基于ARP的网络攻击与防御

网络攻击

基于ＡＲＰ的网络攻击与防御

金

星

（日照广播电视大学，山东日照２７６８２６）

摘要：分析了ＡＥＰ欺骗攻击的基本原理，列举了几种常见的攻击方式，并提出相关的＾．髓攻击的防御方法。关键词：＾ＲＰ协议；网络系统；攻击；防御

Ｂａｓｅｄ

ｏｎ

ｔｈｅＡＲＰＮｅｔｗｏｒｋＡｔｔａｃｋａｎｄＤｅｆｅｎｓｅ

ｄｉＮＸｉｎｇ

｛黼髓哟删７＂ｏ／ｅｖ／翰＃／Ｊ／ｚ／ｖｏｍ＃ｙ，戳铀ｏ．霸赫橛ｌｇ￡ｏＴｄｄ＿２ｄ，锄姚）

Ａｂｓｔｒａｃｔ：Ｉｎ舶ｐａｐｅｒ伽ｂａｓｉｃ

ｍｅｔｈｏｄｓｏｆＫｅｙ

ｄｅｌｅｎｓｅａｇａｉｎｓｔｔｈｅ

ｐＩ’ｉｎｃｉｐＩｅｏｆ＾ＰｏＰｄｅｃｅｐｔＪｏｆｌａｔ协ｃｋ，ｅｎｕｍｅｐａｔ七ｄｓｅｖｅｒａｌｋＭｏｆ

ｃ０删ａｔｔａｃｋ

ｍｏｄｅ，ａｎｄｐｕｔｓ

ｆｏｒｗａｒｄＳＯｌＩｌｅ

Ａ胛．

ｓｙｓｔｅｍ，Ａｔｔａｄｌ，ｄｅｆｅｎｓｅ

ｗｏｒｄｓ：＾肿ｐｒｏｔｏｃｏｌ，Ｎｅｔｗｏｒｋ

１引言

Ａ

并利用此信息开始数据的传输。如果源主机一直没有收到ＡＲＰ响应数据包，表示ＡＲＰ查询失败。

ＲＰ，即地址解析协议，通过ＩＰ地址得知其物理地

址。在ＴＣＰ／ＩＰ网络环境下，每个主机都分配了一个３２位

的ＩＰ地址，这种互联网地址是在网际范围标识主机的一种

逻辑地址。为了让报文在物理网路上传送，必须知道对方目的主机的物理地址，这样就存在把ＩＰ地址变换成物理地址的地址转换问题。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的３２位ＩＰ地址转换成为４８位以太网的地址。这就需要在互联层有一组服务将口地址转换为相应物理地址，这组协议就是ＡＲＰ协议。

３

ＡＲＰ攻击方式分析

（１）ＡＲＰ攻击：指攻击者利用地址解析协议本身运行

机制而发动的攻击行为。

（２）ＩＰ冲突攻击：制造出局域网上有另一台主机与受害主机共享一个ＩＰ的假象。由于违反了惟一性的要求，受害主机会自动向用户弹出警告对话框。大量的攻击数据包能令受害主机耗费大量的系统资源。

（３）ＡＲＰ溢出攻击：攻击主机持续把伪造的ＭＡＣ－ＩＰ

２

ＡＲＰ协议的工作原理

（１）首先，每台主机都会在自己的ＡＲＰ缓冲区（ＡＩ心

映射对发给受害主机，受害主机会耗费大量的系统资源去维护ＡＲＰ高速缓存。可以进一步采用分布式攻击，由一台进攻主机控制远端几台中间主机发动攻击，可以取得更好的攻击效果。

Ｃａｃｈｅ）中建立一个ＡＲＰ列表，以表示ＩＰ地址和ＭＡＣ地址的对应关系。

（２）当源主机需要将一个数据包要发送到目的主机时，

会首先检查自己ＡＲＰ列表中是否存在该ＩＰ地址对应的ＭＡＣ地址，如果有，就直接将数据包发送到这个ＭＡＣ地址；如果没有，就向本地网段发起一个ＡＲＰ请求的广播包，查询此目的主机对应的ＭＡＣ地址。此ＡＲＰ请求数据包里包括源主机的ＩＰ地址、硬件地址、以及目的主

（４）ＡＲＰ欺骗：为了节省网络资源以及通讯时间，多

数操作系统会保留一张ＡＲＰ缓存表，里面记录曾经访问的ＩＰ和ＭＡＣ地址影射记录，一旦局域网中有一个新的ＡＲＰ广播，对应一个ＩＰ到ＭＡＣ的记录，这个ＡＲＰ缓存表就会被刷新，ＭＡＣ地址会更换成新的广播包里定义的ＭＡＣ地址。这个时候就存在一个问题，在更新的时候系统并没有去检查是否真的是由该机器广播出来的，局域网中的恶意用户就会利用欺骗的方式来更改网络途径，将真正的ＭＡＣ地址替换成自己的ＭＡＣ地址。

（５）ＡＲＰ欺骗攻击：攻击主机只要欺骗两台准备通信的主机的任一台，伪造另一台的ＭＡＣ地址，就可以终止两台主机之间的任何基于ＩＰ的通信。动态映射对存在过期的问题，而且主机Ｂ、Ｃ之间也会进行正常的ＡＲＰ数据包交互。要解决这个问题，主机Ａ可以选择比较小的时间间隔持续发送伪造的数据包，就可以使Ｂ、Ｃ间通信一直中断。

机的ＩＰ地址。

（３）网络中所有的主机收到这个ＡＲＰ请求后，会检查数据包中的目的ＩＰ是否和自己的ＩＰ地址一致。如果不相同就忽略此数据包｛如果相同，该主机首先将发送端的ＭＡＣ地址和ＩＰ地址添加到自己的ＡＲＰ列表中，如果ＡＲＰ表中已经存在该ＩＰ的信息，则将其覆盖，然后给源主机发送一个ＡＲＰ响应数据包，告诉对方自己是所需要查找的ＭＡＣ地址。

（４）源主机收到这个ＡＲＰ响应数据包后，将得到的目

的主机的ＩＰ地址和ＭＡＣ地址添加到自己的ＡＲＰ列表中，

万方数据

网络攻击

４解决方法

对于ＡＲＰ欺骗，提出几点加强安全防范的措施。首先，可以肯定发送ＡＲＰ欺骗包是由一个恶毒的程序自动发送的，正常的ＴＣＰ／ＩＰ网络是不会有这样的错误包发

送的。这就假设，如果犯罪嫌疑人没有启动这个破坏程序

的时候，网络环境是正常的，或者说网络的ＡＲＰ环境是正常的，如果能在犯罪赚疑人启动这个犯罪程序的第一时间，一开始就发现了他的犯罪活动，那么就是人赃俱在，不可抵赖了，因为刚才提到，前面网络正常的时候证据是可信赖的和可依靠的。

ＡＲＰ欺骗的原理如下：

假设有这样一个网络，一个Ｈｕｂ接了三台机器：

ＨｏｓｔＡ，ＨｏｓｔＢ，ＨｏｓｔＣ，其中：

Ａ的地址为：

口：１９２．１６８．８．１ＭＡＣ：ＡＡ—ＡＡ—ＡＡ—ＡＡ—ＡＡ—ＡＡＢ的地址为：

ＩＰ：１９２．１６８．８．２ＭＡＣ：ＢＢ—ＢＢ—ＢＢ—ＢＢ—ＢＢ—ＢＢ

Ｃ的地址为：

Ⅲ：１９２．１６８．８．３ＭＡＣ：ＣＣ—ＣＣ—ＣＣ—ＣＣ—ＣＣ—ＣＣ正常情况下：

Ｄ：＼Ｄｏｃｕｍｅｎｔｓａｎｄｓｅｔｔｉｎｇｓ＼ｌｅｎｏｖｏ＞ａｒｐ－ａ

Ｉｎｔｅｒｆａｃｅ：１９２．１６８．８．１一－－Ｏｘ２

Ｉｎｔｅｍｅｔ

ＡｄｄｒｅｓｓＰｈｙＳｉｃＭＡｄｄｒｅｓｓＴｙｐｅ１９２．１６８．８．３ＣＣ—ＣＣ—ＣＣ—ＣＣ—ＣＣ—ＣＣ

ｄｙｎａｍｉｃ

即：ＩＰ地址：１９２．１６８．８．１的机器在以太网上网络地址

物理地址

类型

１９２．１６８．８．３ＣＣ—ＣＣ—ＣＣ—ＣＣ—ＣＣ—ＣＣ

动态

现在假设ＨｏｓｔＢ开始了罪恶的ＡＲＰ欺骗：Ｂ向Ａ

发送一个自己伪造的ＡＲＰ应答，而这个应答中的数据为发送方ＩＰ地址是１９２．１６８．８．３（Ｃ的ＩＰ地址），ＭＡＣ地址是ＤＤ－ＤＤ－ＤＤ—ＤＤ—ＤＤ—ＤＤ（Ｃ的ＭＡＣ地址本来应该是ＣＣ—ＣＣ—ＣＣ—ＣＣ—ＣＣ—ＣＣ，这里被伪造了）。当Ａ接收到Ｂ伪造的ＡＲＰ应答，就会更新本地的ＡＲＰ缓存（Ａ不知道被伪造了）。而且，Ａ不知道其实是从Ｂ发送过来的，Ａ这里只有１９２．１６８．８．３（Ｃ的ＩＰ地址）和无效的ＤＤ—ＤＤ—ＤＤ—ＤＤ—ＤＤ—ＤＤ的ＭＡＣ地址，没有和犯罪分子Ｂ相关的证据。

现在Ａ机器的ＡＩ强缓存更新了：

Ｉｎｔｅｒｆａｃｅ：１９２．１６８．８．１～０ｘ２

Ｄ：＼ＤｏｃｕｍｅｎｔｓａｎｄＳｅｔｔｉｎｇｓ＼ｌｅｎｏｖｏ＞ａｒｐ—ａ

ＩｎｔｅｒｎｅｔＡｄｄｒｅｓｓＰｈｙｓｉｃａｌ

Ａｄｄｒｅｓｓ

Ｔｙｐｅ

１９２．１６８．８．３

Ｄ …… 此处隐藏：2367字，全部文档内容请下载后查看。喜欢就下载吧 ……