局域网ARP欺骗攻击与防御.docx

局域网ARP欺骗攻击与防御
DefenseSystemforARPSpoofingunderLAN
JIANGWei，LIUHao-ran，ZHANGChun-bin
(SouthCenterUniversityforNational播，中毒电脑自身伪装成网关的特
性，就可以快速锁定中毒电脑。可以设想用程序来实现以下功能:
在网络正常的时候，牢牢记住正确网关的IP地址和MAC&址，
并且实时监控来自全网的AR暇据包，当发现有某个AR暇据包广播，其IP地址是正确网关的IP地址，但是其MAC&址竟然是其他电脑的MAC&址的时候，这时，无疑是发生了ARP欺骗。对此可疑MAC&址报警，再根据网络正常时候的IP一MAC&址对
照表查询该电脑，定位出其IP地址，这样就定位出攻击者了。
检测ARPM址欺骗攻击的方法有三种：
niffer嗅探法
当局域网中有ARPM址欺骗时，往往伴随着大量的ARP欺骗广播数据包，这时，流量检测机制应该能够很好地检测出网络的
异常举动，利用Ethereal之类的抓包工具找出大量发送ARPT播包的机器，这基本上就可以当作攻击者进行处理。
命令提示符法
在开始f运行中输入cmd,在弹出的命令窗口中输入系统自带的
AR脸令即可完成。当局域网中发生ARP欺骗攻击的时候，
攻击者会向全网不停地发送ARP欺骗广播，这时局域网中的其他主机就会动态更新自身的ARP8存表，将网关的MAC&址记录成攻击者本身的MAC&址，此时，我们只要在其受影响的主机中使用“ARP-A”命令查询一下当前网关的MACM址，就可知道攻击者的MAO址。例如,输入“ARP-A',命令后的返回信息如下：
Interface:---0x2
InternetAddressPhysicalAddressType
.100-41-57-57-44-67static
.900-0b-2f-1a-28-b5dynamic
因当前电脑的ARP表是错误的记录，故该MAC&址不是真正网关的MACfe址，而是攻击者的MACfe址。此时，再根据网络正常时，全网的IP-MAC地址对照表，查找攻击者的IP地址就可以了。
利用相关软件工具
现在只要通过百度或者Google一下便能找到很多ARP（病毒）定位工具，如AntiARPSniffer（现已更名为ARFB火墙）、ArpDog监控软件、360安全卫士（360ARFB火墙部分）；其中做的比较好的是ARFW火墙。利用此类软件，我们可以轻松地锁定ARP攻击者的MAC&址。然后，我们根据欺骗机的MAC&址，
对比查找全网的IP-MAC地址对照表，即可查出攻击者。
ARP地址欺骗攻击的防御
ARP综合防护体系中的具体方法主要有：
设置静态的MACtoIP对应表，并防止Hacker刷新静态转换表。莫把网络安全信任关系建立在IP基础上或MACS
础上，尽量将信任关系应该建立在IP+MAC上o
使用防火墙隔离非信任域对内网机器的AR的传输。
定期使用RARP青求来检查ARP响应的真实性。
定期检查主机上的ARPg存。
使用ARPW测工具，探测非法ARP广播数据帧。
计算机系统安全加固
常见的ARP攻击常常以病毒程序的形式存在。其中传播甚广
的有“网游大盗”、“高波”等，这些ARP病