ARP攻击原理及防范

ARP攻击原理及防范PrincipleandPreventionofARPAttacksDCN--韩亚乾什么是ARP一台主机要和另一台主机进行通信，必须要知道另一台主机的IP地址，但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的，只能识别其MAC地址。MAC地址是48位的，通常表示为12个16进制数，每2个16进制数之间用“-”或者冒号隔开，如：FF-FF-FF-FF-FF-FF就是一个MAC地址。每一块网卡都有其全球唯一的MAC地址，网卡之间发送数据，只能根据对方网卡的MAC地址进行发送，这时就需要一个将数据包中的IP地址转换成MAC地址的协议，而这个重要的任务将由ARP协议完成。ARP全称为AddressResolutionProtocol，即地址解析协议。所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。ARP协议工作原理在以太网中，数据传输的目标地址是MAC地址，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。计算机使用者通常只知道目标机器的IP信息，“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。简单地说，ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址，即网卡的MAC地址，保障通信顺利进行。172.16.3.1172.16.3.2IP:172.16.3.2=???我需要知道176.16.3.2的物理地址.ARP协议工作原理172.16.3.1172.16.3.2IP:172.16.3.2=???我知道你的请求，这是我的物理地址我需要知道176.16.3.2的物理地址.ARP协议工作原理172.16.3.1IP:172.16.3.2Ethernet:0800.0020.1111172.16.3.2IP:172.16.3.2=???我知道你的请求，这是我的物理地址我需要知道176.16.3.2的物理地址.ARP协议工作原理什么是ARP欺骗？每个主机都用一个ARP高速缓存存放最近IP地址到MAC地址之间的映射记录。默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，完成ARP欺骗。一个简单的案例主机A192.168.0.1AA-AA-AA-AA-AA-AA主机C192.168.0.3CC-CC-CC-CC-CC-CC主机B192.168.0.2BB-BB-BB-BB-BB-BBARP应答包：主机B的MAC地址为CC-CC-CC-CC-CC-CC主机A的ARP缓存表192.168.0.2BB-BB-BB-BB-BB-BBdynamic主机A192.168.0.1AA-AA-AA-AA-AA-AA主机C192.168.0.3CC-CC-CC-CC-CC-CC主机B192.168.0.2BB-BB-BB-BB-BB-BBARP应答包：主机B的MAC地址为CC-CC-CC-CC-CC-CC主机A的ARP缓存表192.168.0.2CC-CC-CC-CC-CC-CCdynamic一个简单的案例主机A192.168.0.1AA-AA-AA-AA-AA-AA主机C192.168.0.3CC-CC-CC-CC-CC-CC主机B192.168.0.2BB-BB-BB-BB-BB-BB发给主机B的信息主机A的ARP缓存表192.168.0.2CC-CC-CC-CC-CC-CCdynamic一个简单的案例主机A192.168.0.1AA-AA-AA-AA-AA-AA主机C192.168.0.3CC-CC-CC-CC-CC-CC主机B192.168.0.2BB-BB-BB-BB-BB-BB发给主机B的信息主机A的ARP缓存表192.168.0.2CC-CC-CC-CC-CC-CCdynamic•主机C通过这种方式可以窃取主机A发送给主机B的信息；•为了使过程更加隐蔽，主机C还可以将数据包转发给主机B，从而使主机A和B都不能察觉，这种攻击方式称为ManInTheMiddle－－中间人攻击。•中间人攻击经常被用来窃取帐号信息，如传奇木马；还可以在转发数据的时候添加恶意程序。一个简单的案例主机A192.168.0.1AA-AA-AA-AA-AA-AA主机C192.168.0.3CC-CC-CC-CC-CC-CC网关192.168.0.2BB-BB-BB-BB-BB-BB需要经过网关中转的信息主机A的ARP缓存表192.168.0.2CC-CC-CC-CC-CC-CCdynamic•如果把主机B换成网关，会使主机A因为无法找到正确的网关，从而无法访问出去，造成上网中断；•同样，主机C可以开启IP转发功能，完成中间人攻击或者在转发的数据中添加恶意程序。同时可以监听整个网段内的数据通信。SiSi一个简单的案例ARP欺骗时的现象•网络掉线，但网络连接正常；•内网的部分PC机不能上网，或者所有电脑不能上网；•无法打开网页或打开网页慢；•局域网时断时续并且网速较慢等。如何快速判断自己被ARP欺骗？•出现异常，不能上网的情况下，打开“开始”－“运行”，在CMD窗口中输入“arp–d”，然后重新尝试上网，如果可以上网，说明之前是由于ARP欺骗造成的误区：不能上网的机器未必是感染了ARP病毒的机器，而应该是被ARP欺骗的机器。因此在该机器上杀毒是没有意义的。预防ARP欺骗的几点建议不要把你的网络安全信任关系建立在IP基础上或MAC基础上，理想的关系应该建立在IP+MAC基础上。设置静态的MAC--IP对应表，不要让主机刷新你设定好的转换表。除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。使用proxy代理IP的传输。使用硬件屏蔽主机。设置好你的路由，确保IP地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。管理员定期轮询，检查主机上的ARP缓存。