局域网内ARP协议攻击及解决办法文档格式.doc

1、 media access control （MAC） ;IP forwarding; ARP spoofing0引言2007年上半学期,学校网络隔三差五的总会出点问题,不时地会有某个局域网网段不能上网,有时所有网段都不能上网。有时重新启动一下防火墙及交换机就正常了。更为严重的是,有时即便重启了,没过几分钟问题再次出现。通过使用专门抓包分析软件,对出现问题时的网段进行抓包后,发现网络中存在大量的ARP （地址解析协议）数据包。问题源头终于找到了,就是让绝大多数网管都头痛不已的地址解析协议（Address Resolution Protocol,ARP）攻击问题。ARP是一个位于TCP / IP

2、协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。由于局域网的网络流通并不是根据IP地址而是按照MAC地址进行传输,因此,对于局域网而言,ARP协议是网络正常通信的基础。但是基于历史的原因,ARP协议缺乏必要的身份认证和鉴别机制,导致安全性能脆弱。近年来,利用ARP协议的安全缺陷破坏局域网的事件频频发生,愈演愈烈。网络上也流传着很多基于ARP协议的亦正亦邪的软件,ARP欺骗攻击已对局域网的安全构成了严重威胁。3 文章编号: 1003 - 3033 （2007） 07 - 0126 - 06; 收稿日期: 2007 - 01 - 17; 修稿日期: 2007 - 06 - 301AR

3、P概述ARP （地址解析协议） 13 用于将计算机的网络地址（ IP地址32位）转化为物理地址（MAC地址48位） RFC826 。ARP协议是属于数据链路层的协议,在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址（硬件MAC地址）来确定接口的,而不是根据32位的IP地址。因此, IP驱动器必须把IP目的地址转换成以太网网卡的地址。在这两种地址之间存在着某种静态的或算法的映射,常常需要查看一张表。通常称为ARP缓冲（ARP cache） ,来维持每个MAC地址与其相应的IP地址之间的对应关系。ARP 提供一种形成该对应关系的规则以及提供双向地址转换。2ARP的数据结构在

4、以太网上解析IP地址时, ARP请求和应答分组的格式 1, 3 如表1所示。表1用于以太网的ARP请求或应答的分组格式以太网目的地址源地址帧类型硬件协议硬件地址长度协议地操作字段发送端以太网地址发送端IP地址目的端以目的端6 6 2 2 2 1 1 2 6 4 6 4以太网首部28字节ARP请求应答以太网报头中前两个字段是该网源地址和目的地址。目的地址为全1的特殊地址是广播地址。电缆上所有以太网接口都要接收广播的数据帧。两个字节长的以太网帧类型表示后面数据的类型。对于ARP请求或应答来说,该字段的值为0x0806。形容词hardware （硬件） 和p rotocol （协议） 用来描述ARP

5、分组中的各个字段。例如:一个ARP请求分组询问协议地址（这里是IP地址）对应的硬件地址（是指以太网地址） 。硬件类型字段表示硬件地址的类型。它的值为1即表示以太网地址。协议类型字段表示要映射的协议地址类型。它的值为0x0800即表示IP地址。它的值与包含IP数据报的以太网数据帧中的类型字段的值相同。接下来的两个1字节的字段,硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度,以字节为单位。对于以太网上IP地址的ARP 请求或应答来说,它们的值分别为6和4。操作字段指出4种操作类型,它们是ARP请求（值为1） , ARP应答（值为2） , RARP请求（值为3）和RARP应答（值为4）

6、。接下来的4个字段是发送端的硬件地址（在该例中是以太网地址） 、发送端的协议地址（ IP地址） 、目的端的硬件地址和目的端的协议地址。对于一个ARP请求来说,除目的端硬件地址外的所有其他的字段都有填充值。当系统收到一份目的端为该机的ARP请求报文后,它就把硬件地址填进去,然后用两个目的端地址分别替换两个发送端地址,并把操作字段置为2,最后把它发送回去。3ARP工作原理当一个网络设备需要和另一个网络设备通信时,它首先把目标设备的IP地址与自己的子网掩码进行“与”操作,以判断目标设备与自己是否位于同一网段内。如果目标设备在同一网段内,并且源设备没有获得与目标IP地址相对应的MAC地址信息,则源设备

7、以第二层广播的形式（目标MAC地址为全1）发送ARP请求报文,在ARP请求报文中包含了源设备与目标设备的IP地址。同一网段中的所有其他设备都可以收到并分析这个ARP请求报文,如果某设备发现报文中的目标IP地址与自己的IP地址相同,则它向源设备发回ARP响应报文,通过该报文使源设备获得目标设备的MAC地址信息。如果目标设备与源设备不在同一网段,则源设备首先把IP 分组发向自己的缺省网关（DefaultGateway） ,由缺省网关对该分组进行转发。如果源设备没有关于缺省网关的MAC信息,则它同样通过ARP协议获取缺省网关的MAC地址信息。为了减少广播量,网络设备通过ARP表在缓存中保存IP与MA

8、C地址的映射信息。在一次ARP的请求与响应过程中,通信双方都把对方的MAC地址与IP地址的对应关系保存在各自的ARP表中,以在后续的通信中使用。ARP表使用老化机制,删除在一段时间内没有使用过的IP与MAC地址的映射关系。当传送过来的包要传向一个LAN的主机时,当它到达网关时,网关要求ARP程序找到物理主机或与IP地址相对应的MAC地址。ARP程序在缓存中第7期陈英等: 局域网内ARP协议攻击及解决办法127寻找,如果找到地址,就提供该地址,以便让该包转换成相应的长度和格式,以传送到此主机。如果未找到,ARP程序就在网上广播一个特殊格式的消息,看哪个机器知道与这个IP地址相关的MAC地址。如果

9、一台机器发现那是自己的IP地址,它就发送回应,并指出了相应的地址。ARP程序就更新自己的缓存然后发送此包到回应的MAC地址。因为不同协议的相应处理方法不同,所以有不同网络的地址解析请求。也有反向地址解析协议（ReverseAddress Resolution Protocol, RARP）供不知道IP地址的主机从ARP缓存中获得IP地址。假设交换式局域网内有两台主机A和B,当A需要与B进行通信时,A首先利用ARP协议获得B的MAC地址,为进行通信做准备,工作原理 46 如图1所示。图1ARP协议工作原理图简要地解释如下:1） 每台主机都会在自己的ARP缓冲区（ARPCache）中建立一个ARP

10、 列表,以表示IP 地址和MAC地址的对应关系。2） 当源主机需要将一个数据包要发送到目的主机时,会先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有就直接将数据包发送到这个MAC地址。如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址以及目的主机的IP地址。3） 网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,

11、然后给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址。4） 源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。通过分析ARP协议的工作原理可以发现,ARP协议是建立在局域网主机相互信任的基础之上,因而,ARP具有广播性、无连接性,无序性、无认证字段、无关性和动态性等一系列的安全漏洞。由于上述问题的存在,所以利用ARP协议漏洞进行网络攻击是相当有效,而且是难以预防的。4ARP攻击电脑间互相通信时就是通过IP地址来查询目标主机的MAC地址,但如果这个查询MAC地址环