返回
arp协议分析与防范

arp协议分析与防范

ID:4121553

大小:185.43 KB

页数:3页

时间:2017-11-29

arp协议分析与防范_第1页
arp协议分析与防范_第2页
arp协议分析与防范_第3页
资源描述:

《arp协议分析与防范》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、万方数据2007年第12期沿海企业与科技NO.12,200711垦箜里!塑!鱼Q垒兰坠兰兰翌堡垒!垦!翌兰垒翌旦曼竺!里翌曼堡垒堡璺坚堕旦塑堡兰(g坠里望!垦堕!丛z盟Q:里!)ARP协议分析与防范捌已利增,陈宝[摘要]文章介绍ARP协议的基本原理和基本工作过程。ARP协议自身存在的缺陷,成为木马病毒进行网络欺骗行为之一。通过分析木马病毒的ARP欺骗分析和发现方法,提出防范木马病毒的ARP欺骗攻击措施。[关键词]ARP协议;ARP欺骗分析;网络攻击[作者简介]姚利增,唐山学院计算中心,研究方向:计算机网络安全,河北唐山,063000;陈宝,唐

2、山学院计算中一心,研究方向:计算机应用,河北唐山,063000[中图分类号]TP393[文献标识码]A[文章编号]1007—7723(2007)12一0060一0002最近学校微机室的局域网总是不稳定,连连出现断网的现象。由于微机室通过校园网共享internet的方式连接互联网,开始以为是校园网Intemet出口的故障呢,可是掉线情况越来越频繁,经过认真的走访发现校园网中有的电脑正常,没有发生过掉线现象。这下我们认定问题出现在微机室内部,并断定是病毒在捣鬼!根据局域网内计算机频繁掉线的现象,认为单位内的某台电脑可能中了ARP病毒,这种病毒有些

3、杀毒软件很难根除,病毒发作时其症状表现为计算机网络连接正常,却无法打开网页;或由于ARP欺骗的木马程序(病毒)发作时发出大量的数据包,导致局域网内用户上网不稳定,极大地影响了用户的正常使用,给整个局域网的安全带来严重的隐患。下面对ARP协议分析与防范作探讨。一、ARP协议工作过程ARP协议是“AddressResolutionProtocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的数据单元是“帧”,帧里面有目的主机的MAC地址。在以太网中,一个主机要和另一个主机进行直接通信,必须知道目的主机的MAC地址。这个目的MAC地址就是通

4、过地址解析协议获得的,就是主机在发送帧前将目的IP地址转换成目的MAC地址的过程。ARP协议的基本功能就是通过目的设备的IP地址查询目的设备的MAC地址,以保证通信的顺利进行。二、ARP攻击分析众所周知,以太网寻址是通过MAC地址而不是IP地址。ARP协议实现了IP地址到MAC地址60的转换。如果数据链路层不知道目的IP的MAC地址,它就向局域网广播一个ARP请求给网内的每一台主机,但只有具有此IP的主机收到这份广播报文才会向源主机回送一个包含其MAC地址的ARP响应。为了提高地址转换效率,每台主机的内存中都存在有一个从IP地址到MAC地址的

5、映射表,称为ARP缓存,它是一个动态变化的转换表,用于存放主机最近使用的IP地址和MAC地址的映射记录。对大多数操作系统而言,如果收到一个ARP应答,它们不管自己是否在此之前曾发出ARP请求报文,都会自动更新自己的ARP缓存,因此ARP是一个无状态的协议,ARP欺骗就是利用这一点进行欺骗。ARP欺骗的核心思想就是向目标主机发送一个伪造的IP—MAC映射的ARP响应,使目标主机收到伪造的ARP应答后更新其ARP缓存,从而使目标主机将数据包发送给指定的主机。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络

6、中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP—MAC条目,造成网络中断或中间人攻击。ARP攻击在现今的网络中频频出现,有效地防范ARP形式的网络攻击已成为确保网络畅通的必要条件。通过以上的分析可知,ARP工作的原理不需要通过双方的验证,也即是建立在双方互相信任的基础上,另外映射关系不是持久的,是有存在时间的,而且不去记忆是否有发送过请求报文。因此,ARP协议具有动态性,无序性、无记忆性、无安万方数据全管理等特性,这也是ARP攻击的基础。由于ARP攻击主要利同ARP协议的漏洞,

7、因此目前没有彻底的方法来防御ARP攻击。我们可以通过一些安全措施提高网络的安全性。当局域网中有ARP攻击时,它一般不会单独地攻击某一台机器,而是整个局域网,涉及面积比较大,可以在很短的时问内使整个网络瘫痪。因此,及时地发现ARP攻击源是非常重要的。一般可以采用以下几种方法。三、ARP攻击发现1.使用“ARP—a”命令显示本机的ARP缓存,目的主机IP所对应的MAC地址与真正的MAC地址不符,说明本机已经遭受ARP攻击。2.监听数据报文当有ARP攻击的时候,攻击源一般会向本网段内的所有主机发送ARP请求报文。因此可以利用抓包工具,如Sniffe

8、r进行抓包,如果发现有大量的ARP请求报文从某一台机器发出,那么这台机器极有可能就是攻击源。3.查看网关ARP缓存ARP最主要的攻击对象就是网关。因此可以查看网关的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。