基于ARP的网络攻击与防御

网络攻击

基于ＡＲＰ的网络攻击与防御

金

星

（日照广播电视大学，山东日照２７６８２６）

摘要：分析了ＡＥＰ欺骗攻击的基本原理，列举了几种常见的攻击方式，并提出相关的＾．髓攻击的防御方法。关键词：＾ＲＰ协议；网络系统；攻击；防御

Ｂａｓｅｄ

ｏｎ

ｔｈｅＡＲＰＮｅｔｗｏｒｋＡｔｔａｃｋａｎｄＤｅｆｅｎｓｅ

ｄｉＮＸｉｎｇ

｛黼髓哟删７＂ｏ／ｅｖ／翰＃／Ｊ／ｚ／ｖｏｍ＃ｙ，戳铀ｏ．霸赫橛ｌｇ￡ｏＴｄｄ＿２ｄ，锄姚）

Ａｂｓｔｒａｃｔ：Ｉｎ舶ｐａｐｅｒ伽ｂａｓｉｃ

ｍｅｔｈｏｄｓｏｆＫｅｙ

ｄｅｌｅｎｓｅａｇａｉｎｓｔｔｈｅ

ｐＩ’ｉｎｃｉｐＩｅｏｆ＾ＰｏＰｄｅｃｅｐｔＪｏｆｌａｔ协ｃｋ，ｅｎｕｍｅｐａｔ七ｄｓｅｖｅｒａｌｋＭｏｆ

ｃ０删ａｔｔａｃｋ

ｍｏｄｅ，ａｎｄｐｕｔｓ

ｆｏｒｗａｒｄＳＯｌＩｌｅ

Ａ胛．

ｓｙｓｔｅｍ，Ａｔｔａｄｌ，ｄｅｆｅｎｓｅ

ｗｏｒｄｓ：＾肿ｐｒｏｔｏｃｏｌ，Ｎｅｔｗｏｒｋ

１引言

Ａ

并利用此信息开始数据的传输。如果源主机一直没有收到ＡＲＰ响应数据包，表示ＡＲＰ查询失败。

ＲＰ，即地址解析协议，通过ＩＰ地址得知其物理地

址。在ＴＣＰ／ＩＰ网络环境下，每个主机都分配了一个３２位

的ＩＰ地址，这种互联网地址是在网际范围标识主机的一种

逻辑地址。为了让报文在物理网路上传送，必须知道对方目的主机的物理地址，这样就存在把ＩＰ地址变换成物理地址的地址转换问题。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的３２位ＩＰ地址转换成为４８位以太网的地址。这就需要在互联层有一组服务将口地址转换为相应物理地址，这组协议就是ＡＲＰ协议。

３

ＡＲＰ攻击方式分析

（１）ＡＲＰ攻击：指攻击者利用地址解析协议本身运行

机制而发动的攻击行为。

（２）ＩＰ冲突攻击：制造出局域网上有另一台主机与受害主机共享一个ＩＰ的假象。由于违反了惟一性的要求，受害主机会自动向用户弹出警告对话框。大量的攻击数据包能令受害主机耗费大量的系统资源。

（３）ＡＲＰ溢出攻击：攻击主机持续把伪造的ＭＡＣ－ＩＰ

２

ＡＲＰ协议的工作原理

（１）首先，每台主机都会在自己的ＡＲＰ缓冲区（ＡＩ心

映射对发给受害主机，受害主机会耗费大量的系统资源去维护ＡＲＰ高速缓存。可以进一步采用分布式攻击，由一台进攻主机控制远端几台中间主机发动攻击，可以取得更好的攻击效果。

Ｃａｃｈｅ）中建立一个ＡＲＰ列表，以表示ＩＰ地址和ＭＡＣ地址的对应关系。

（２）当源主机需要将一个数据包要发送到目的主机时，

会首先检查自己ＡＲＰ列表中是否存在该ＩＰ地址对应的ＭＡＣ地址，如果有，就直接将数据包发送到这个ＭＡＣ地址；如果没有，就向本地网段发起一个ＡＲＰ请求的广播包，查询此目的主机对应的ＭＡＣ地址。此ＡＲＰ请求数据包里包括源主机的ＩＰ地址、硬件地址、以及目的主

（４）ＡＲＰ欺骗：为了节省网络资源以及通讯时间，多

数操作系统会保留一张ＡＲＰ缓存表，里面记录曾经访问的ＩＰ和ＭＡＣ地址影射记录，一旦局域网中有一个新的ＡＲＰ广播，对应一个ＩＰ到ＭＡＣ的记录，这个ＡＲＰ缓存表就会被刷新，ＭＡＣ地址会更换成新的广播包里定义的ＭＡＣ地址。这个时候就存在一个问题，在更新的时候系统并没有去检查是否真的是由该机器广播出来的，局域网中的恶意用户就会利用欺骗的方式来更改网络途径，将真正的ＭＡＣ地址替换成自己的ＭＡＣ地址。

（５）ＡＲＰ欺骗攻击：攻击主机只要欺骗两台准备通信的主机的任一台，伪造另一台的ＭＡＣ地址，就可以终止两台主机之间的任何基于ＩＰ的通信。动态映射对存在过期的问题，而且主机Ｂ、Ｃ之间也会进行正常的ＡＲＰ数据包交互。要解决这个问题，主机Ａ可以选择比较小的时间间隔持续发送伪造的数据包，就可以使Ｂ、Ｃ间通信一直中断。

机的ＩＰ地址。

（３）网络中所有的主机收到这个ＡＲＰ请求后，会检查数据包中的目的ＩＰ是否和自己的ＩＰ地址一致。如果不相同就忽略此数据包｛如果相同，该主机首先将发送端的ＭＡＣ地址和ＩＰ地址添加到自己的ＡＲＰ列表中，如果ＡＲＰ表中已经存在该ＩＰ的信息，则将其覆盖，然后给源主机发送一个ＡＲＰ响应数据包，告诉对方自己是所需要查找的ＭＡＣ地址。

（４）源主机收到这个ＡＲＰ响应数据包后，将得到的目

的主机的ＩＰ地址和ＭＡＣ地址添加到自己的ＡＲＰ列表中，

万方数据

网络攻击

４解决方法

对于ＡＲＰ欺骗，提出几点加强安全防范的措施。首先，可以肯定发送ＡＲＰ欺骗包是由一个恶毒的程序自动发送的，正常的ＴＣＰ／ＩＰ网络是不会有这样的错误包发

送的。这就假设，如果犯罪嫌疑人没有启动这个破坏程序

的时候，网络环境是正常的，或者说网络的ＡＲＰ环境是正常的，如果能在犯罪赚疑人启动这个犯罪程序的第一时间，一开始就发现了他的犯罪活动，那么就是人赃俱在，不可抵赖了，因为刚才提到，前面网络正常的时候证据是可信赖的和可依靠的。

ＡＲＰ欺骗的原理如下：

假设有这样一个网络，一个Ｈｕｂ接了三台机器：

ＨｏｓｔＡ，ＨｏｓｔＢ，ＨｏｓｔＣ，其中：

Ａ的地址为：

口：１９２．１６８．８．１ＭＡＣ：ＡＡ—ＡＡ—ＡＡ—ＡＡ—ＡＡ—ＡＡＢ的地址为：

ＩＰ：１９２．１６８．８．２ＭＡＣ：ＢＢ—ＢＢ—ＢＢ—ＢＢ—ＢＢ—ＢＢ

Ｃ的地址为：

Ⅲ：１９２．１６８．８．３ＭＡＣ：ＣＣ—ＣＣ—ＣＣ—ＣＣ—ＣＣ—ＣＣ正常情况下：

Ｄ：＼Ｄｏｃｕｍｅｎｔｓａｎｄｓｅｔｔｉｎｇｓ＼ｌｅｎｏｖｏ＞ａｒｐ－ａ

Ｉｎｔｅｒｆａｃｅ：１９２．１６８．８．１一－－Ｏｘ２

Ｉｎｔｅｍｅｔ

ＡｄｄｒｅｓｓＰｈｙＳｉｃＭＡｄｄｒｅｓｓＴｙｐｅ１９２．１６８．８．３ＣＣ—ＣＣ—ＣＣ—ＣＣ—ＣＣ—ＣＣ

ｄｙｎａｍｉｃ

即：ＩＰ地址：１９２．１６８．８．１的机器在以太网上网络地址

物理地址

类型

１９２．１６８．８．３ＣＣ—ＣＣ—ＣＣ—ＣＣ—ＣＣ—ＣＣ

动态

现在假设ＨｏｓｔＢ开始了罪恶的ＡＲＰ欺骗：Ｂ向Ａ

发送一个自己伪造的ＡＲＰ应答，而这个应答中的数据为发送方ＩＰ地址是１９２．１６８．８．３（Ｃ的ＩＰ地址），ＭＡＣ地址是ＤＤ－ＤＤ－ＤＤ—ＤＤ—ＤＤ—ＤＤ（Ｃ的ＭＡＣ地址本来应该是ＣＣ—ＣＣ—ＣＣ—ＣＣ—ＣＣ—ＣＣ，这里被伪造了）。当Ａ接收到Ｂ伪造的ＡＲＰ应答，就会更新本地的ＡＲＰ缓存（Ａ不知道被伪造了）。而且，Ａ不知道其实是从Ｂ发送过来的，Ａ这里只有１９２．１６８．８．３（Ｃ的ＩＰ地址）和无效的ＤＤ—ＤＤ—ＤＤ—ＤＤ—ＤＤ—ＤＤ的ＭＡＣ地址，没有和犯罪分子Ｂ相关的证据。

现在Ａ机器的ＡＩ强缓存更新了：

Ｉｎｔｅｒｆａｃｅ：１９２．１６８．８．１～０ｘ２

Ｄ：＼ＤｏｃｕｍｅｎｔｓａｎｄＳｅｔｔｉｎｇｓ＼ｌｅｎｏｖｏ＞ａｒｐ—ａ

ＩｎｔｅｒｎｅｔＡｄｄｒｅｓｓＰｈｙｓｉｃａｌ

Ａｄｄｒｅｓｓ

Ｔｙｐｅ

１９２．１６８．８．３

ＤＤ—ＤＤ—ＤＤ—ＤＤ—ＤＤ—ＤＤｄｙｎａｍｉｃ

即：ＩＰ地址：１９２．１６８．８．１的机器在以太网上网络地址

物理地址类型

１９２．１６８．８．３

ＤＤ—ＤＤ—ＤＤ—ＤＤ—ＤＤ—ＤＤ动态

这可不是小事。局域网的网络流通不是根据ＩＰ地址进行，而是按照ＭＡＣ地址进行传输。现在１９２．１６８．８．３的ＭＡＣ地址在Ａ上被改变成一个本不存在的ＭＡＣ地址。

万方数据

现在Ａ开始Ｐｉｎｇ１９２．１６８．８．３，网卡递交的ＭＡＣ地址

是ＤＤ—ＤＤ—ＤＤ—ＤＤ—ＤＤ—ＤＤ，结果是什么呢？网络不通，Ａ根本不能Ｐｉｎｇ通Ｃ！

由上面分析的ＡＲＰ欺骗原理可以得到如下防范措施（１）建立ＤＨＣＰ服务器（建议建在网关上），因为ＤＨ

ＣＰ

不占用多少ＣＰＵ，而且ＡＲＰ欺骗攻击一般总是先攻击网关，我们就是要让他先攻击网关，因为网关这里有监控程

序的，网关地址建议选择１９２．１６８．８．２，把１９２．１６８．８．１留空，另外，所有客户机的ＩＰ地址及其相关主机信息，

只能由网关这里取得，网关这里开通ＤＨＣＰ服务，但是

要给每个网卡，绑定固定惟一ＩＰ地址。一定要保持网内

的机器ＩＰ／ＭＡＣ一一对应的关系。这样客户机虽然是

立ＭＡＣ数据库，把机房内所有网卡的ＭＡＣ地址记录下来，每个ＭＡＣ和ＩＰ，地理位置统统装入数据库，以便

及时查询备案。（３）网关机器关闭ＡＲＰ动态刷新的过程，使用静态路由，这样的话，即使犯罪嫌疑人使用ＡＲＰ欺骗攻击网关的话，这样对网关也是没有用的，确保主机安ＲＰ程序包，安装一个脚本分析软件分析数据库内，或者与自己网络ＭＡＣ数据库ＭＡＣ／ＩＰ不匹

通过以上几种方法来解决ＡＲＰ病毒对于局域网的欺ＲＰ病毒的防范工作，使ＲＰ病毒的危害减少到最小程度。对于各种类型的网金星（１９７０－－），男，硕士，日照广播电视大学，

０－０６－－２５

ＤＨＣＰ取地址，但每次开机的ＩＰ地址都是一样的。（２）建全。（４）网关监听网络安全。网关上面使用ＴＣＰ／ＤＵＭＰ程序截取每个Ａ这些ＡＲＰ协议。ＡＲＰ欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警：第一，以太网数据包头的源

地址、目标地址和ＡＲＰ数据包的协议地址不匹配。第二，ＡＲＰ数据包的发送和目标地址不在自己网络网卡ＭＡＣ配。这些统统第一时间报警，检查这些数据包（以太网数据包）的源地址（也有可能伪造），就大致知道哪台机器

在发起攻击了。

５结束语

骗攻击是比较有效果的。但是，由于ＡＲＰ病毒版本在不断更新升级中，仍会给局域网用户带来新的冲击与危害。因此，有必要提前做好局域网Ａ得Ａ络攻击，经常查看当前的网络状态，对网络活动进行分析、监控和采取积极、主动的防御行动是保证网络安全和畅通的重要方法。●

参考文献：

【１】陈英，马洪涛．局域网内ＡＲＰ协议攻击及解决办法【Ｊ】．中国安全科学学．２００７．

【２】王燕，张新刚．基于ＡＥＰ协议的攻击及其防御方法分析【Ｊ】．微计算机信息．２００７．

【５】马玲．如何防范校园网ＡＲＰ攻击【Ｊ】．黑龙江科技信息．２００９．作者简介．

助教，主要研究方向为计算机网络。收稿日期：２０１

网络攻击

基于ARP的网络攻击与防御

作者：作者单位：刊名：英文刊名：年，卷(期)：

金星， Jin Xing

日照广播电视大学,山东,日照,276826计算机安全

NETWORK AND COMPUTER SECURITY2010(9)

参考文献(3条)

1.马玲 如何防范校园网ARP攻击[期刊论文]-黑龙江科技信息 2009(6)

2.王燕;张新刚 基于ARP协议的攻击及其防御方法分析[期刊论文]-微计算机信息 2007(36)3.陈英;马洪涛 局域网内ARP协议攻击及解决办法 2007

本文链接：http://www.77cn.com.cn/Periodical_dzzwyjc201009021.aspx