论文局域网ARP欺骗攻击及安全防范策略Word文件下载.docx

1、 Based on an introduction to the functions and working theory of the ARP （Address Resolution Protocol）, this paper analyses the security holes in ARP. The security vulnerability of ARP, the attacking forms and potential damages are extensively discussed. Several protection solutions for daily manage

2、ments and detection are given, advantages and disadvantage of these measures are detailed.Keyword:ARP; security vulnerabilities; protection measures; attack ways;detection method1、ARP协议的含义和工作原理51.1、ARP协议简介 51.2、ARP协议的数据结构 51.3、ARP协议的利用 51.3.1、交换网络的嗅探 51.3.2、IP地址冲突61.3.3、阻止目标的数据包通过网关61.3.4、通过ARP检测混杂模

3、式节点71.4、ARP协议的原理72、ARP协议存在的安全漏洞 83、ARP欺骗攻击实现的过程 93.1、网段内的ARP欺骗攻击 93.2跨网段的ARP欺骗攻击 104、ARP攻击的分类 104.1、ARP 欺骗攻击 104.2、网络监听 114.3、广泛拒绝服务攻击DOS 114.4、IP地址冲突124.5、克隆攻击 125、防范ARP攻击的解决方案135.1、设置静态的ARP缓存表135.2、交换机上绑定端口和MAC地址145.3、VLAN技术155.4、建立信任IP-MAC地址映射表155.5、ARP报文限速 166、ARP欺骗的检测166.1、ARP地址欺骗攻击者的定位 166.2、A

4、RP欺骗攻击的检测 176.2.1、命令行法 176.2.2、工具软件法 176.2.3、Sniffer抓包嗅探法 176.2.4、主机级检测方法186.2.5、网络级检测方法 187、结束语 19参考文献 20附录 21致谢 221、ARP协议的含义和工作原理1.1、ARP协议简介ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓

5、“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。1.2、ARP协议的数据结构typedefstructarphdr unsignedshortarp_hrd;/*硬件类型*/ unsignedshortarp_pro;/*协议类型*/ unsignedchararp_hln;/*硬件地址长度*/ unsignedchararp_pln;/*协议地址长度*/ unsignedshortarp_op;/*ARP操作类型*/ unsignedchararp_sha6;/*发送者的硬

6、件地址*/ unsignedlongarp_spa;/*发送者的协议地址*/ 6;/*目标的硬件地址*/ unsignedlongarp_tpa;/*目标的协议地址*/ ARPHDR,*PARPHDR;1.3、ARP协议的利用1.3.1、交换网络的嗅探ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，在上面的假设网络中，B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD

7、-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存，将本地的IP-MAC对应表更换为接收到的数据格式，由于这一切都是A的系统内核自动完成的，A可不知道被伪造了。1.3.2、IP地址冲突 我们知道，如果网络中存在相同IP地址的主机的时候，就会报告出IP地址冲突的警告。这是怎么产生的呢？比如某主机B规定IP地址为192.168.0.1，如果它处于开机状态，那么其他机器A更改IP地址为192.168.0.1就会造成IP地址冲突。其原理就是：主机A在连接网络（或更改IP地址）的时候就会向网络发送ARP包广播自己的I

8、P地址，也就是freearp。如果网络中存在相同IP地址的主机B，那么B就会通过ARP来reply该地址，当A接收到这个reply后，A就会跳出IP地址冲突的警告，当然B也会有警告。因此用ARP欺骗可以来伪造这个ARPreply，从而使目标一直遭受IP地址冲突警告的困扰。1.3.3、阻止目标的数据包通过网关比如在一个局域网内通过网关上网，那么连接外部的计算机上的ARP缓存中就存在网关IP-MAC对应记录。如果，该记录被更改，那么该计算机向外发送的数据包总是发送到了错误的网关硬件地址上，这样，该计算机就不能够上网了。 这里也主要是通过ARP欺骗进行的。有两种办法达到这样的目的。1、向目标发送伪造

9、的ARP应答数据包，其中发送方的IP地址为网关的地址，而MAC地址则为一个伪造的地址。当目标接收到该ARP包，那么就更新自身的ARP缓存。如果该欺骗一直持续下去，那么目标的网关缓存一直是一个被伪造的错误记录。当然，如果有些了解的人查看ARP-a，就知道问题所在了。2、欺骗网关。向网关发送伪造的ARP应答数据包，其中发送方的IP地址为目标的IP地址，而MAC地址则为一个伪造的地址。这样，网关上的目标ARP记录就是一个错误的，网关发送给目标的数据报都是使用了错误的MAC地址。这种情况下，目标能够发送数据到网关，却不能接收到网关的任何数据。同时，目标自己查看ARP-a却看不出任何问题来。1.3.4、

10、通过ARP检测混杂模式节点在混杂模式中，网卡进行包过滤不同于普通模式。本来在普通模式下，只有本地地址的数据包或者广播（多播等）才会被网卡提交给系统核心，否则的话，这些数据包就直接被网卡抛弃。现在，混合模式让所有经过的数据包都传递给系统核心，然后被sniffer等程序利用。通过特殊设计的ARP请求可以用来在一定程度上检测处于混杂模式的节点，比如对网络中的每个节点都发送MAC地址为FF-FF-FF-FF-FF-FE的ARP请求。对于网卡来说这不是一个广播地址（FF-FF-FF-FF-FF-FF），所以处于普通模式的节点就会直接抛弃该数据包，但是多数操作系统核心都认为这是一个广播地址，如果有一般的s

11、niffer程序存在，并设置网卡为混杂模式，那么系统核心就会作出应答，这样就可以判断这些节点是否存在嗅探器了。可以查看，很多基于ARP的攻击都是通过ARP欺骗实现的。至于ARP欺骗的防范，还是尽可能使用静态的ARP。对于WIN，使用arp-s来进行静态ARP的设置。当然，如果能够完全使用静态的IP+MAC对应，就更好了，因为静态的ARP缓存只是相对的。当然，可以有一些方法来实现ARP欺骗的检测。设置一个ARP的嗅探器，其中维护着一个本地网络的IP-MAC地址的静态对应表，查看所有经过的ARP数据，并检查其中的IP-MAC对应关系，如果捕获的IP-MAC对应关系和维护的静态对应关系对应不上，那么

12、就表明是一个欺骗的ARP数据包了。1.4、ARP协议的原理以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到目标IP地址，主机A就会在网络上发送一个广播，A主机MAC地址是“主机A的MAC地址”，这表示向同一网段内的所有主机发出这样的询问：“我是192.168.1.5，我的硬件地址是主机A的MAC地址.请问IP地址为192.168.1.1的MAC地址是什么？”网络上其他主机并不响应ARP

13、询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时A和B还同时都更新了自己的ARP缓存表（因为A在询问的时候把自己的IP和MAC地址一起告诉了B），下次A再向主机B或者B向A发送信息时，直接从各自的ARP缓存表里查找就可以了。ARP缓存表采用了老化机制（即设置了生存时间TTL），在一段时间内（一般15到20分钟）如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。ARP攻击就是通过伪造IP地址和MAC地址

14、实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。RARP的工作原理：1、发送主机发送一个本地的RARP广播，在此广播包中，声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址；2、本地网段上的RARP服务器收到此请求后，检查其RARP列表，查找该MAC

15、地址对应的IP地址；3、如果存在，RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用；4、如果不存在，RARP服务器对此不做任何的响应；5、 源主机收到从RARP服务器的响应信息，就利用得到的IP地址进行通讯；如果一直没有收到RARP服务器的响应信息，表示初始化失败。6、如果在第1-3中被ARP病毒攻击，则服务器做出的反映就会被占用，源主机同样得不到RARP服务器的响应信息，此时并不是服务器没有响应而是服务器返回的源主机的IP被占用。二、ARP协议存在的安全漏洞ARP协议是建立在信任局域网内所有结点的基础上的，它很高效，但却不安全。它的主要漏洞有以下三点。1、主机地址映

16、射表是基于高速缓存、动态更新的，ARP将保存在高速缓存中的每一个映射地址项目都设置了生存时间，它只保存最近的地址对应关系。这样恶意的用户如果在下次交换前修改了被欺骗机器上的地址缓存，就可以进行假冒或拒绝服务攻击。2、由于ARP是无状态的协议，即使没有发送ARP请求报文，主机也可以接收ARP应答，只要接受到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机的高速缓存。这就为ARP欺骗提供了可能，恶意节点可以发布虚假的ARP报文从而影响网内结点的通信，甚至可以做“中间人”。3、任何ARP应答都是合法的，ARP应答无须认证，只要是区域网内的ARP应答分组，不管（其实也不知道）是否是合法的应答，

17、主机都会接受ARP应答，并用其IP一MAC信息篡改其缓存。这是ARP的另一个隐患。三、ARP欺骗攻击实现的过程3.1、网段内的ARP欺骗攻击ARP欺骗攻击的核心就是向目标主机发送伪造的ARP应答，并使目标主机接收应答中伪造的IP与MAC间的映射对，并以此更新目标主机缓存。设在同一网段的三台主机分别为,，详见表1。表1：同网段主机IP地址和MAC地址对应表用户主机 IP地址 MAC地址A 10101001 00-E0-4C-11-11-11B 10101002 00-E0-4C-22-22-22C 10101003 00-E0-4C-33-33-33假设与是信任关系，欲向发送数据包。攻击方通过前

18、期准备，可以发现的漏洞，使暂时无法工作，然后发送包含自己MAC地址的ARP应答给。由于大多数的操作系统在接收到ARP应答后会及时更新ARP缓存，而不考虑是否发出过真实的ARP请求，所以接收到应答后，就更新它的ARP缓存，建立新的IP和MAC地址映射对，即的IP地址10101002对应了的MAC地址00-E0-4C-33-33-33。这样，导致就将发往的数据包发向了,但和B却对此全然不知，因此C就实现对A和B的监听。3.2、跨网段的ARP欺骗攻击 跨网段的ARP欺骗比同一网段的ARP欺骗要复杂得多，它需要把ARP欺骗与ICMP重定向攻击结合在一起。假设和在同一网段，在另一网段，详见表2。表2、跨

19、网段主机IP地址和MAC地址对应表C 10102003 00-E0-4C-33-33-33 首先攻击方修改IP包的生存时间，将其延长，以便做充足的广播。然后和上面提到的一样，寻找主机的漏洞，攻击此漏洞，使主机暂时无法工作。此后，攻击方发送IP地址为的IP地址10101002，MAC地址为的MAC地址00-E0-4C-33-33-33的ARP应答给。接收到应答后，更新其ARP缓存。这样，在主机上的IP地址就对应的MAC地址。但是，在发数据包给时，仍然会在局域网内寻找10101002的MAC地址，不会把包发给路由器，这时就需要进行ICMP重定向，告诉主机到10101002的最短路径不是局域网，而是

20、路由，请主机重定向路由路径，把所有到10101002的包发给路由器。主机在接受到这个合理的ICMP重定向后，修改自己的路由路径，把对10101002的数据包都发给路由器。这样攻击方就能得到来自内部网段的数据包。四、ARP攻击的分类4.1、ARP 欺骗攻击“中间人”攻击，又称为ARP双向欺骗。它的基本原理就是将自己的主机插入到两个目标主机通讯路径之间。截获两个目的主机直接的通讯数据。假设有三台主机（如图1所示），正常下A与C直接的通讯是不可见的，但是利用“中间人，的欺骗技术，主机B可以实现交换机网络下的嗅探。其主要步骤如下:1、主机B向主机A发送一个非法的ARP响应包，里面包括主机C的IP地址和

21、主机B的MAC地址，主机A收到这个包后并没有去验证包的真实性就把ARP缓存中C的地址篡改为B的MAC地址。2、主机B也向主机C发送一个非法的ARP包，里面包含了A的IP地址和B的MAC地址，由于ARP协议的漏洞，主机C也没有验证ARP的真实性就把ARP缓存中A的MAC地址改为B的MAC地址。3、主机B启动IP转发功能。主机A与C的所有直接的通讯将经过B，再由B转发给他们。这样主机B就成功的对网内的用户进行了ARP欺骗。4.2、网络监听 由图1可知，当攻击者B想要截取主机C对外网通讯的信息时，主机B会给主机C和网关D发送一个欺骗的ARP应答包，根据“中间人”的欺骗原理，主机C和网关D都会认为主机

22、B是对方，这样主机C看似能于外网进行通讯了，然而实际上它的通讯信息却受到主机B的监听。此时，主机B不仅可以完成监听，还可以随意改变数据包中的信息，并成功转发数据包。假如主机B在区域网上广播一个IP地址为网关的欺骗ARP通知包，并篡改网关D的ARP缓存内的IP-MAC映射，主机B则可以监听区域网内与外网的所有通讯信息。大部分的木马或病毒都使用该ARP欺骗攻击手段到达攻击的目的。4.3、广泛拒绝服务攻击DOS 拒绝服务攻击DOS就是使目标主机不能正常响应外界请求，不能对外提供服务。拒绝服务攻击主要有以下4种方式:1、进攻主机持续响应本网络内的所有ARP应答，并且应答为一个虚构的MAC地址，那么目的

23、主机向外发送的所有数据帧都会丢失，使得上层应用忙于处理这种异常而无法响应外来请求，也就导致目标主机产生拒绝服务。 2、进攻主机持续响应本网络所有的ARP进行应答，并且应答包内的MAC地址全部为本子网网关的MAC地址，由于网关自身有IP转发功能的，那么本子网内所有的数据通讯都需要网关进行一次转发，这样就无形中增加了网关的负荷，会导致网关超负荷而崩溃或者等待队列过长，进而使子网主机内部之间，子网主机与外网主机之间的通讯全部失败或者收发数据超时。 3、一般交换网络采用的多是二层交换机，此类交换机自身维护着一个ARP缓存，用于映射MAC地址对应的交换机的端口号，这个缓存中可容纳的映射条数是有限的。如果

24、进攻主机发送大量的包含不同MAC地址的ARP包，当数量足够多时，就有可能造成交换机DOS，不能正常转发数据包，使得交换机所连接的所有网络中断。 4、如果某一子网中存在着许多像路由器或者提供NAT服务的服务器这些具有IP转发功能的主机，利用ARP篡改的技术则可以实现多种形式的信息洪泛。假设某子网包含了具有IP转化功能的主机1、2和3，通过ARP欺骗，把主机1的ARP缓存中默认网关对应的MAC地址改为主机2的MAC地址，利用同样的方法把主机2的ARP缓存的默认网关对应的MAC地址改为主机3的MAC地址，这样主机1到网关的数据通道就变成了1-2-3-网关，如果1的数据流量很大，则2, 3也会有较高的

25、负荷，并且分析可知被欺骗后子网的通讯流量是原来的三倍。从而形成讯息洪泛，整个子网的性能就急剧降低了。4.4、 IP地址冲突 进攻主机发送更改后的ARP报文，其包括目的主机的IP地址和伪装的MAC地址，当系统检测到两个不同的MAC地址对应同一个IP地址则会提示IP地址冲突，在Windows操作系统中弹出警告对话框，Unix/Linux操作系统上表现为系统以mail方式等警告用户，这两种情况下都会使目的主机发生网络中断。4.5、克隆攻击如今，攻击者已经能修改网络接口的MAC地址。攻击者首先对目标主机进行拒绝服务攻击，使其不能对外部做出任何反应。然后攻击者就可以将自己的MAC地址与IP地址分别改为目

26、标主机的MAC地址与IP地址，这样攻击者的主机就变成了目标主机的副本，从而进一步伪装了自己更进一步的实施各种非法攻击，窃取各种通信数据。五、防范ARP攻击的解决方案5.1、设置静态的ARP缓存表ARP协议进攻最根本的原理就是改变IP地址与MAC地址对应关系，所以可以通过设置静态的ARP缓存表来防止ARP协议攻击。设置静态ARP表有两种方法，一是在目的主机的ARP缓存中设置静态的地址映射记录，二是在三层交换机设置IP- MAC地址对应表。在三层交换机上设置后，攻击主机就没有机会应答向其他主机发送ARP请求。如果攻击者在未收到ARP请求的情况下仍凭空伪造ARP应答请求发送给其他主机，三层交换机将拒

27、绝用伪造的数据更新ARP缓存表中的静态记录。这种方法比较简单，比较直观，但是在经常要更换IP地址且有较多主机的的局域网里，这种方法就显得十分繁琐，工作量大。在目的主机的ARP缓存中设置静态的地址映射记录的具体方法为：用户在DOS提示符下执行 arp a命令，看到C:“Documents and Settings“userarp -aInterface: 10.10.100.1 - 0x2Internet Address Physical Address Type10.10.100.254 00-40-66-77-88-d7 dynamic其中10.10.100.254和00-30-6d-bc-9c-d7分别为网关的IP 地址和MAC地址，因用户所在的区域、楼体和交换机不同，其对应网关的IP地址和MAC地址也不相同。或者编写一个批处理文件arp.bat，实现将交换机网关的MAC地址和网关的IP地址的绑定，内容 echo off arp -d arp -s 10.10.100.254 00-40-66-77-88-d7 用户应该按照第一步中查找到的交换机网关的IP地址和MAC地址，填入arp -s后面即可，同时需要将这个批处理软件拖到“windows-开始-程序-启动”中，以便用户每次开机后计算机自动加载并执行该批处理文件，对用