ARP病毒对校园网络影响论文：校园网ARP欺骗原理与防御方法研究

1、_论文发表专家一顾中国学术期刊洌wwv/ARP 病毒对校园网络影响论文： 校园网 ARP 欺骗原理与防御方法研究摘要：ARP 病毒对校园网络影响很大，严重妨碍了校园的安全和稳定，本文介绍了ARP 病毒的攻击原理，并根据其原理提出几种防御的方法。关键词：ARP 拥塞地址映射地址解析协议中图分类号：TP393 文献标识码：A 文章编号：1007-9416（ 2011）05-0072-02The Prin ciple of ARP Cheat and the Defe nse Method on Campus NetworkAbstract: The ARP virus serious in flu

2、e nee campus n etwork s safety and stability, in this paper,the author in troduces the prin ciple of ARP attacks and several defe nse methods.Key words: ARP Con gesti on address mapp in gAddress Resoluti on Protocol1、引言随着科技的进步，网络也逐渐成为了人们在工作、生活中不可缺少的一部分，高校的网 络得到了较快的发展，近几年来，随着校园网络规模急剧膨胀、网络用户数量快速增长，给AR

3、P 病毒的传播带来一个绝佳的机会，ARP 病毒在高校网络当中迅速蔓延。ARP 病毒发作的迹象就是间断性的断网，网络性能严重不足、网速变慢，其原因是本来流向主干网络的大量的信息却流向了病毒主机，而且这些大量的数据包可能使得本网段拥塞，所以使得网速变得很慢或者直接断网。2、ARP 介绍ARP1,2 （Address Resolution Protocol，地址解析协议），用于 IP 地址到 MAC 地址的映 射，这一对映射是很有必要的，原因是在网络层及其以上的层次在传输信息时，必然要使用到 IP 地址，然而物理层却并不识别IP 地址，更不会为其服务传输这些信息，所以必须先进行地址解析，然后才能通过

4、物理层传输数据，所以说 ARP 协议对网络通信来说是很重要的。ARP 地址解析的具体步骤如下：假定在一个局域网内，主机A 欲向主机 B 发起通信（前提是已知主机B 的 IP 地址），首先到自己的 ARP 缓存表中查询是否存在（IPB，MACB ）这一对映射，如果不存在，便 向网络当中广播一个ARP 请求数据包， 内容是： 我的 IP 地址为： IPA，物理地址是： MACA，IP 地址是： IPB 的主机， 请答复你的 MAC地址是多少？ ”只有 IP 地址是 IPB 的主机把 自己的 MACB 地址写进 ARP 回复报文进行 ARP 应答。在局域网当中为了尽量减少ARP 请求广播，每一个主机

5、都有一个 ARP 缓存表，并根据接受到的 ARP 应答报文动态的更改自己的ARP 缓存表。此 ARP 协议的缺陷就在于没有一个有效检测机制，不管 ARP 应答报文中的（IP, MAC）映射是否合法，都会对自己的 ARP缓存表就行更新，所以一些不法分子可以通过伪造IP 和 MAC 的映射来制造 ARP 欺骗攻击，轻则造成被攻击的主机经常断网，重则是截取被攻击主机的重要信息，使得受害者蒙受巨大损失。3、ARP 欺骗3一般来说，ARP 欺骗是在篡改 ARP 缓存表的基础上实施的，ARP 病毒有 2 种攻击形式， 即主动攻击形式和被动攻击形式。3.1 主动攻击形式存中的 IP 和 MAC 映射。3.1

6、.1 中间人攻击在某一局域网当中存在以下几台主机（IP / MAC ），如下图所示：在正常情况下，A 可以利用自己 ARP 缓存表中的信息或者使用ARP 协议是可以跟 D正常通信的，此时 C 向 A 发送 ARP 数据包，其内容是（，CCCC CC物理地址修改为：CC CCCC），A 收到此数据包时，会修改自己的ARP 缓存表，把 D 的CC CC CC CCCC CC，此时当 A 再向 D 发送数据时，数据包首 先发送到 C,，即 C 截取到了 A 数据包。3.1.2 仿冒网关欺骗所 谓 的 仿 冒 网 关 欺 骗 就 是A R P 病 毒 向 网 络 的 中 主 机

7、发 送 含 有 错 误 网 关 （I P ,M A C ） 映射对的 ARP 数据包，受害主机接受到此 ARP 数据包并更新了自己的 ARP 缓存表，当受害 主机发送数据时，这些本来流向网关的数据却被重定向到另一台主机上或一个错误的MAC地址上，导致受害主机无法访问网关。如图2 所示：在主机 A 向本网段中发送了一个 ARP 数据包，内容是（，FF-FF-FF-FF-FF-FF），在本网段中的主机 C 接受到此 ARP 数据包，根据其内容更新自己的 ARP 缓存表，即错误的更改了网关的（IP，MAC ）映射，此时主机 C 在一段时间内是无法 访问到网关的。3.1.3 AR

8、P 洪泛攻击ARP 洪泛攻击就是感染 ARP 病毒的主机，在一段时间内持续的向网络中发送ARP 数据包，远远的超过了本网段中主机的ARP 缓存表容量，即主机 ARP 缓存表当中都是错误的（IP，MAC ）映射，并且无法学习到合法的映射，此时，主机无法正常获取网络服务。3.2 被动攻击形式所谓的被动攻击形式就是攻击主机并不主动的去修改受害主机的ARP 缓存表，而是当受害主机发送 ARP 协议询问包时，再进行应答，实施欺骗攻击。由此，可以看出 ARP 协议默认所有的 ARP 数据包都是可信的。4、解决方法4.1 配置静态记录因为在校园网络中，常见的ARP 攻击方式就是仿冒网关，所以我们首先要获悉正

9、确网关的（IP，MAC），然后在命令提示符下运行arp d，清空主机的 ARP 缓存表，然后再使用命令 arp s 配置静态的 ARP 记录，这样可以有效的阻止 ARP 攻击，但是这样会破坏ARP 动态解析的过程，需要管理人员实时的去修改ARP 记录，不宜维护。4.2 在交换机上启动 DHCP Snooping 和 DAI 服务DHCP Snooping 主要作用就是屏蔽掉非法的DHCP 服务器，使用户获取到正确的网络地址，并且建立、维护一张动态的DHCP-Snooping 表，这张表格是用 DHCP ack 数据包中的 IP / MAC 映射对生成的，还可以手动的添加记录，此表格是 DAI 技术的基础，DAI 技术原理就是截取网络当中的 ARP 数据包，验证此数据包当中的MAC / IP 映射是否合法（与DHCP-Snooping 表进行比较），验证成功就转发，否则丢弃此数据包。4.3 划分 Vian划分 Vian 的好处就是减少广播在网络中传播，将广播隔离在一个小的网段当中，所以 即使本网段中有主机感染了ARP 病毒，那么该病毒波及的范围也不会太大，不至于蔓延到整个网络。校园网络可以根据实际情况进行划分Vian，并且把每一个 Vian 端口与 ARP 防火墙相_论文发表专家一 顾中国学术期刊風www.qikan