您好, 访客   登录/注册

ARP协议简析及校园网ARP安全防范措施浅探

来源:用户上传      作者: 陈 曦

  摘 要:局域网中的计算机系统常常受到一种“地址解析协议欺骗”(ARP欺骗)的恶意木马程序的入侵破坏,严重影响了局域网中用户计算机系统的正常运行。作者结合当前网络环境的实际情况,以及本人这些年来从事校园网络维护的经验,以网络的高效与安全为出发点全面而概述地谈ARP协议与ARP欺骗攻击防范方面的问题。
  关键词:ARP协议 缺陷 防范
  
  一、ARP协议及工作原理
  1.ARP协议简介
  在TCP/IP协议中,每一个网络结点是用IP地址标识的,IP地址是逻辑地址。而在以太网中数据包是靠48位MAC地址(物理地址)寻址的。因此必须建立IP地址与MAC地址之间的对应(映射)关系,ARP协议就是为完成这个工作而设计的。
  ARP协议,全称Address Resolution Protocol(地址解析协议),在局域网中以帧的方式进行传输数据,并且根据帧中目标
  主机的MAC地址来进行寻址。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询MAC地址,以保证通信的进行。
  2.ARP协议的工作原理
  首先,每台主机都会在自己的ARP缓冲区中建立一个ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包发送到目的主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
  二、ARP协议的缺陷
  ARP协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。它是无状态的协议,不会检查自己是否发过请求包,也不管是否是合法的应答,只要收到目标MAC是自己的ARP reply包或ARP广播包,都会接受并缓存。这就为ARP欺骗提供了可能。
  三、ARP的主要欺骗及攻击方式
  从影响网络连接通畅的方式来看,ARP欺骗分为两种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
  1.ARP欺骗
  ARP欺骗的原理是――截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。
  2.PC网关欺骗
  它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
  四、ARP攻击的主要防范措施
  1.IP地址和MAC地址的静态绑定
  (1)在用户端进行绑定
  ARP欺骗是通过ARP的动态刷新,并不进行验证的漏洞,来欺骗内网主机的,所以我们把ARP表全部设置为静态可以解决对内网的欺骗,也就是在用户端实施IP和MAC地址绑定,可以在用户主机上建立一个批处理文件,此文件内容是绑定内网主机IP地址和MAC地址,并包括网关主机的IP地址和MAC地址的绑定,并把此批处理文件放到系统的启动目录下,使系统每次重启后,自动运行此文件,自动生成内网主机IP地址到MAC地址的映射表中。
  (2)在交换机上绑定
  在核心交换机上绑定用户主机IP地址和网卡的MAC地址,同时在边缘交换机上将用户计算机网卡的IP地址和交换机端口绑定的双重安全绑定方式。这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取,可以防止非法用户随意接入网络,从而降低了ARP攻击的概率。
  2.采用VLAN技术隔离端口
  将局域网划出若干个VLAN,当发现有非法用户在恶意利用ARP欺骗攻击网络,网络管理员可先找到该用户所在的交换机端口,然后将该端口划一个单独的VLAN,将该用户与其他用户进行隔离,以免影响其他用户。
  3.采取802.1X认证
  802.1X认证可以将使未通过认证的主机隔离,当发现某台主机中毒时,将禁止其认证从而达到将中毒主机隔离网络的目的。
  4.防火墙和杀毒软件
  可以安装ARP防火墙或者开启局域网ARP防护,比如360安全卫士等ARP病毒专杀工具,并且实时下载安装系统漏洞补丁,关闭不必要的服务等来减少病毒的攻击。
  我们通过以上综合的方法来解决ARP病毒攻击是行之有效的。虽然ARP病毒版本不断更新,给校园网不断带来新的冲击与危害,但如果能够提前做好防制工作,相信ARP的危害会减少到最小的程度。
  参考文献
  [1]钱林红,肖永刚.局域网内ARP攻击与防护[J].电脑知识与技术(学术交流).2007.12.
  [2]叶倩文.校园网内对ARP攻击的处理及防御[J].中国科技信息.2010.3.
  作者单位:江苏南通体臣卫生学校


转载注明来源:https://www.xzbu.com/9/view-926830.htm