局域网内ARP地址欺骗问题研究.docVIP

局域网内ARP地址欺骗问题研究 　　摘 要： 本文介绍了ARP的工作原理及病毒如何利用ARP地址欺骗的方式影响网络。并就目前的ARP地址欺骗问题给出了解决方法，为网管员解决ARP地址欺骗问题提供了参考。 　　关键词： ARP MAC 地址欺骗 　　 　　目前最让管理员头疼的问题莫过于ARP欺骗攻击导致局域网内机器上不了网的问题了。ARP病毒利用ARP欺骗原理不断发送大量数据包，伪装自己成为网关，严重影响了网络的正常运行。下面我们就来看看如何解决这个问题。 　　 　　一、ARP的基本介绍 　　 　　ARP “Address Resolution Protocol”（地址解析协议），局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 　　ARP协议的工作原理：在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，我们以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.1.1的MAC地址是什么？”网络上其它主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09。”这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表。 　　 　　二、ARP病毒分析 　　 　　当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和网关，让所有原来通过网管的流量必须经过病毒主机，导致其他用户无法访问正常的网关而无法上网。由于ARP欺骗的木马程序发作的时候会发出大量的数据包，导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。 　　 ???　三、解决办法 　　 　　1. 利用sniffer检测病源宿主 　　sniffer是网络管理的好工具，网络中传输的所有数据包都可以通过sniffer来检测。同样arp欺骗数据包也逃不出sniffer的监测范围。 　　一般来说ARP欺骗数据包没有留下发送虚假信息的主机地址，但是承载这个ARP包的ethernet帧却包含了它的源地址。而且正常情况下ethernet数据帧中，帧头里的MAC源地址/目标地址应该和帧数据包中ARP信息配对，这样的ARP包才算是正确的。如果不正确，肯定是假冒的包，当然如果匹配的话，我们也不能过于放松，一样不能代表是正确的，另外通过检测到的数据包再结合网关拥有的本网段所有MAC地址网卡数据库，看看哪个和MAC数据库中数据不匹配，这样就可以找到假冒的ARP数据包，并进一步找到凶手了。 　　2. 利用DHCP结合静态捆绑 　　要想彻底避免ARP欺骗的发生，我们需要让各个计算机的MAC地址与IP地址唯一且相对应。虽然我们可以通过为每台计算机设置IP地址的方法来管理网络，但是遇到那些通过ARP欺骗非法攻击的用户来说，他可以事先自己手动更改IP地址，这样检查起来就更加复杂了，所以说保证每台计算机的MAC地址与IP地址唯一是避免ARP欺骗现象发生的前提。 　　（1）建立DHCP服务器保证MAC地址与IP地址唯一性 　　首先我们在服务器上启用DHCP服务，开通DHCP服务，给每台机器的网卡绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址，但每次开机的IP地址都是一样的。以上这些绑定关系可以通过DHCP的地址池来解决，或者将客户端获得IP等网络参数信息的租约设置为一个非常长的时间，例如一年或者无限时间，这样在此时间段里只要MAC地址不变，客户端获得的IP地址也是不变的。 　　（2）建立MAC地址数据库 　　把网吧内所有网卡的MAC地址记录下来，每个MAC和IP、地理位置统统装入数据库，以便及时查询备案。可以以EXCEL表格的形式保存，也可是保存成数据库文件。 　　（3）禁止ARP动态更新 　　为了防止网关被随意攻击，我们还需要在网关机器上关闭ARP动态刷新功能，这样，即使非法用户使用ARP欺骗攻击网关，对网关也是无效的，从而确保主机安全