阻止arp攻击.docVIP

阻止ARP攻击，构建安全环境 你是否遇到过在局域网中上网时会突然掉线，过一段时间后又会恢复正常。或者是客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。又或者是你所在的局域网是通过身份认证上网的，会突然出现可认证，但不能上网的现象(无法ping 　　 ?你是否遇到过在局域网中上网时会突然掉线，过一段时间后又会恢复正常。或者是客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。又或者是你所在的局域网是通过身份认证上网的，会突然出现可认证，但不能上网的现象(无法ping通网关)。如果出现了上述状况，那你要小心了，因为你很可能受到了ARP的攻击。 　　那么什么是ARP呢?如何受到攻击的?该怎么解决呢?下文将给你进行一一解答。 　　一 什么是ARP： 　　ARP是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 　　二 ARP的工作原理： 　　只有了解了ARP的工作原理，我们才能更有效地阻止ARP的攻击。简单地说，ARP的原理就是：首先，每台主机都会在自己的ARP缓冲区中建立一个 ARP列表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址，如果有﹐就直接将数据包发送到这个MAC地址;如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。 　　下面举个简单的例子： 　　假设A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA 　　假设B的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB 　　那么根据上面的原理，我们简单说明这个过程：A要和B通讯，A就需要知道B的MAC地址，于是A发送一个ARP请求广播(谁是192.168.10.2 ，请告诉192.168.10.1)，当B收到该广播，就检查自己，结果发现和自己的一致，然后就向A发送一个ARP单播应答(192.168.10.2 在BB-BB-BB-BB-BB-BB)。? 三 受到攻击的原因：ARP欺骗 　　其实，此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 　　第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。 　　下面通过实例来讲讲ARP欺骗的过程： 　　每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的如下表所示。 　　主机 IP地址 MAC地址 　　A 192.168.16.1 aa-aa-aa-aa-aa-aa 　　B 192.168.16.2 bb-bb-bb-bb-bb-bb 　　C 192.168.16.3 cc-cc-cc-cc-cc-cc 　　D 192.168.16.4 dd-dd-dd-dd-dd-dd 　　我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。当发送数据时，主机A会在自己的A