ARP攻击防御与检测.pdf.pdf

(石家庄铁路职业技术学院河北石家庄050041)摘要:在局域网中,利用TCP/IP协议安全漏洞进行欺骗攻击是目前最常见的一种方法。攻击者通过伪造网关MAC地址来阻断主机访问服务,-具检测,对ARP协议欺骗的方式进行揭示,:ARP攻击防御中图分类号::A文章编号:(2008),攻击者通过伪造IP地址和MAC地址实现ARP欺骗,攻击程序能够在很短时间能产生大量的ARP通信数据使网络阻塞;或者利用“maninthemiddle”进行ARP重定向和嗅探攻击,窃取用户信息;甚至可以通过伪造源MAC地址发送ARP响应包,对交换机的ARP高速缓存机制进行欺骗,对整个局域网的正常运行带来很大影响。1ARP协议工作原理在TCP/IP协议中,每一个网络结点都有一个唯一的IP地址作为网络标识,而以太网设备并没有识别32位IP地址的能力。在以太网中,数据的传输是靠48位MAC地址寻址的,因此,必须在IP地址与MAC地址之间建立一个映射关系,ARP协议就是为完成这个工作而设计的。ARP,全称AddressResolutionProtocol,中文名为地址解析协议,它工作在数据链路层,和硬件接口直接联系,同时对上层(IP层)提供服务,负责通知主机要连接的目标MAC地址。简单的说,ARP的作用就是通过IP地址来查询目标主机的MAC地址,其报头结构如图l所示。一旦这个环节出错,主机就不能正常地和目标主机进行通信了。硬件类型协议类型硬件地址长度协议长度一操作类型发送方的硬件地址(O~3)字节源物理地址(4~5字节)源IP地址(O~l字节)源IP地址(2~3字节)目标硬件地址(O~l字节)目标硬件地址(2~5字节)目标IP地址(0~3字节)图1ARP报头结构收稿日期:2007-10-09作者简介:李筱楠(1981一),男,汉,河北石家庄人,学士,研究方向计算机网络安全和计算机教育。56维普资讯李筱楠,等ARP攻击防御与检测主机的TCP/IP协议栈中保存着一个ARPcache表,在构造网络数据包时,主机会首先从ARPcache表中查找目标IP对应的MAC地址;如果找不到,主机会发送一个ARPrequest广播包,请求具有该IP地址的主机报告其MAC地址,当收到目标IP所有者的ARPreply后,更新本地ARPcache,并完成通信连接。2ARP协议缺陷ARP协议的可靠性是建立在局域网内所有结点均为受信结点的基础上的,它很高效,但却不安全。因为它是无状态协议,不会检查自己是否发过请求包,同时也没有相应的安全机制检验接收到的数据包是否为合法应答,只要收到目标MAC是自己的ARPreply包或ARP广播包(包括ARPrequest和ARPreply),都会接受并更新本地ARPcache。这就为ARP欺骗提供了可能,攻击者可以发布虚假的ARP报文对主机进行欺骗,从而影响网内结点间的通信。,提供