没有合适的资源?快使用搜索试试~ 我知道了~
浅谈局域网ARP攻击的危害及防范方法.docx
0 下载量 29 浏览量
2023-11-17
14:28:52
上传
评论
收藏 185KB DOCX 举报
温馨提示
试读
14页
浅谈局域网ARP攻击的危害及防范方法.docx
资源推荐
资源详情
资源评论
浅谈局域网 ARP 攻击的危害及防范方法
浦江县第三中学 洪铁东
摘 要:自去年 5 月份开始出现的校内局域网频繁掉线等问题,对正常的教
育教学带来了极大的不便,可以说是谈“掉”色变,造成这种现象的情况有很多,
但目前最常见的是 ARP 攻击了。本文介绍了 ARP 攻击的原理以及由此引发的网络
安全问题,并且结合实际情况,提出在校园网中实施多层次的防范方法,以解决
因 ARP 攻击而引发的网络安全问题,最后介绍了一些实用性较强且操作简单的检
测和抵御攻击的有效方法。
关键词:ARP 攻击;网络安全;防范方法
您是否遇到局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复
正常?您的网速是否时快时慢,极其不稳定,但单机进行光纤数据测试时一切正
常?您是否时常听到教职工的网上银行、游戏及 QQ 账号频繁丢失的消息?……
这些问题的出现有很大一部分要归功于 ARP 攻击,我校局域网自去年 5 月份
开始 ARP 攻击频频出现,目前校园网内已发现的“ARP 攻击”系列病毒已经有了
几十个变种。据检测数据显示,APR 攻击从未停止过,为此有效的防范 ARP 形式
的网络攻击已成为确保网络畅通必要条件。
一、ARP 的基本知识
1、什么是 ARP?
ARP 协议是“Address Resolution Protocol”(地址解析协议)的缩写。在
局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的 MAC 地址的。在
以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的 MAC
地址。但这个目标 MAC 地址是如何获得的呢?它就是通过地址解析协议获得的。
所谓“地址解析”就是主机在发送帧前将目标 IP 地址转换成目标 MAC 地址的过
程。ARP 协议的基本功能就是通过目标设备的 IP 地址,查询目标设备的 MAC 地
址,以保证通信的顺利进行。
在局域网中,通过 ARP 协议来完成 IP 地址转换为第二层物理地址(即 MAC
地址)的,ARP 协议对网络安全具有重要的意义。
2、ARP 协议的工作原理
正常情况下,每台主机都会在自己的 ARP 缓冲区中建立一个 ARP 列表,以表
示 IP 地址和 MAC 地址的对应关系。当源主机需要将一个数据包要发送到目的主
机时,会首先检查自己 ARP 列表中是否存在该 IP 地址对应的 MAC 地址,如果有﹐
就直接将数据包发送到这个 MAC 地址;如果没有,就向本地网段发起一个 ARP 请
求的广播包,查询此目的主机对应的 MAC 地址。此 ARP 请求数据包里包括源主机
的 IP 地址、硬件地址、以及目的主机的 IP 地址。网络中所有的主机收到这个 ARP
请求后,会检查数据包中的目的 IP 是否和自己的 IP 地址一致。如果不相同就忽
略此数据包;如果相同,该主机首先将发送端的 MAC 地址和 IP 地址添加到自己
的 ARP 列表中,如果 ARP 表中已经存在该 IP 的信息,则将其覆盖,然后给源主
机发送一个 ARP 响应数据包,告诉对方自己是它需要查找的 MAC 地址;源主机收
到这个 ARP 响应数据包后,将得到的目的主机的 IP 地址和 MAC 地址添加到自己
的 ARP 列表中,并利用此信息开始数据的传输。
如图:
1. 要发送网络包给 192.168.1.1,但不知 MAC 地址?
2. 在局域网发出广播包“192.168.1.1 的 MAC 地址是什么?”
3. 其他机器不回应,只有 192.168.1.1 回应“192.168.1.1 的 MAC 地址是
00-aa-00-62-c6-09”
从上面可以看出,ARP 协议的基础就是信任局域网内所有的人,那么就很容
易实现在以太网上的 ARP 欺骗。更何况 ARP 协议是工作在更低于 IP 协议的协议
层,因此它的危害就更加隐蔽。
二、ARP 欺骗的原理
ARP 类型的攻击最早用于盗取密码之用,网内中毒电脑可以伪装成路由器,
盗取用户的密码, 后来发展成内藏于软件,扰乱其他局域网用户正常的网络通
信,下面我们简要阐述 ARP 欺骗的原理:假设这样一个网络,一个交换机连接了
3 台机器,依次是计算机 A,B,C
A 的地址为:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AA
B 的地址为:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB
C 的地址为:IP:192.168.1.3 MAC: CC-CC-CC-CC-CC-CC
第二步:正常情况下在 A 计算机上运行 ARP -A 查询 ARP 缓存表应该出现如
下信息。
Interface: 192.168.1.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.3 CC-CC-CC-CC-CC-CC dynamic
第三步:在计算机 B 上运行 ARP 欺骗程序,来发送 ARP 欺骗包。
B 向 A 发送一个自己伪造的 ARP 应答,而这个应答中的数据为发送方 IP 地
址是 192.168.10.3(C 的 IP 地址),MAC 地址是 DD-DD-DD-DD-DD-DD(C 的 MAC
地址本来应该是 CC-CC-CC-CC-CC-CC,这里被伪造了)。当 A 接收到 B 伪造的 ARP
应答,就会更新本地的 ARP 缓存(A 可不知道被伪造了)。而且 A 不知道其实是
从 B 发送过来的,A 这里只有 192.168.10.3(C 的 IP 地址)和无效的
DD-DD-DD-DD-DD-DD MAC 地址。
第四步:欺骗完毕我们在 A 计算机上运行 ARP -A 来查询 ARP 缓存信息。你
会发现原来正确的信息现在已经出现了错误。
Interface: 192.168.1.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.3 DD-DD-DD-DD-DD-DD dynamic
上面例子中在计算机 A 上的关于计算机 C 的 MAC 地址已经错误了,所以即使
以后从 A 计算机访问 C 计算机这个 192.168.1.3 这个地址也会被 ARP 协议错误
的解析成 MAC 地址为 DD-DD-DD-DD-DD-DD 的。
当局域网中一台机器,反复向其他机器,特别是向网关,发送这样无效假冒
的 ARP 应答信息包时,严重的网络堵塞就会开始。由于网关 MAC 地址错误,所以
从网络中计算机发来的数据无法正常发到网关,自然无法正常上网。这就造成了
无法访问外网的问题,另外由于很多时候网关还控制着我们的局域网 LAN 上网,
剩余13页未读,继续阅读
资源评论
猫一样的女子245
- 粉丝: 99
- 资源: 2万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功