ARP攻击对网络安全的危害及对策研究

减小字体 增大字体 作者:李静媛  来源:www.zhonghualunwen.com  发布时间:2009-12-19 16:10:06

 摘要:近年来很多网络遭受ARP病毒的侵犯,ARP欺骗是一种典型的欺骗攻击类型,它利用了ARP协议存在的安全隐患,并使用一些专门的攻击工具,使得这种攻击变得普及并有较高的成功率。文中通过分析ARP协议的工作原理,探讨遭受ARP攻击时表现症状及原因,提出了ARP攻击检测与处理的办法和几种常规可行的解决方案。
  关键字:ARP攻击;网络安全;对策
  
  近年来,许多网络用户访问互联网时断时续,出现上网速慢、上网不稳定的情况。究其原因,很可能是机器受到一种名为ARP欺骗木马程序(病毒)的攻击(ARP是“Address Resolution Protocol”“地址解析协议”的缩写)。ARP攻击往往导致计算机网络连接正常,却无法打开网页;或由于ARP欺骗的木马程序(病毒)发作时发出大量的数据包,导致用户上网不稳定,甚至网络中断,使网络安全受到极大的威胁,如何有效的防范ARP攻击是网络管理的重要内容。
  1 ARP协议工作原理
  ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址就是通过地址解析协议获得的,所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议主要负责将网络中的32位IP地址转换为对应的48位物理地址,即网卡的MAC地址,比如IP地址位192.168.10.5网卡MAC地址为00-05-0F-ED-1D-5B。整个转换过程是一台主机先向目标主机发送包含有IP地址和MAC地址的数据包,通过MAC地址两个主机就可以实现数据传输了。
  在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的。我们以主机A向主机B发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,网络上其它主机关不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应,并返回MAC地址,这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表。
  2遭受ARP攻击时表现症状及原因
  常见的ARP攻击主要包括网关劫持和双向的ARP欺骗。网关劫持是指攻击主机仿冒网关发出ARP响应包,诱骗其它客户机以为攻击主机是网关,从而找不到真正的网关而无法上网。这种攻击最常见的是网络中某一台电脑中了ARP病毒,导致整个网络或者中毒电脑所在的网段不能上网,如果病毒在局域网中迅速扩散,大量的中毒电脑不断发送ARP广播包还可能导致整个网络中断。
  2.1遭受ARP攻击时表现的主要症状
  网络内用户会突然掉线,过一段时间后又恢复正常。 使用即时通讯工具软件(如QQ、MSN)时频繁断网,IE浏览器频繁出错。使用身份认证上网的用户,出现能够通过认证,但是无法上网的情况。计算机上网速度比正常时缓慢许多。
  2.2遭受ARP攻击时表现的主要原因
  原因之一:当局域网内某台主机感染了ARP病毒时,会向本局域网内所有主机发送ARP欺骗攻击,让原本流向网络

[1] [2] [3]  下一页

Tags:

作者:李静媛
  • 好的评价 如果您觉得此文章好,就请您
      0%(0)
  • 差的评价 如果您觉得此文章差,就请您
      0%(0)

文章评论评论内容只代表网友观点,与本站立场无关!

   评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论