欢迎来到天天文库
浏览记录
ID:21962132
大小:52.00 KB
页数:5页
时间:2018-10-25
《局域网arp欺骗的工作原理与防范策略》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、局域网ARP欺骗的工作原理与防范策略摘耍:ARP欺骗的发生严重影响到局域网用户的上网安全,网络的正常运转。本文从研究ARP协议的工作原理和交换机的工作原理出发,表述了ARP欺骗的现象及类型,然后对ARP欺骗提出了冇力的防范策略。关键词:ARP欺骗;交换机;防范1引言随着计算机网络的飞速发展,大多数单位都建立了自己的局域网。ARP(AddressResolutionProtocol)地址解析协议是局域网中数据链路层不可缺少的协议,但黑客利用此协议瀬洞编制出ARP病毒,网络剪刀手,网络执法官等恶意软件,使正常局域网用户上网必须通过病毒主机上网,造成用户上网速度特别慢,一会
2、能上,一会断掉,用户上网的个人帐号和密码等信息泄露,这已成为网络管理者迫切需耍解决的问题。2ARP协议和交换机的工作原理分析2.1ARP工作原理局域网中上网的每台主机都必须有一个IP地址,在IP数据报的头部钮含源主机和目的主机的IP地址,但在数据链路层是以帧为单位进行数据传输,例如Ethernelll的帧格式如表1所示。Ethernet_II帧结构7166246.15004前导灼啾打定畀符日的地址源地址突型1P狼破报轴校验在帧格式屮目的地址和源地址都是6个字节,48比特表示,该地址称为MAC地址,又称物理地址。生产网卡时,MAC地址被固化在网卡芯片中。在MAC地址的6
3、个字节中,前3个字节由ffiEE(国际电气和电子工程师协会)负责分配,这3个字节称为“厂商代码”,后3个字节由厂商自行分配,这种方法使得全世界范围内每一块网卡的地址都是唯一的。2.2交换机的工作原理交换机按照收到的每一个数据帧中的MAC地址进行信息转发。交换机维护着一张地址映射表,记录MAC地址和交换机端I」的对应关系。当交换机接收到一个数据帧后,它首先读取帧头中的源MAC地址和目标MAC地址。交换机根据源MAC地址和接收这个数据帧的端UI就可以知道源MAC地址的机器连接在哪个端口上,从而更新地址映射表。交换机再根据目标MAC地址在地址映射表屮查找对应的端口,如果查到
4、则把数据帧直接复制到这个端口上,如果表屮没宥记录则把数据帧广播到除此接收端II之外的所宥端II上。当FI标机器对源机器发回响应吋,交换机就吋以知道H标MAC地址在哪个端口上,并更新地址映射表,下次再传送数据帧给这台机器吋就不需要广播Y,而是直接转发。以上分析的结论是:交换机维护着一张地址映射表,表中的MAC地址与交换机端口号的对应关系是学习得到的,因此交换机上不存在ARP欺骗问题3ARP欺骗的故障现象及类型3.1ARP欺骗的故障现象在H常生活屮,我们经常会遇到一些网络的故障现象,如:打开~些站点吋返冋本地计算机的网页被修改,网页上出现了指向病毒网站的超链接、网贝错误等
5、;用户上网的速度明显变慢,在Ping与DNS的连通性时明显时间过长且长短不稳定,甚至常常发生丢包现象;从网卜.邻居拷贝文件宥时无法完成、出现错误等现象。出现这些叫题后,一般的用户会对本机查汆病毒和安装防火墙,但都不能有效的解决问题。M站管理员也会检查站点的源程序是否被挂木马,但结果是源程序正常。经过反复分析、研究和实践,确定主要原因是局域网内的ARP欺骗问题。3.2ARP欺骗的类型一种是对局域网计算机的欺骗,另~种是对内部网关的欺骗。对于局域网计算机的ARP欺骗实质是:病毒主机以代理计算机的身份插入在两台计算机之间,截获用户的数据、总改用户的数据,使用户上网的速度变慢
6、或者上不了网。这种ARP欺骗最常见的形式就是病毒主机将自己伪造成网关:病毒主机使用M关的IP地址和G己的MAC地址伪造一个ARP应答帧,并将该帧以一定的频率发送给被欺骗主机;ARP协议的原理决定了无论一台计算机是否发送过ARP请求帧,当它收到一个ARP应答帧吋都会检查并更新自己的ARP缓存表;于是被欺骗主机的ARP缓存表中网关的IP地址就指向了假网关的MAC地址;以后该用户计算机发往网关的数据帧则全部发给了这台病毒主机。对于网关的ARP欺骗实质是:病毒主机川网关发送伪造的ARP应答帧,造成网关ARP缓存表屮的错误记录,使M关将原木发送给用户计算机的数据发送给了错误的机
7、器,严重时网关将无法工作。这种ARP欺骗最常见的形式就是病毒主机将自己伪造成用户计算机:病毒主机用伪造的IP地址和自己的MAC地址伪造一个ARP应答帧,并将该帧以一定的频率发送给网关;网关检杳并更新Cl己的ARP缓存表;于是网关的ARP缓存表中伪造的1P地址就指叫了病毒主机的MAC地址;以后网关发往该IP地址的数据帧则全部发给Y这台病毒主机。4ARP欺骗的防范ARP欺骗利用了ARP协议固冇的缺陷,但是采用以下几种方法是可以冇效的对ARP欺骗进行防范的。4.1IP地址与MAC地址绑定在开始-〉运行屮输入cmd,然后用arp-d和arp-s命令对IP地址
此文档下载收益归作者所有