论文部分内容阅读
摘要:从ARP原理入手。探讨解决ARP攻击的方法,确保单位局域网正常连接,从而避免因局域网延误工作,学习。
关键词:ARP协议;ARP工作原理;ARP;攻击;ARP欺骗;MAC绑定
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)21-30434-01
The Discussion on the Principle of ARP Attack and Effective Methods
ZHAO Chong,WANG Hong-yan
(Baoding Fuchang Secondary Specialized Schools, Baoding 071000,China)
Abstract: Start from the arp principle and discuss the attack method of arp,make sure the narmal working of lan in company,prevent it from cutting off and lead to the delay.
Key words: arp agreement; arp principle; arp deception; mac bind
1 引言
近来,局域网中ARP病毒肆虏,尤其是传奇,QQ,网银等盗号木马。此类病毒轻则导致网络经常掉线,重则劫持网关设备,导致网关掉线,整个网络中的PC上网受限,影响工作和学习。靠杀毒只能暂时解决问题,且病毒传播速度快,令人防不胜防,安装ARP防火墙只能针对PC,对于路由器等网关设备起不到任何作用。要彻底解决此问题,我们需要从ARP协议及其工作原理入手,找出根本解决方法。
2 ARP协议
ARP协议(Address Resolution protocol)即地址解析协议。在以太网中,数据帧从一个主机到达另一个主机是根据48位以太网地址(MAC)来确定接口的,而不是根据IP地址,因此必须把32位IP地址转换为对应的48位物理地址,整个转换过程由一台主机先向目标主机发送包含IP地址信息的广播数据包,即ARP请求,然后目标主机向该主机发送一个含有IP地址和MAC地址的数据包,通过MAC地址两个主机就可以实现数据传输了。
3 ARP协议的作用验证
以ping命令为例如,我们ping网络中的一台主机192.168.1.254,该命令通过ICMP协议发送ICMP数据包,提交给网卡驱动程序,驱动程序检查能否转化该IP与MAC对照表,如果存在该对应关系,则网卡驱动把IP转换为MAC地址,然后封装在以太网头结构中,再把数据发送出去,如果没有IP与MAC的对应关系,则网卡驱动进行ARP广播,目的地址为FF-FF-FF-FF-FF-FF,即向同一网段所有主机发出询问,并且在广播数据包中包含自己的MAC地址,192.168.1.254主机接收到该ARP请求后,发送一个ARP的回应命令,其中包含自己的IP和MAC地址,本地主机获得该对应关系后,存入ARP缓存,转换地址,执行PING命令。
执行完后,ARP缓存就会存在一个IP192.168.1.254与MAC地址的对应,可以在命令行中用ARP-A命令查看。同样,其它主机PING本机时,也可以在本机中存放一个IP与MAC的对应关系。由此可见,ARP协议不只在发送了ARP请求后才接收ARP应答,当其接收到数据包后就会更新缓存。
4 ARP欺骗原理
有了以上基础,我们了解一下ARP欺骗的原理。
在计算机中,ARP协议是一个“思想”不坚定,易被外界影响的“人”,ARP欺骗就是利用这个特性,误导计算机作出错误的选择。
每台主机都有一个ARP高速缓存,且生存时间一般为60秒,起始时间从被创建开始。默认 情况下,ARP从缓存中读取IP-MAC对应条目,缓存中的IP-MAC条目是根据ARP响应包动态,变化的,因此,只要网络上有ARP响应包发送到本机,即会更新高速缓存中的IP-MAC对照表,攻击者只需要持续不断的发出伪造的ARP响应包就能更改同标主机ARP缓存中的IP-MAC对照表。我们在ARP作用验证中验证过,ARP协议不只在发送了ARP请求后才接收ARP应答,因此,如果主机B向主机A发送了一个自己伪造的ARP应答,而这个数据中的发送方IP为192.168.1.2(主机C)Mac地址为DD-DD-DD-DD-DD-DD(主机B的MAC地址)当A接收到B的伪造ARP应答,就会更新本地缓存,将C的IP与B的MAC地址对应起来,而这一切A并不知情,只是按照对应关系将发往C的数据包错误的发到了DD-DD-DD-DD-DD-DD这个MAC地址上(即发给了主机B),这样A与C的通信也可以被B如法炮制的阻断。
如果在局域网中,C和B通过A上网,那么被攻击后的C就只能错误的将数据发送给了B,若数据中包含有帐号、密码等信息,就会被B上的木马劫获,这样就起到了盗取帐号和密码的作用。
通过ARP工作原理可知,如果ARP缓存被不停的修改,通知路由器一系列错误的内网IP或者干脆伪造一个假的网关进行欺骗的话,网络就会大面积掉线。
5 判断遭受ARP攻击的方法
在内网中Ping路由器的IP丢包,然后又连上,这很可能是中了ARP病毒,为了进一步确认,我们可以通过查找ARP表示判断。
在命令提示符输入ARP-a,若看到如下情况:
Interface 192.168.1.254 ----0x2
Internet Aldress physieal Aoldress
192.168.1.1 00-of-3d-83-74-28
192.168.1.2 00-71-9c-od-BF-c1
192.168.1.254 00-of-3d-83-74-28
可以看出,主机显示的MAC地址中有与网关地址相同的MAC地址,很显然就遭受了ARP攻击。
6 解决方法
根据ARP缓存的特点,解决ARP攻击的最好办法就是不让ARP缓存更新。计算机和可管理的网络设备中就提供了绑定MAC地址和IP的命令。
如:在计算机上绑定网关IP和MAC地址可以在命令提示符下敲入如下命令
Arp–s 网关IP地址 网关MAC地址
不过这种方法需要每次开启计算机都要通过手动输入命令进行绑定,为避免麻烦,我们可以做一个批处理文件,并使其随机器启动,这样每次开机即可自动绑定。如我们要绑定网关IP为192.168.0.254,MAC地址为00-09-71-0A-EB-8F,批处理文件命令如下:@echo off Arp-d Arp-s 192.168.0.254 00-09-71-0A-EB-8F
将其保存为sarp.bat即可,然后将sarp.bat的快捷方式拖到开始菜单的启动中。
网关绑定MAC地址的方法,以CISCO2611路由器绑定192.168.0.100为例:Router(Config)#ARP 192.168.0.100 0009.7158.4AEF ARPA
实现双向绑定以后,就可确保计算机于网关发送的数据能顺利到达目标机器而不会被其他计算机截获,这样你的网络就不会再受ARP病毒左右了。
7 总结
本文通过实验结果验证了ARP协议工作原理,并从工作原理入手分析和解决了这段时间经常被困扰的问题——ARP攻击。通过IP与MAC的双向绑定可以有效防止ARP攻击,保持单位或机房网络畅通,免除了因ARP攻击而断网引起的不必要麻烦,保持网络稳定运行。
参考文献:
[1] 崔冬.计算机网络基础[M].高教出版社,2007.
[2] http://www.vlan9.com/net work/n006005286.html[EB/OL].
[3] 什么是ARP?如何防范ARP欺骗技术?[EB/OL].http://www.vlan9.com.
[4] 张凌杰.网络设备使用与维护[M].高教出版社,2006.
关键词:ARP协议;ARP工作原理;ARP;攻击;ARP欺骗;MAC绑定
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)21-30434-01
The Discussion on the Principle of ARP Attack and Effective Methods
ZHAO Chong,WANG Hong-yan
(Baoding Fuchang Secondary Specialized Schools, Baoding 071000,China)
Abstract: Start from the arp principle and discuss the attack method of arp,make sure the narmal working of lan in company,prevent it from cutting off and lead to the delay.
Key words: arp agreement; arp principle; arp deception; mac bind
1 引言
近来,局域网中ARP病毒肆虏,尤其是传奇,QQ,网银等盗号木马。此类病毒轻则导致网络经常掉线,重则劫持网关设备,导致网关掉线,整个网络中的PC上网受限,影响工作和学习。靠杀毒只能暂时解决问题,且病毒传播速度快,令人防不胜防,安装ARP防火墙只能针对PC,对于路由器等网关设备起不到任何作用。要彻底解决此问题,我们需要从ARP协议及其工作原理入手,找出根本解决方法。
2 ARP协议
ARP协议(Address Resolution protocol)即地址解析协议。在以太网中,数据帧从一个主机到达另一个主机是根据48位以太网地址(MAC)来确定接口的,而不是根据IP地址,因此必须把32位IP地址转换为对应的48位物理地址,整个转换过程由一台主机先向目标主机发送包含IP地址信息的广播数据包,即ARP请求,然后目标主机向该主机发送一个含有IP地址和MAC地址的数据包,通过MAC地址两个主机就可以实现数据传输了。
3 ARP协议的作用验证
以ping命令为例如,我们ping网络中的一台主机192.168.1.254,该命令通过ICMP协议发送ICMP数据包,提交给网卡驱动程序,驱动程序检查能否转化该IP与MAC对照表,如果存在该对应关系,则网卡驱动把IP转换为MAC地址,然后封装在以太网头结构中,再把数据发送出去,如果没有IP与MAC的对应关系,则网卡驱动进行ARP广播,目的地址为FF-FF-FF-FF-FF-FF,即向同一网段所有主机发出询问,并且在广播数据包中包含自己的MAC地址,192.168.1.254主机接收到该ARP请求后,发送一个ARP的回应命令,其中包含自己的IP和MAC地址,本地主机获得该对应关系后,存入ARP缓存,转换地址,执行PING命令。
执行完后,ARP缓存就会存在一个IP192.168.1.254与MAC地址的对应,可以在命令行中用ARP-A命令查看。同样,其它主机PING本机时,也可以在本机中存放一个IP与MAC的对应关系。由此可见,ARP协议不只在发送了ARP请求后才接收ARP应答,当其接收到数据包后就会更新缓存。
4 ARP欺骗原理
有了以上基础,我们了解一下ARP欺骗的原理。
在计算机中,ARP协议是一个“思想”不坚定,易被外界影响的“人”,ARP欺骗就是利用这个特性,误导计算机作出错误的选择。
每台主机都有一个ARP高速缓存,且生存时间一般为60秒,起始时间从被创建开始。默认 情况下,ARP从缓存中读取IP-MAC对应条目,缓存中的IP-MAC条目是根据ARP响应包动态,变化的,因此,只要网络上有ARP响应包发送到本机,即会更新高速缓存中的IP-MAC对照表,攻击者只需要持续不断的发出伪造的ARP响应包就能更改同标主机ARP缓存中的IP-MAC对照表。我们在ARP作用验证中验证过,ARP协议不只在发送了ARP请求后才接收ARP应答,因此,如果主机B向主机A发送了一个自己伪造的ARP应答,而这个数据中的发送方IP为192.168.1.2(主机C)Mac地址为DD-DD-DD-DD-DD-DD(主机B的MAC地址)当A接收到B的伪造ARP应答,就会更新本地缓存,将C的IP与B的MAC地址对应起来,而这一切A并不知情,只是按照对应关系将发往C的数据包错误的发到了DD-DD-DD-DD-DD-DD这个MAC地址上(即发给了主机B),这样A与C的通信也可以被B如法炮制的阻断。
如果在局域网中,C和B通过A上网,那么被攻击后的C就只能错误的将数据发送给了B,若数据中包含有帐号、密码等信息,就会被B上的木马劫获,这样就起到了盗取帐号和密码的作用。
通过ARP工作原理可知,如果ARP缓存被不停的修改,通知路由器一系列错误的内网IP或者干脆伪造一个假的网关进行欺骗的话,网络就会大面积掉线。
5 判断遭受ARP攻击的方法
在内网中Ping路由器的IP丢包,然后又连上,这很可能是中了ARP病毒,为了进一步确认,我们可以通过查找ARP表示判断。
在命令提示符输入ARP-a,若看到如下情况:
Interface 192.168.1.254 ----0x2
Internet Aldress physieal Aoldress
192.168.1.1 00-of-3d-83-74-28
192.168.1.2 00-71-9c-od-BF-c1
192.168.1.254 00-of-3d-83-74-28
可以看出,主机显示的MAC地址中有与网关地址相同的MAC地址,很显然就遭受了ARP攻击。
6 解决方法
根据ARP缓存的特点,解决ARP攻击的最好办法就是不让ARP缓存更新。计算机和可管理的网络设备中就提供了绑定MAC地址和IP的命令。
如:在计算机上绑定网关IP和MAC地址可以在命令提示符下敲入如下命令
Arp–s 网关IP地址 网关MAC地址
不过这种方法需要每次开启计算机都要通过手动输入命令进行绑定,为避免麻烦,我们可以做一个批处理文件,并使其随机器启动,这样每次开机即可自动绑定。如我们要绑定网关IP为192.168.0.254,MAC地址为00-09-71-0A-EB-8F,批处理文件命令如下:@echo off Arp-d Arp-s 192.168.0.254 00-09-71-0A-EB-8F
将其保存为sarp.bat即可,然后将sarp.bat的快捷方式拖到开始菜单的启动中。
网关绑定MAC地址的方法,以CISCO2611路由器绑定192.168.0.100为例:Router(Config)#ARP 192.168.0.100 0009.7158.4AEF ARPA
实现双向绑定以后,就可确保计算机于网关发送的数据能顺利到达目标机器而不会被其他计算机截获,这样你的网络就不会再受ARP病毒左右了。
7 总结
本文通过实验结果验证了ARP协议工作原理,并从工作原理入手分析和解决了这段时间经常被困扰的问题——ARP攻击。通过IP与MAC的双向绑定可以有效防止ARP攻击,保持单位或机房网络畅通,免除了因ARP攻击而断网引起的不必要麻烦,保持网络稳定运行。
参考文献:
[1] 崔冬.计算机网络基础[M].高教出版社,2007.
[2] http://www.vlan9.com/net work/n006005286.html[EB/OL].
[3] 什么是ARP?如何防范ARP欺骗技术?[EB/OL].http://www.vlan9.com.
[4] 张凌杰.网络设备使用与维护[M].高教出版社,2006.