局域网ARP欺骗攻击与防御-计算机论文.doc

局域网ARP欺骗攻击与防御-计算机论文[真诚为您服务]摘要:ARP协议存在着很多缺陷,攻击者正是利用这些漏洞实施ARP地址欺骗,对局域网的通信造成威胁。可通过Sniffer嗅探法、命令提示符法、或借助相关软件工具查找定位ARP地址欺骗攻击者。而对于如何防御的问题,则可采用对计算机系统安全加固,利用ARP杀毒软件、ARP攻击探测器等方法解决之。关键词:ARP地址欺骗;ARP协议;地址解析;ARP攻击与防御中图分类号::ADefenseSystemforARPSpoofingunderLANJIANGWei,LIUHao-ran,ZHANGChun-bin(SouthCenterUniversityforNationalities,HubeiWuhan430074)Keywords:LAN;spoof;defense遭受ARP地址欺骗攻击的局域网通常表现为:网络掉线,但网络连接正常;无法打开网页或打开网页慢;局域网时断时续并且网速较慢;局域网内的部分主机能正常访问局域网内的主机,但不能连接到外网,甚至不能访问同一网络内的其他VLAN主机,严重时局域网内所有主机不能上网。原因可能是因为局域网内有一台或若干台计算机感染了ARP地址欺骗类病毒。ARP病毒利用ARP协议存在的漏洞进行攻击,属于木马(Trojan)病毒,不具备主动传播的特性,不会自我复制。但由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,甚至使整个网络瘫痪,因此它的危害比一些蠕虫(Worm)病毒还要严重得多。为了避免遭受ARP地址欺骗的攻击,我们有必要讨论一下它的相关原理及防御措施。,英文全称“AddressResolutionProtocol”,中文译为“地址解析协议”。MAC地址是固化在网卡上串行EEPROM中的物理地址,是由48bit长(6字节),16进制的数字组成,0~23位是由厂家自己分配,24~47位叫做组织唯一标志符,是识别LAN(局域网)节点的标识。在局域网中,数据传输实际传输的是“帧”(frame),帧里面含有目标主机的MAC地址。在以太网()中两主机要想直接通信,就必须要知道目标主机的MAC地址,而目标主机的MAC地址就是通过“地址解析协议”—ARP获得的。它的基本功能是将目标的IP地址转换成目标的MAC地址。过程简单描述如下:这个转换过程是怎样来完成的呢?下面介绍ARP的工作原理。在安装有TCP/IP协议的电脑里都有一个ARP高速缓存表,以表示IP地址和MAC地址的对应关系。当主机α要向主机β发送数据时,主机α先要检查自己ARP列表中是否存有主机β的IP地址对应的MAC地址,如果有,就直接把主机β的MAC地址写入帧里发送给主机β;如果没有就向本网段发起一个ARP请求的广播包,查询主机β对应的MAC地址。此ARP请求数据包里包括主机α的IP地址、MAC地址、以及主机β的IP地址。当网络中的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。若不相同就忽略此数据包;若相同,则该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给主机α发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址