校园欺骗如何防范【浅谈ARP欺骗原理与防范】

　　 [摘要] 本文介绍了ARP协议的基本原理与工作过程,由于ARP协议自身存在的缺陷,成为木马病毒进行网络欺骗行为之一。本文主要以以太网为例,从ARP协议进行研究,进而深入探讨ARP工作原理及ARP欺骗原理,并提出相应解决思路,希望对大家有所帮助。
　　[关键词] ARP协议 IP地址 MAC地址 以太网 ARP攻击 ARP欺骗
　　
　　一、引言
　　在 Internet上,数据包传输主要看设备的IP地址,但数据包在以太网中传输时,以太网设备并不识别 32位 IP地址:它们是以 48位以太网地址传输以太网数据包的。因此,IP驱动器必须把 IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射,常常需要查看一张表。地址解析协议(Address Resolution Protocol,ARP)就是用来确定这些映象的协议。
　　二、ARP协议概述
　　ARP(地址解析协议)是用来处理从 IP地址到网卡硬件 MAC地址转换的一个协议。ARP工作时,送出一个含有所希望的 IP地址的以太网广播数据包。目的地主机,或另一个代表该主机的系统,以一个含有 IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来,以节约不必要的 ARP通信。如果有一个不被信任的节点对本地网络具有写访问许可权,那么,也会有某种风险。这样一台机器可以发布虚假的 ARP报文并将所有通信都转向它自己,然后它就可以扮演某些机器,或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上,ARP映射可以用固件,并且具有自动抑制协议达到防止干扰的目的。
　　三、ARP的工作原理
　　以太网设备比如网卡都有自己全球唯一的MAC地址,它们是以 MAC地址来传输以太网数据包的,但是它们却识别不了我们 IP包中的 IP地址,所以我们在以太网中进行 IP通信的时候就需要一个协议来建立 IP地址与 MAC地址的对应关系,以使 IP数据包能发到一个确定的地方去,这就是 ARP。
　　四、ARP欺骗攻击原理
　　1.ARP协议安全缺陷
　　在 TCP/IP协议的网络环境下, ARP工作时,送出一个含有所希望的 IP地址的以太网广播数据报。一个 IP数据报走到哪里,要怎么走主要是靠路由表定义。但是,当 IP数据包到达该网络后,哪台机器响应这个 IP包却是靠该 IP包中所包含的硬件MAC地址来识别。也就是说,只有机器的硬件 MAC地址和该IP包中的硬 MAC地址相同的机器才会应答这个 IP包,所以,在每台主机的内存中,都有一个 ARP→硬件 MAC地址的转换表。通常是动态的转换表(该 ARP表可以手工添加静态条目)。也就是说,该对应表会被主机在一定的时间间隔后刷新。这个时间间隔就是 ARP高速缓存的超时时间。如果有一个不被信任的节点对本地网络具有写访问许可权,就可以在网络中发布虚假的 ARP报文并将所有通信都转向它自己。伪造假 IP地址或 MAC地址,或顺便对数据流进行简单的修改,ARP机制也会自动起作用。因为 ARP协议无法识辨真假 IP数据包头,这是当初设计 TCP/IP协议的 ARP协议留下的一个缺陷,使得 ARP协议在使用的过程中存在着盗用 IP地址和 ARP欺骗等严重的安全问题。
　　2.ARP欺骗原理
　　假设一个局域网环境中,网内有三台主机,分别是 A、B、C主机位于同一个局域网中,如下描述:
　　A主机地址为:IP:192.168.12.1 MAC:AA-AA- AA- AA-AA-AA;
　　B主机地址为:IP:192.168.12.2 MAC:BB-BB- BB- BB-BB-BB;
　　C主机地址为:IP:192.168.12.3 MAC: CC-CC- CC- CC-CC-CC;
　　B――>A――>C
　　BIP对应表,不要让主机刷新你设定好的转换表。
　　3.除非很有必要,否则停止使用 ARP,将ARP做为永久条目保存在对应表中。
　　4.使用ARP服务器。通过该服务器查找自己的 ARP转换表来响应其他机器的 ARP广播。确保这台 ARP服务器不被黑。
　　5.使用“proxy”代理 IP的传输。
　　6.使用硬件屏蔽主机。设置好你的路由,确保 IP地址能到达合法的路径。(静态配置路由 ARP条目),注意,使用交换集线器和网桥无法阻止 ARP欺骗。
　　7.管理员定期用响应的 IP包中获得一个rarp请求,然后检查 ARP响应的真实性。
　　8.管理员定期轮询,检查主机上的 ARP缓存。
　　9.使用防火墙连续监控网络。注意在使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
　　参考文献:
　　[1]Refdom.交换网络中的嗅探和 ARP欺骗.
　　[2] ARP协议分析.2006-7-4.