arp欺騙原理與防護技術研究

1、arp欺騙原理與防護技術研究姓名單位摘要：arp協(xié)議對網(wǎng)絡安全具有極其重要的意義，通過偽造tp地址和mac地址實現(xiàn)arp欺騙，能夠在網(wǎng)絡中產(chǎn)生大量的arp通信量使網(wǎng)絡阻塞。關鍵詞：arp；欺騙原理；防護技術一、arp協(xié)議簡介1、arp協(xié)議概念arp 協(xié)議(address resolution protoco 1)即地址解析協(xié)議, 該協(xié)議將網(wǎng)絡層的ip地址轉換為數(shù)據(jù)鏈路層地址。tcp ip協(xié)議 中規(guī)定，ip地址為32位，由網(wǎng)絡號和網(wǎng)絡內(nèi)的主機號構成，每 一臺接入局域網(wǎng)或者internet的主機都要配置一個ip地址。在 以太網(wǎng)中，源主機和日的主機通信時，源主機不僅要知道目的主 機的ip地址，還要知

2、道目的主機的數(shù)據(jù)鏈路層地址，即網(wǎng)卡的 mac地址，同時規(guī)定mac地址為48位。arp協(xié)議所做的工作就是 查詢目的主機的ip地址所對應的mac地址，并實現(xiàn)雙方通信。2、基本功能在以太網(wǎng)協(xié)議中規(guī)定，同一局域網(wǎng)中的一臺主機要和另一臺 主機進行直接通信，必須要知道目標主機的mac地址。而在 tcp/ip協(xié)議棧中，網(wǎng)絡層和傳輸層只關心目標主機的ip地址。 這就導致在以太網(wǎng)中使用ip協(xié)議時，數(shù)據(jù)鏈路層的以太網(wǎng)協(xié)議 接到上層ip協(xié)議提供的數(shù)據(jù)中，只包含目的主機的ip地址。于 是需要一種方法，根據(jù)日的主機的ip地址，獲得其mac地址。 這就是arp協(xié)議要做的事情。所謂地址解析(address resoluti

3、on)就是主機在發(fā)送幀前將目標ip地址轉換成目標mac 地址的過程。3、工作原理在每臺安裝有tcp/ip協(xié)議的電腦里都有一個arp緩存表，表里的ip地址與mac地址是對應的。以主機a(192. 168. 1.23)向主機b (192. 168. 1. 1)發(fā)送數(shù)據(jù)為例。當 發(fā)送數(shù)據(jù)時，主機a會在自己的arp緩存表中尋找是否有目標 ip地址。如果找到了，也就知道了目標mac地址，直接把目標 mac地址寫入幀里面發(fā)送就可以了；如果在arp緩存表中沒有找 到日標ip地址，主機a就會在網(wǎng)絡上發(fā)送一個廣播，a主機mac 地址是“ff.ff.ff.ff.ff.ff” ,這表示向同一網(wǎng)段內(nèi)的所有主 機發(fā)出這

4、樣的詢問：“我是192. 168.1.5,我的硬件地址是 ff ff. ff. ff. ff. fe請問 ip 地址為 192. 168. 1. 1 的 mac 地址 是什么？ ”網(wǎng)絡上其他主機并不響應arp詢問，只有主機b接收 到這個幀時，才向主機a做出這樣的回應：“192. 168. 1. 1的mac 地址是00_aa_00_62_c6_09 v 。這樣，主機a就知道了主機b的 mac地址，它就可以向主機b發(fā)送信息了。同時a和b還同時都 更新了自己的arp緩存表(因為a在詢問的時候把自己的ip和 mac地址一起告訴了 b),下次a再向主機b或者b向a發(fā)送信息 時，直接從各自的arp緩存表里

5、查找就可以了。arp緩存表采用 了老化機制(即設置了牛存時間ttl),在一段時間內(nèi)(一般15到20分鐘）如果表中的某一行沒有使用，就會被刪除，這樣可 以大大減少arp緩存表的長度，加快查詢速度。二、arp欺騙原理及遭受arp欺騙攻擊后現(xiàn)象、危害1、arp欺騙原理arp欺騙攻擊就是通過偽造ip地址和mac地址實現(xiàn)arp欺 騙，能夠在網(wǎng)絡中產(chǎn)牛大量的arp通信量使網(wǎng)絡阻塞，攻擊者只 要持續(xù)不斷的發(fā)出偽造的arp響應包就能更改目標主機arp緩存 中的ip-mac條目，造成網(wǎng)絡中斷或中間人攻擊。將ip地址轉換為mac地址是arp的工作，在網(wǎng)絡中發(fā)送虛 假的arp respones,就是arp欺騙。ar

6、p處理需要兩個信息來完 成數(shù)據(jù)傳輸，一個是ip地址，一個是mac地址。所以當arp傳 輸數(shù)據(jù)包到目的主機時，有其他主機故意頂替目的主機的mac地 址，就造成了數(shù)據(jù)包不能準確到達。這就是所謂的arp欺騙。在正常情況下每臺主機（包括網(wǎng)關）都有一個arp緩存表， 這個緩存表能夠有效的保證數(shù)據(jù)傳輸?shù)囊粚σ恍?。但是在arp緩 存表的實現(xiàn)機制中存在一個不完善的地方，當主機收到一個arp 的應答包后，它并不會去驗證自己是否發(fā)送過這個arp請求，而 是直接將應答包里的mac地址與ip對應的關系替換掉原有的arp 緩存表里的相應信息。假如我們有兩個網(wǎng)段、三臺主機、兩個網(wǎng)關、分別是：主機名ip地址mac地址網(wǎng)關1

7、192. 16& 1. 101-01-01-01-01-01主機a192. 168. 1.202-02-02-02-02-02主機b192. 16& 1.303-03-03-03-03-03網(wǎng)關210. 1. 1. 104-04-04-04-04-04主機c10. 1. 1.205-05-05-05-05-05主機b截取主機a與主機c之間的數(shù)據(jù)通信成為可能。首先 主機b向主機a發(fā)送一個arp應答包說192. 168. 1. 1的mac地址 是03-03-03-03-03-03,主機a收到這個包后并沒有去驗證包的 真實性而是直接將自己arp列表中的192. 168. 1. 1的m

8、ac地址替 換成03-03-03-03-03-03,同時主機b向網(wǎng)關1發(fā)送一個arp響 應包說 192. 16& 1. 2 的 mac 是 03-03-03-03-03-03,同樣網(wǎng)關 1 也沒有去驗證這個包的真實性就把自己arp表中的192. 168. 1.2 的mac地址替換成03-03-03-03-03-03o當主機a想要與主機c 通訊時，它直接把應該發(fā)送給網(wǎng)關1(192. 168. 1. 1)的數(shù)據(jù)包發(fā) 送到03-03-03-03-03-03這個mac地址，也就是發(fā)給了主機b, 主機b在收到這個包后經(jīng)過修改再轉發(fā)給真正的網(wǎng)關1,當從主 機c返回的數(shù)據(jù)包到達網(wǎng)關1后，網(wǎng)關1也使用

9、自己arp表中的 mac ,將發(fā)往192. 168. 1.2這個ip地址的數(shù)據(jù)發(fā)往 03-03-03-03-03-03這個mac地址也就是主機b,主機b在收到 這個包后再轉發(fā)給主機a完成一次完整的數(shù)據(jù)通訊，這樣就成功 的實現(xiàn)了一次arp欺騙攻擊。因此簡單點說arp欺騙的目的就是 為了實現(xiàn)全交換環(huán)境下的數(shù)據(jù)監(jiān)聽與篡改。2、arp欺騙的種類arp欺騙分為二種，一種是對路由器arp表的欺騙；另一種 是對內(nèi)網(wǎng)pc的網(wǎng)關欺騙。第一種arp欺騙的原理是一一截獲網(wǎng) 關數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)mac地址，并按照一定 的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器 中，結果路由器的所有數(shù)據(jù)只

10、能發(fā)送給錯誤的mac地址，造成正 常pc無法收到信息。第二種arp欺騙的原理是一一偽造網(wǎng)關。 它的原理是建立假網(wǎng)關，讓被它欺騙的pc向假網(wǎng)關發(fā)數(shù)據(jù)，而 不是通過正常的路由器途徑上網(wǎng)。在pc看來，就是上不了網(wǎng)了,“網(wǎng)絡掉線了”。一般來說，arp欺騙攻擊的后果非常嚴重，大 多數(shù)情況下會造成大面積掉線。3、遭受arp欺騙攻擊時的現(xiàn)象arp欺騙攻擊后現(xiàn)象表現(xiàn)為：使用局域網(wǎng)時會突然掉線，過 一段時間后又會恢復正常。比如客戶端狀態(tài)頻頻變紅，用戶頻繁 斷網(wǎng)，ie瀏覽器頻繁出錯，以及一些常用軟件出現(xiàn)故障等。如 果局域網(wǎng)中是通過身份認證上網(wǎng)的，會突然出現(xiàn)可認證，但不能 上網(wǎng)的現(xiàn)象（無法ping通網(wǎng)關），重啟機器

11、或在ms-dos窗口下 運行命令arp -d后，又可恢復上網(wǎng)。4、遭受arp欺騙攻擊的危害arp欺騙攻擊只需成功感染一臺電腦，就可能導致整個局域 網(wǎng)都無法上網(wǎng)，嚴重的甚至可能帶來整個網(wǎng)絡的癱瘓。發(fā)作時除 了會導致同一局域網(wǎng)內(nèi)的其他用戶上網(wǎng)出現(xiàn)時斷時續(xù)的現(xiàn)象外，還會竊取用戶密碼，如盜取qq密碼、盜取各種網(wǎng)絡游戲密碼和賬號去做金錢交易，盜竊網(wǎng)上銀行賬號來做非法交易活動等給用戶造成了很大的不便和巨大的經(jīng)濟損失。三、arp欺騙防護技術初探1、arp欺騙攻擊的發(fā)現(xiàn)局域網(wǎng)內(nèi)一旦有arp的攻擊存在，會欺騙局域網(wǎng)內(nèi)所有主機 和網(wǎng)關，讓所有上網(wǎng)的流量必須經(jīng)過arp攻擊者控制的主機。其 他用戶原來直接通過網(wǎng)關上網(wǎng)

12、，現(xiàn)在卻轉由通過被控主機轉發(fā)上 網(wǎng)。由于被控主機性能和程序性能的影響，這種轉發(fā)并不會非常 流暢，因此就會導致用戶上網(wǎng)的速度變慢甚至頻繁斷線。另外 arp欺騙需要不停地發(fā)送arp應答包，會造成網(wǎng)絡擁塞。一旦懷疑有arp攻擊，我們就可以使用抓包工具來抓包，如 果發(fā)現(xiàn)網(wǎng)內(nèi)存在大量arp應答包，并且將所有的ip地址都指向 同一個mac地址，那么就說明存在arp欺騙攻擊，并且這個mac 地址就是用來進行arp欺騙攻擊的主機mac地址，我們可以查出 它對應的真實ip地址，從而采取相應的控制措施。另外，我們 也可以到路由器或者網(wǎng)關交換機上查看ip地址與mac地址的對 應表，如果發(fā)現(xiàn)某一個mac對應了大量的i

13、p地址，那么也說明 存在arp欺騙攻擊，同時通過這個mac地址查出用來arp欺騙攻 擊的主機在交換機上所對應的物理端口，從而進行控制。2、arp欺騙攻擊的防護(1) 在客戶端使用arp命令綁定網(wǎng)關的真實mac地址命令如下：arp(先清除錯誤的arp表)arp 192. 168. 1. 1 03-03-03-03-03-03 (靜態(tài)指定網(wǎng)關的 mac地址)(2) 在交換機上做端口與mac地址的靜態(tài)綁定。(3) 在路由器上做ip地址與mac地址的靜態(tài)綁定。(4) 使用“arp server”按一定的時間間隔廣播網(wǎng)段內(nèi)所 有主機的正確ip-mac映射表。(5) 建立mac數(shù)據(jù)庫，把局域網(wǎng)內(nèi)所有網(wǎng)卡的

14、mac地址記 錄下來，每個mac和ip、地理位置統(tǒng)統(tǒng)裝入數(shù)據(jù)庫，以便及時 查詢備案。(6) 最主要是要提高安全意識，養(yǎng)成良好的安全習慣，包 括：及時安裝系統(tǒng)補丁程序；為系統(tǒng)設置強壯的密碼；安裝防火 墻；安裝有效的殺毒軟件并及時升級病毒庫；不主動進行網(wǎng)絡攻 擊，不隨便運行不受信任的軟件。參考文獻1鄧清華，陳松喬.arp欺騙攻擊及其防范j 微機發(fā)展,2004, 14(8): 126-128. 孟曉明.給予arp的網(wǎng)絡欺騙的檢測與防范j.信息技術,2005(5):41-44.3 徐功文，陳曙，吋研會.arp協(xié)議攻擊原理及其防范措施j.網(wǎng)絡與信息安 全,2005, (1) :4-6.4 張海燕mrp漏洞及其防范技術j.網(wǎng)絡安全,2005, (4):40-42.5 王佳，李志蜀.基于arp協(xié)議的攻擊原理分