校园局域网中ARP攻击与防御的研究:什么是局域网

　　摘 要： 校园网在为师生提供良好的教学、科研环境的同时，也面临着各种病毒木马的攻击。其中，尤以ARP攻击对网络安全的威胁最大。对ARP协议的工作原理、协议漏洞及ARP攻击方式等做详细的分析，并提出防御ARP攻击的策略和方法。
　　关键词： 校园局域网；ARP；ARP攻击；防御
　　中图分类号：TP393 文献标识码：A 文章编号：1671－7597（2012）0210102－01
　　
　　当今，随着互联网的快速发展，各类木马病毒层出不穷，在校园局域网中，由于教师们会经常通过互联网查找、下载一些学习资料，这就增加了计算机感染木马病毒的几率。在众多木马病毒中，ARP病毒攻击尤为普遍。由于防火墙只能对终端进行被动的保护，并不能阻止攻击的发出，攻击不断地发到网络中，造成网络阻塞，影响到校园网络的正常使用，因此如何有效地防范ARP攻击显得尤为重要。
　　1 什么是ARP
　　ARP（Address Resolution Protocol）又称地址解析协议。在以太网协议中规定，同一局域网中的两台主机要相互通信，就必须要知道目标主机的MAC地址。而在TCP/IP协议栈中，网络层和传输层只关心目标主机的IP地址。这就导致在以太网中使用IP协议时，数据链路层的以太网协议接到上层IP协议提供的数据中只包含目的主机的IP地址。于是需要一种方法，根据目的主机的IP地址，获得其MAC地址。这就是ARP协议的主要工作。其中，地址解析（address resolution）就是指主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。
　　2 ARP协议的工作原理
　　每台装有TCP/IP协议的主机在ARP缓冲区（ARP Cache）中建立一个ARP缓存列表，列表中的IP地址和MAC地址是一一对应的。当主机A向主机B发送数据时，主机A会在自己的ARP列表中查找是否存在目标主机的IP地址以及与之对应的MAC地址，如果找到，就直接把数据包发送到这个MAC地址；如果没找到，主机A就会在本网段发起一个ARP请求的广播包，向网段内的所有主机询问主机B所对应的MAC地址。这个ARP请求广播包里包含了主机A的IP地址、MAC地址，以及主机B的IP地址。网络上的其他主机接收到这个ARP请求后，会检查数据包中的目的IP地址是否和自己的IP地址相同。如果不同就忽略此数据包；如果相同则说明该主机即为主机B，它会首先把主机A的MAC地址与IP地址添加到自己的ARP缓存表中，如果ARP缓存表中已经存在该IP的信息，就会先将其覆盖，再把自己的MAC地址发送给主机A。这样主机A就获得了主机B的MAC地址，在更新了自己的ARP列表之后，主机A就可以向主机B发送数据包了。
　　3 ARP协议的安全漏洞
　　ARP协议的安全漏洞来源于协议自身设计上的不足。ARP协议作为网络中必不可少的一个协议，虽然它有着高效率的映射机制，但是，在最初设计时，是以网络的安全和可信任为前提的，因此并没有把网络中的不安全因素考虑进去。此外，ARP协议工作在OSI模型第二层，因此它的危害就变得更加隐蔽。再有，ARP的协议机制存在着无连接性、广播性、动态性、无认证性等安全隐患。这些安全漏洞是ARP协议本身所固有的缺陷，如果修改就会影响到ARP协议与TCP/IP协议栈的兼容性。
　　4 ARP常见的攻击方式
　　4.1 ARP DoS（Denial of Service）攻击
　　ARP DoS攻击是指，一个网络设备（通常为PC）通过发送大量正确的ARP请求或响应报文来阻扰网络设备正常运行的行为。ARP DoS行为中病毒主机发送的ARP报文从报文内容及对网络内其它主机的ARP表项影响方面来看是正确的。但从发送速率及其对网络上其它设备的影响来看则是不正常的。攻击对象一般是病毒主机的默认网关，此类网关一般是路由器、交换机或者防火墙等等。因为其发送速率太快，影响了网络上其它设备对ARP报文的正常处理，被攻击对象往往没有足够资源来响应其它主机的ARP请求，影响网络正常运行。
　　4.2 ARP泛洪攻击
　　攻击主机持续发送伪造的ARP广播数据，对局域网内的所有主机和网关进行广播，使得交换机拼于处理广播数据包耗尽网络带宽，假地址信息占满主机的ARP高速缓存空间，使得受攻击主机无法创建缓存列表，无法正常通信。
　　4.3 中间人攻击
　　中间人攻击是指攻击主机插入到两个目标主机的通信路径之间作为“中间人”，被欺骗主机的数据都经它中转，这样攻击者就可以监听两个目标主机之间的通信，窃取目标主机间的通讯数据。
　　4.4 伪造网关
　　攻击主机伪装成网关，让其它受骗主机向该假网关发数据，而不是发给路由器。这样无法通过正常的路由器途径上网，导致受骗主机无法上网。
　　4.5 截获网关数据
　　攻击主机向路由器按照一定的频率不断地发送一系列错误的内网MAC地址，致使真实的地址信息无法保存在路由器中，因此路由器的所有数据都会发送到错误的MAC地址，使得正常主机无法接收信息。
　　5 遭受ARP攻击时的表现
　　ARP一般通过木马感染计算机，局域网内一旦有一台计算机感染ARP木马，整个局域网都会受到影响，主要表现为：用户上网的速度变慢甚至频繁断网、IE浏览器频繁出错、无法ping通网关，重启电脑或在Windows运行对话框中运行arp-d后又可恢复上网，严重时整个网络瘫痪。此外，遭受ARP攻击的电脑会不断弹出IP地址冲突的对话框，不能正常上网，出现网络中断等症状，甚至会出现网络内大面积账号丢失和数据失密等现象。
　　6 定位ARP攻击源头
　　6.1 命令行法
　　当局域网受到ARP攻击时，感染ARP病毒的主机会向局域网中不停地发送ARP欺骗广播，局域网中的其它主机收到广播包后会动态更新自己的ARP缓存表，将网关的MAC地址更新为感染ARP病毒主机的MAC地址，只要在受影响的主机中查询一下当前网关的MAC地址，就可以查出受感染主机的MAC地址。方法如下：运行cmd命令，在提示符后输入arp-a，返回信息（举例）：
　　Interface:192.168.1.2---0x2
　　Internet Address Physical Address Type
　　192.168.1.1 00-25-86-74-23-67 static
　　192.168.1.9 00-f9-75-5a-28-b6 dynamic
　　由于当前主机的ARP列表的记录是错误的，所以该MAC地址不是真正网关的MAC地址，应该是中毒主机的MAC地址。然后，根据保存的全网的IP-MAC地址对照表，可以很方便地查出中毒主机的IP地址。
　　6.2 工具软件法
　　现在网上可以找到很多ARP病毒查杀工具，如360ARP防火墙、ArpDog监控软件、AntiARP等等，利用这些软件可以快速地锁定ARP攻击者的MAC地址。然后，根据保存的全网的IP-MAC地址对照表，即可查出中毒电脑。

推荐访问:防御 网中 攻击 校园