目录
1 摘要 „„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„3 2 ARP协议的作用„„„„„„„„„„„„„„„„„„„„„„„„„„„3 3 ARP的工作原理„„„„„„„„„„„„„„„„„„„„„„„„„„„3 4 ARP欺骗的过程„„„„„„„„„„„„„„„„„„„„„„„„„„„4 5 ARP欺骗的危害„„„„„„„„„„„„„„„„„„„„„„„„„„„5
5.1假冒ARP应答缺陷„„„„„„„„„„„„„„„„„„„„„„5 5.2 对网关的干扰„„„„„„„„„„„„„„„„„„„„„„„„5 5.3大量广播包占用带宽„„„„„„„„„„„„„„„„„„„„„5
6防范ARP欺骗的方法„„„„„„„„„„„„„„„„„„„„„„„„„6
6.1 IP与MAC绑定法„„„„„„„„„„„„„„„„„„„„„„„6 6.2 对网关的干扰„„„„„„„„„„„„„„„„„„„„„„„„„6
6.3使用第三方软件„„„„„„„„„„„„„„„„„„„„„„„„6
参考文献„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„6
计算机网络课程设计
1摘要
网络攻击伴随着网络的发展而日益增多,我们在局域网中经常会遇到无故断网的情况。大多数网络管理员第一感觉可能都认为是计算机本身出现了故障,而忽视了网络自身的安全。目前,局域网中基于ARP欺骗的网络攻击比较流行且危害性很大,网吧和高校机房是ARP欺骗攻击的高发地。所以理解ARP欺骗攻击的原理,对于我们采用何种防范措施至关重要。
2 ARP协议的作用
数据在网络中传输是通过IP地址来进行路由寻址和确定主机位置的,数据通 过物理线路传送到达目的主机,最终是通过MAC地址来完成的,因为IP地址无法被物理网络识别,所以数据通信要解决的问题就是如何获取目的端主机MAC地址以及如何将IP地址转换为MAC地址的问题。ARP(Address Resolution Protocol)地址解析协议就是将计算机的IP地址转化为MAC地址的协议。
3 ARP的工作原理
当计算机通过ARP协议得到目的主机的MAC地址后,会将目的主机的MAC地址保存到自己的ARP缓存表中一段时间,以便下次通信时直接使用。所以当源主机需要将数据包发送到目的主机时,会首先检查自己ARP缓存表中是否存在与目的主机IP地址所对应的MAC地址记录。如果记录存在就直接将数据包发送到这个MAC地址;如果记录不存在,就会向本地网段发起一个ARP查询的广播包查询目的主机所对应的MAC地址。目的主机收到广播包后会应答这个ARP查询请求。同时,当网络中其它主机收到ARP广播包后,会将源主机的IP地址与MAC地址的对应记录保存到自己的ARP缓存表中。
- 1 -
计算机网络课程设计
4 ARP欺骗的过程
了解ARP的工作原理后,现在来理解ARP欺骗就不难了。下面以一个具体实例来加深大家对ARP欺骗的理解。
假设局域网中有3台主机,它们分别由交换机连接。拓扑结构、IP地址和MAC地址如图4.11所示。其中主机A为源主机,主机B为目的主机;主机C为ARP欺骗源
。
图4.11
正常情况下,当主机A向主机B发送信息时,必须先获取主机B的MAC地址MAC-B。主机A会查询自己的ARP缓存表,看是否存在IP地址为192.168.1.2对应MAC地址为MAC-B的这条记录。如果存在,便直接发送信息给主机B。如果不存在,主机A将发送一个ARP查询的广播包。这一过程就好比是向网络上所有主机询问:“我的IP地址是192.168.1.1,MAC地址是MAC-A,我现在想知道IP地址是192.168.1.2的主机它的MAC地址是多少?”当网络中其它主机都将收到这条广播信息,但是只有主机B会对这条广播信息作出应答,因为它的IP地址为192.168.1.2。之后它们之间的通信便开始了。
如果这时主机C将自己的IP地址伪装成主机B的IP地址,同时也向主机A发送一个ARP应答,那情况就会变得很糟糕了。主机A将会把保存在ARP缓存表中原本正确的主机B的IP地址与MAC地址对应记录,更新为与主机C的MAC地址对应的记录。即192.168.1.2→MAC-C。这样将导致主机A发往主机B的所有数据都将被发往主机C,这就是ARP欺骗。
- 2 -
计算机网络课程设计
5 ARP欺骗的危害
ARP协议为了得到目的主机的MAC地址,会采取广播ARP查询的方式。正是因为ARP协议这种不安全的询问与应答机制,对网络构成很很多危害。
5.1假冒ARP应答缺陷
假设现在有两台主机,分别为主机A和主机B。主机A尚未发送ARP查询,而此时主机B却主动向主机A发送ARP应答。这时主机A也会更新其ARP缓冲表中主机B的MAC地址。这个缺陷将导致任何主机都可以向主机A发送假冒主机B的ARP应答包,如果欺骗成功,主机A和主机B之间的通讯都将被中断。
5.2 对网关的干扰
如果欺骗是针对一个局域网当中的网关。例如像学校机房和网吧中所使用的接入层网关,那么局域网中的所有主机将会与外界失
去联系。这种危害是非常大的,不仅使学校的正常教学受到了严重的影响,而且也让网吧蒙受了巨大的经济损失。
5.3大量广播包占用带宽
保存在主机ARP缓存表中的MAC地址与IP地址对应记录,一般会经过一段时间后自动更新。所以被欺骗的主机在经过更新时间后仍然会恢复正常的通信。为了达到ARP欺骗的目的,欺骗方只能在MAC地址更新后再次发送ARP欺骗包。如此反复将导致大量的数据包在网络中传输,耗费网络带宽。
- 3 -
计算机网络课程设计
6 防范ARP欺骗的方法
目前对于ARP攻击的防护主要是通过软件和硬件来实现,下面我们来介绍几种常用方法:
6.1 IP与MAC绑定法
此方法不需要使用第三方软件,直接利用windows系统自带的ARP命令便可完成。命令行法将网关的IP地址和其对应的MAC地址做静态的绑定,人为阻止ARP缓存的自动更新。我们可以在命令行中输入“ARP-S本地网关的IP地址,本地网关的MAC地址”。例如:“ARP-S192.168.1.1 00-13-32-33-12-11”。一般都是将此命令做成为批处理文件,以便系统每次启动时都能自动绑定。
6.2 采用Super VLAN
Super VLAN又称为VLAN聚合,其原理是一个VLAN内包含多个Sub VLAN,每个Sub VLAN是一个广播域,不同Sub VLAN之间相互隔离,不能通信。所有的Sub VLAN都使用Super VLAN的默认网关IP地址与外界联系。如果将交换机的每个端口都设置为一个Sub VLAN,那么便可以实现所有端口的隔离,也就避免了ARP欺骗。
6.3使用第三方软件
目前防范ARP欺骗的软件有很多。如Anti ARP Sniffer、360安全卫士等。360安全卫士是目前使用比较广泛的一款免费杀毒软件,启动该软件提供的ARP防火墙功能后,系统会自动将本机的IP地址和MAC地址、本地网关的IP地址和MAC地址进行绑定。在受到ARP欺骗攻击时还会发出警告。
虽然ARP欺骗危害很大,但当我们知道了它的工作特性后,也能很好的防范它。如果我们能提前做好ARP欺骗的防治工作,相信能将ARP的危害减少到最小的程度甚至杜绝。
参考文献:
[1]谢希仁.计算机网络(第5版).北京:电子工业出版社,2008,11 [2]肖新峰.TCP/IP协议与网路管理.北京:清华大学出版社,2007,7
[3]吴金龙,洪家军.网络安全(第2版).北京:高等教育出版社,2009,11
- 4 -
计算机网络课程设计
指导教师评语: 指导教师签名: 年 月 日 成 绩 教研室审核意见: 教研室主任签字: 年 月 日 - 5 -
