“局域网ARP攻击与防御研究”文献综述

“局域网ARP攻击与防御研究”文献综述摘要：随着网络、电子通信等技术的发展,互联网的接入,网络的应用越来越深入的到社会的各个行业。但是由于网络的开放性、资源的共享性、连接形式的多样性、终端分布的不均匀性以及网络边界的不可知性,网络中必然存在众多潜在的安全隐患。目前,ARP病毒在局域网内广为传播,其发作时,会向全网发送伪造的ARP数据包,干扰整个网络的运行,造成用户信息被盗窃、网络不稳定、频繁中断甚至瘫痪,故其危害性很大,ARP攻击已经成为局域网中常见的攻击手段，掌握ARP的攻击原理以及防御方法，对局域网运行安全具有十分重要的意义。关键字：ARP局域网ARP攻击ARP病毒1.局域网概述1.1局域网简介局域网(LocalAreaNetwork)[6]是在一个有限范围内(如一个公司、学校和单位内)，将很多计算机、外部设备和数据库等相互联接起来组成的一个网络通道。它可以通过数据通信网或专用数据电路，与其他的局域网、数据库或处理中心互相连接，构成一个大范围的信息处理系统网络，被称作局域网，英文简称LAN，是指在某一区域内由多台计算机互联成的计算机组。“某一区域”指的是同一单位办公室、同一建筑物和同一学校等。局域网可以应用软件共享、实现文件管理、扫描仪共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。1.2局域网特点1.2.1局域网特点局域网是将小范围的通信设备连在一起的通信网。一般说来，局域网有以下特点：1）为一个单位所拥有，且地理范围和站点数目均有限；2）较高的通信速率。局域网的传输速率在每秒10Mbps的数量级以上，可达Gbps；3）较低的时延和误码率，一般为10-8～10-11；4）各站点为平等关系而不是主从关系；5）能支持简单的点对点或多点通信；6）支持多种传输介质。与多用户系统相比，局域网有如下一些主要优点：1）能方便共享昂贵的外设、主机以及软件、数据，从一个站点访问全网；2）便于系统的扩展和逐渐地演变；3）提高了系统的可靠性和可用性；4）响应速度较快；5）各设备的位置可灵活地调整和改变，有利于数据的处理和办公自动化。1.2.2局域网的拓扑结构就通信网而言，拓扑结构是指连到网络的末端点或站实现互连的方式。局域网的常见的拓扑结构有星型、环型、总线型和树型等。2.ARP概述2.1ARP协议(地址解析协议)ARP,全称AddressResolutionProtocol,中文名为地址解析协议[1][2]错误!未找到引用源。,它工作在数据链路层,在本层和硬件接口联系,同时对上层(网络层)提供服务。在以太网中,由于以太网设备并不识别32位的IP地址,所以数据包的传送不是通过IP地址,而是通过48位MAC地址(网卡的物理地址)来完成的。也就是说,在以太网中,一台主机要和另一台主机进行直接通信,必须要知道目标主机的NAC地址。但这个目标主机的MAC地址我们如何获得呢?它就是通过地址解析协议(ARP)获得的。ARP协议用于将网络中的IP地址解析为MAC地址,以保证通信的顺利进行。2.2ARP协议的基本功能在以太网协议中规定，同一局域网中的一台主机要和另一台主机进行直接通信，必须要知道目标主机的MAC地址。而在TCP/IP协议栈中，网络层和传输层只关心目标主机的IP地址。这就导致在以太网中使用IP协议时，数据链路层的以太网协议接到上层IP协议提供的数据中，只包含目的主机的IP地址。于是需要一种方法，根据目的主机的IP地址，获得其MAC地址。这就是ARP协议要做的事情。所谓地址解析（addressresolution）就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。2.3ARP工作原理每台安装TCP/IP协议的电脑主机都有一个ARP高速缓存错误!未找到引用源。错误!未找到引用源。错误!未找到引用源。，存放着其他主机的IP地址和MAC地址的映射关系。当源主机需要将一个数据包发送到目的主机时，首先检查自己ARP列表中是否存在该IP地址对应的MAC地址，如果存在，就直接将数据包发送到该MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP广播包有源主机的IP地址、硬件地址以及目的主机的IP地址等。网络中所有的主机收到这个ARP请求后，会自动检查该包中的目的IP是否和自己的IP地址一致，如果不同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个ARP响应数据包，告诉对方自己是其需要查找的MAC地址。源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据传输。如果源主机一直没有收到ARP响应数据包，则表示ARP查询失败。3.arp的攻击方式ARP攻击[2]错误!未找到引用源。错误!未找到引用源。错误!未找到引用源。错误!未找到引用源。是指攻击者利用地址解析协议本身的运行机制而发动的攻击行为，包括对主机发动IP冲突攻击、数据包轰炸、切断局域网上任何一台主机的网络连接等。3.1ip地址冲突ARP病毒制造者制造出局域网上有另一台主机与受害主机共享一个IP错误!未找到引用源。的假象。由于违反了唯一性的要求，受害主机会自动向用户弹出警告对话框。大量的攻击数据包能令受害主机耗费大量的系统资源。3.2arp泛红攻击攻击主机持续把伪造的MAC-IP映射对发给受害主机，对于局域网内的所有主机和网关进行广播，抢占网络带宽和干扰正常通信。3.3arp扫描攻击攻击源向局域网内的所有主机发送ARP请求，从而获得正在运行主机的IP和MAC地址映射对。攻击源通过ARP扫描获得所要攻击主机的IP和MAC地址，从而为网络监听、盗取用户数据，实现隐蔽式攻击做准备。3.4虚拟主机攻击网络黑客通过在网络内虚拟构建网卡，将自己虚拟成网络内的一台主机，拥有虚拟的物理地址和IP地址。主要通过在链路层捕获所有流经的ARP请求数据包进行分析，若是对虚拟主机的ARP请求，就会发送对应虚拟物理地址的ARP响应，并且虚拟主机本身也会发送ARP请求。虚拟主机攻击会占用局域网内的IP地址资源，使得正常运行的主机发生IP地址冲突，并且大量的虚拟主机攻击会使局域网内的主机无法正常获得IP地址。3.5arp欺骗攻击ARP欺骗攻击错误!未找到引用源。错误!未找到引用源。错误!未找到引用源。的核心就是向目标主机发送伪造的ARP应答，并使目标主机接收应答中伪造的IP与MAC间的映射，并以此更新目标主机缓存。4.ARP欺骗攻击防范措施对于网络频繁出现堵塞，甚至“掉线”的现象，采取在客户端安装ARP防火墙或开启局域网ARP防护等手段来解决。如开启360安全卫士的实时保护选项里的“局域网ARP攻击拦截”这一选项，能有效地降低网络故障率。同时，为了加强对服务器端和客户端计算机的管理，可采取以下措施。4.1在客户端静态绑定ip地址和mac地址常见的ARP欺骗是针对网关进行攻击的，用户可以在电脑上绑定网关IP地址和网关MAC地址，以防止ARP欺骗。4.2设置arp服务器指定局域网内部的一台机器作为ARP服务器，专门保存并且维护可信范围内的所有主机的IP地址与MAC地址映射记录。该服务器通过查阅自己的ARP缓存的静态记录，并以被查询主机的名义响应局域网内部的ARP请求，同时可以设置局域网内部其他主机只使用来自ARP服务器的ARP响应。4.3交换机端口的设置利用交换机等设备具有管理端口及节点的MAC地址功能的特点，将网络进行分段。该交换机知道所连主机的MAC地址，并将这些MAC地址及其对应的端口保存在内部表格中。当某个端口接收到ARP数据包时，交换机就会将包中记录的源地址与端口读到的源地址进行比较，如果源地址发生了改变，通知发送到管理工作站，该端口被自动禁止直到冲突解决为止。4.4使用具有ARP防护功能的路由器这类路由器中提到的ARP防护功能,其实它的原理就是定期的发送自己正确的ARP信息。以侠诺FVR420V路由器为例,首先打开浏览器输入路由器IP地址,进入登陆界面,接着输入用户名和密码进入管理页面,在管理页面左边的选项栏中点击�防火墙配置!,然后选择防止ARP病毒攻击!一项,再根据网络具体情况输入防止ARP病毒攻击每秒发送的帧即可。4.5在路由器端绑定用户IP/MAC地址现在有很多路由器提供IP/MAC绑定功能,你可以将内网的电脑的IP与对应的MAC地址绑定在一起,使路由器对没有绑定的IP/MAC将其封锁,当内网有ARP欺骗攻击的时候,其伪造IP/MAC向路由器发送消息,这时候由于伪造的IP/MAC并不在路由器的IP/MAC绑定列表里面,路由器会拒绝这类消息,将其挡掉。4.6配置安全的防火墙软件根据自身情况,有选择地配置安全的防火墙软件.一般来说,有质量保证的防火墙软件被安装在正常主机上后,能有效地防范自身被ARP欺骗,并能检测出感染主机的MAC地址.如果防火墙软件被安装在感染主机上时,它可以阻断感染主机对外发起的ARP欺骗攻击.但是防火墙软件不是杀毒软件,一般不具备查杀ARP病毒的能力.5.总结：局域网病毒是网络发展到一定规模的产物,它的能量极大,但它的危害性又取决于人们对它的认识、关注和防范的程度.因此,树立和健全必要的前瞻性局域网防范意识和防范措施非常必要.(1)局域网病毒是网络病毒的一个分支,它与生物学上的病毒有着本质上的区别,前者是靠高超的复制手段迅速膨胀其阵营,而后者则是靠自身的超强繁殖能力而迅速发展壮大,因此,网络病毒具有其先天性的不足.(2)网络病毒是网络黑客为了达到自身利益或目的臆造出来的,因而它们的攻击始终都无法摆脱原来就设计好的程序,具有被制服、被围歼的致命弱点.因此当有关部门提醒重大病毒来临时,广大用户大可不必谈虎色变,只要操作无误、防范措施到位,就能安然渡过.因为作为局域网的管理者早就尽一切可能做好防患准备.(3)由于大部分黑客对网络系统十分熟悉,他们对网络的攻击能力、手法与日俱增,其阵营日益扩大.因此加快网络立法和建立良好的网络运行机制,有针对性地引进先进局域网的防范技术和研究应对策略,开发更新的局域网的防范体系,加强前瞻性局域网的防范意识和措施,不断完善和提高局域网自身的管理水平十分必要.参考文献[1]维基百科:ARP.[2]维基百科:ARP欺骗攻击.[3]维基百科:QQ.[4]维基百科:飞信.[5]维基百科:MSN.[6]维基百科:局域网.[7]韩钏,杨晓云，王照环.ARP病毒防治[J].信息化,2009(06):64-65.[8]唐德权.浅谈图书馆网络ARP攻击与防御[J].哈尔滨商业大学,2010（09）:83-84.[9]罗永昌,王基一.ARP攻击原理及局域网防范[J].商丘职业技术学院学报,2008(02):42-45.[10]昊慧敏.局域网ARP欺骗攻击及防御方案[J].同络矗讯及安,2008(05):869-871.[11]徐连霞.ARP攻击识别及防范措施[J].宁波职业技术学院学报,2009(02):99-102.[12]陈博超.关于对局域网IP冲突的研究[J].软件导刊,2010(02):111-112.[13]李书利.ARP欺骗防范初探[J].信息安全技术及应用,2007(06):37-38.[14