网的划分,其中一种是同一网段的ARP欺骗,而另一种则是不同网段的ARP欺骗;依据影响网络连接的方式划分,一种是路由器ARP表的欺骗,另一种则是内网PC的网关欺骗。
(二)内网渗透
在计算机领域,基于ARP协议欺骗的内网渗透也可以称为无漏洞渗透技术,主要是针对利用软件的漏洞来渗透网络的行为而言。利用无漏洞渗透技术在以太网的使用中,用户可轻松的截取经过本地网卡中的数据包信息,甚至是进行数据包内容的替换,对其他的合法用户造成巨大的危害。因为ARP欺骗,交换机将会自动的把信息传送到非法网络用户的MAC地址上,进行发生信息的泄露情形。
二、ARP欺骗内网渗透带来的危害
(一)数据包的处理
网络中的非法用户利用无漏洞渗透技术进行欺骗,主要是为了数据包的获得。他们将会依据自身的目的对于所截获的数据包进行不同的处理。其中一种处理方法就是获取数据包中的敏感信息。非法用户在截获数据包之后,通过对信息的还原可以获取更多的敏感信息,如经过加密WEB页面的用户名、密码,进而利用这些信息进行非法的活动,这对于原先的用户将会造成十分严重的损失。另外一种就是对于传送的实体进行获取和替换。对于传输中的文件实体的获得相应比较简单,包括HTTP协议、SMTP协议等内容都能够通过还原措施获得。
(二)数据包内容的替换
另外,通过ARP欺骗进行内网渗透之后,非法用户可以进行一系列的非法行為,包括截获WEB的请求、获取正常WEB页以及进行替换连接、进行伪装数据包的发送等。当出现了ARP欺骗之后,用户就能够不断地达到截获、转发被欺骗目标之间的数据信息的目的。还能够对获取的页面进行内容的更改,或者是替换其中的链接页面,甚至是对于截获的回应包中的序号和确认号、“最后修改时间”、“文件长度”等信息进行伪造。
三、基于ARP欺骗内网渗透防范
(一)防范的基本原则
对于更好的进行ARP欺骗内网渗透防范需要遵循一定的原则,第一是,用户不能把自身的网络安全建立在IP地址、硬件mac地址的基础上,而更应该依靠IP+mac的前提下;其次,用户需要对计算机的静态macIP对应表进行设置;在不必要的情形下,把ARP当做永久条目进行保存,不使用该协议;尽量使用代理的网关进行信息的传送。
(二)具体的防范措施
1.静态绑定
在进行ARP欺骗内网渗透防范措施中,最常见的方法是进行IP和MAC的静态绑定,对于网内中的主机和网关都进行绑定,为了更加保险,用户可以对网关同样进行IP和MAC的静态绑定。这是因为ARP欺骗主要是通过IP的动态变化来欺骗内网中的机器,所以只要把ARP设置为静态就能够防止这种欺骗的发生。
2.ARP防护软件的使用
利用ARP防护软件同样是进行内网渗透防护的有效方法,就目前而言ARP防护软件类型比较多样,但是使用范围以及频率比较广的还是Antiarp。这种防护软件不但能够很好的检测出ARP的攻击,而且还能够达到正确传送用户之间信息的目的。该防护软件的另一大优势就是界面十分的简单,操作相对简便,用户能够很好的利用该软件进行ARP欺骗内网的渗透防护。
3.ARP防护功能的路由器的使用
第三种将要介绍的ARP欺骗内网渗透防护措施是正确的使用具有ARP防护功能的路由器。使用这种路由器之后,能够定期的传送出用户的正确数据信息。但是,使用这种路由器的一大弊端就是面对真正的网络安全攻击的时候,不能发挥出真正的保护作用。所以,为了更好的保护上网信息的安全性,用户需要使用更多的防护措施,达到保护上网安全的目的。
四、结束语
基于ARP欺骗的内网渗透主要是利用协议欺骗进行的,非法用户通过欺骗、渗透等手段获取网络中的数据以达到自身的非法利益,这将会对网络用户的利益造成巨大的损害。因此,采取有效的防护措施加强网络的安全性势在必行。
参考文献:
[1]车树炎,苏冠东.基于ARP欺骗攻击网络安全性的研究[J].电脑知识与技术,2012(24).
[2]张健,李焕洲.网络嗅探原理及其检测和预防[J].四川师范大学学报(自然科学版),2009(01).
[3]李志刚.ARP欺骗的形成与安全防御策略探究[J].江苏技术师范学院学报,2011(10).
ARP欺骗的原理及解决方法 篇10
在介绍ARP之前, 我们先介绍下什么是MAC地址, MAC地址是烧录在Network Interface Card (网卡, NIC) 里的。MAC地址, 也叫硬件地址, 是由48比特长 (6字节) , 16进制的数字组成.0-23位是由厂家自己分配.24-47位, 叫做组织唯一标志符 (organizationally unique, 是识别LAN (局域网) 节点的标识。其中第40位是组播地址标志位。网卡的物理地址通常是由网卡生产厂家烧入网卡的EPROM (一种闪存芯片, 通常可以通过程序擦写) , 它存储的是传输数据时真正赖以标识发出数据的电脑和接收数据的主机的地址。
我们知道在互联网当中, IP地址是唯一的, 也就是说一旦确定了IP地址, 即可以向接收端的IP地址发送数据信息, 进行信息的传输。但在局域网 (确切地说是在数据链路层) 中进行数据传输时刚必须通过MAC地址进行通信, 所以就需要一种协议来解决从IP地址到MAC地址的办法。
ARP是解析地址的协议。也就是说, 所获得接收端的IP地址, 只是在想知道下一个接收机器的MAC地址时才加以利用。当接收端主机不在同一条数据链路的情况下, 使用ARP来检查下一个应该发送的网关的MAC地址。
二、ARP工作原理
假设局域网中有主机A和主机B两台计算机, 主机A有向主机B发送数据的需求, 但还不清主机B的MAC地址, 则其先向网络中发送一个包含主机B的IP地址的广播包。同一网段内的所有计算机都会收到这个广播包, 并对该包的内容进行分析, 当主机B发现目标IP地址就是自己的IP地址时, 则将自己的MAC地址附加到ARP应答包中, 返回主机A, 其它主机由于分析这个ARP广播包的IP地址不是自己的IP, 所以丢弃该包。主机A收到主机B发送的应达包后, 会将主机B的MAC地址存入到自己主机的缓存中, 在接下来的一段时间内, 直接从缓存中得到主机B的MAC地址并进行通信即可。
由于ARP协议能够自动地解析地址, 因此, 在使用TCP/IP通信的情况下, 人们并没有意识到MAC地址的存在, 只需考虑IP地址即可, 这也是人们忽略ARP协议存在的原因。
三、ARP协议的缺陷:
ARP协议是建立在互相信任的基础上的, 效率很高, 但存在安全隐患, 因为它只要收到一个ARP报文就会更新自己的缓存, 而不去验证自己是否发了这样的请求。所以就为ARP的欺骗提供了可能, 一些有恶意的站点一旦发布虚假的ARP报文, 就会干扰正常的上网秩序。
例如:局域网当中现有主机A, 主机B, 主机C三台计算机, 主机A有需求和主机B进行通信, 则主机A会发送一个ARP包广播当局域网当中, 主机B会发送应答包, 在主机A收到后, 将主机B的MAC地址存入缓存, 并开始通信。但如果主机C此时也发送一个ARP应答包, 告诉主机A它是主机B, 并将它自己的MAC地址发送给主机A, 则主机A在收到后会不加验证的将主机C的MAC地址存入缓存中并覆盖真正主机B的MAC地址, 这样一来, 主机A发给主机B的信息, 就全部发给了主机C了。
而在实际当中, 攻击者或中了ARP病毒计算机往往会伪装成网关的物理地址, 使得所有发往网关的数据全部发给了攻击者, 从而造成了局域网的瘫痪。
四、解决ARP攻击的方法:
1、绑定
用户在各自上网的计算机当中进行绑定:首先从网管人员那里得到正确的网关IP地址和MAC地址, 或者是在命令提示符下输入arp-a如图
然后继续在命令提示符下输入如下信息:Arp-s IP地址MAC地址。
本例中输入arp-s 192.168.110.251 00-0f-e2-7f-22-58即可。
如果觉得每次输入都较繁琐的话, 那我们可以做个批处理文件, 然后将其放入启动文件夹下, 每次开机后, 都会自动运行绑定网关程序。
批生理文件制作如下:
打开文本程序, 输入下列命令:
@echo off
Arp-d/清空arp缓存
Arp-s 192.168.110.251 00-0f-e2-7f-22-58/绑定网关的IP与MAC地址
最后要保存为BAT文件。
2、交换机绑定
在三层交换机上将所有上网的计算机的IP地址与MAC地址绑定。这样做虽然比较繁琐, 但可以在最大限度上防止ARP台骗以及盗用IP地址情况的发生, 具体操作视不同交换机命令有所不同, 下面以H3C的9508交换机为例进行操作:
3、使用专用软件
目前, 具有防护ARP欺骗功能的软件也较多, 较常见的有瑞星, 360安全卫士卫士, Anti-ARP等都有该功能, 它们的工作原理有的是以一定的频率向网络广播正确的ARP信息, 有的是将网关的IP地址与MAC地址绑定, 一旦收到与原网关MAC地址不同的信息时, 会及时报警。总之, 这些软件在一定程度上都能做到防护ARP欺骗, 所以建议读者务必安装。
本文主要介绍了ARP协议的工作原理, 以及由于设计缺陷而造成的ARP欺骗的解决方法, 目前此类病毒在高校和企事业单位还是比较严重的, 为了更好的防御, 建议还是多用几种防御的方法, 以加强网络的健壮性、安全性。
摘要:近年来, 大学校园网或多或少的会受收到ARP欺骗的侵扰, 这在一定程度上干扰了正常的教学秩序和工作秩序, 本文从ARP协议的工作原理出发, 找出ARP协议的缺陷及ARP欺骗的手段, 结合实际工作提出解决ARP欺骗的方法。
关键词:ARP,ARP欺骗,MAC地址
参考文献
[1].竹下隆史, 村山公保.TCP/IP综合基础篇[M].北京:科学出版社, 2004.
[2].吴小平.基于SNMP的ARP欺骗主动防御机制[J].华中师范大学学报, 2007 (4) .
