ARP攻击论文定位攻击源论文

1、仅供个人参考ARP攻击论文定位攻击源论文摘要：目前局域网内充斥着各种网络攻击，其中arp 攻击对局域网的安全稳定影响最为严重。若局域网中存在该类型的网络攻击，将导致局域网内的主机出现大面积掉线、个人重要信息被窃取等严重安全事故。本文对arp 协议及 arp攻击原理进行了详细分析，实现了在不借助任何网络分析工具的前提下快速定位 arp 攻击源的方法，大大节省了定位与过滤 arp 攻击源所需的时间，具有较强的实用性。关键词： arp 攻击； arp 协议；定位攻击源；过滤攻击源arp attack source rapid positioning and filtering policy rese

2、archzhong rui(modern education technology center,gannan normal university,ganzhou341000,china)abstract:nowadays the lan is full of various network attacks,which arp attack effects the securityand stability most seriously.in case that there is arp attack in the lan,it could result in severe safetyacc

3、identssuch as largearea networkdisconnectand thestealing of the user s important information.this article makes a detailed analysis of arp protocol and不得用于商业用途仅供个人参考attacking principle,finding a way of locating attack source promptly without any network analysis instruments.this method saves much ti

4、me spent in locating and filtering arp attack source to a great extent and has a strong practicability.keywords:arp attack;arp protocol;attack source locating;attack source filtering一、 arp 协议简介arp 协议是“ addressresolutionprotocol ”（地址解析协议）的缩写，在二层网络交换环境中，主机之间的网络通信是基于mac 地址寻址， arp 协议提供了ip 地址与对应的mac地址之间的

5、动态映射，为了加快 ip 地址的转换速度，在主机和路由器中具有相应的arp 缓存表，在该缓存表中集中存放了最近一段时间ip 地址到 mac 地址的映射记录，为了保证了 mac地址准确性， arp 缓存表采用了老化机制，若在规定的时间内某条映射记录未被使用，该记录将从缓存表中删除，因此老化机制使用能够减少arp 缓存表的长度，加快查询速度。二、 arp 协议存在的安全问题由于 arp 协议是局域网协议，是建立在各个主机之间相互信任的基础上，因此存在以下安全问题。1. 主机与路由器中的arp 缓存表允许动态更新，攻击者不得用于商业用途仅供个人参考能够在 arp 缓存表的老化时间内对缓存表中的信息进

6、行恶意的修改，以实现假冒或拒绝服务攻击。2. 可随意发送arp 应答包，攻击者能够在没有收到arp请求包的情况下发送arp 应答包，当主机或路由器接收到该应答包时将无条件刷新本机arp 缓存。3. 局域网内的主机通信是基于主机之间的相互信任的，因而 arp 应答包发送，无须经过任何认证。三、 arp 攻击原理与攻击源定位由于在主机和网关中都有arp 缓存表，攻击者利用arp协议存在的不足，能够对主机的arp 缓冲或网关的arp 缓冲进行欺骗性攻击， 通过分析目前arp 攻击存在以下两种方式：（一）攻击主机冒充网关攻击正常主机故障现象：当网络中出现该类型的网络攻击时，所有主机在访问网络时都会出现

7、访问速度慢，甚至网络中断等故障。在正常网络情况下主机a 在访问外部网络时，所有数据包直接发送至网关进行转发，主机a 的 arp 缓存表中存放着网关 ip 地址与 mac 地址的对应关系： ip ： mac：，当网络中主机 b 实施 arp 攻击时，攻击主机 b 通过向主机 a 发送含有伪造的网关 mac 地址的 arp 应答包，该欺骗包将更新主机 a的 arp 缓存，把缓存中网关的 ip 地址与 mac地址的对应关系改为： ip ： mac：，此时主机 a 将把局域网中 mac 地址为，不得用于商业用途仅供个人参考主机 a 的所有数据包发往该虚假网关，这种arp 攻击方式将导致主机 a 的网络

8、中断及重要个人数据被窃取等严重安全问题。若攻击主机b 要实施大面积的arp 攻击时，则会以循环的方式向局域网中所有主机发送arp 广播包，所有接受到该arp 包的主机都会将本机的arp 缓存中的网关ip 与 mac地址的对应项变更为ip ： mac：，导致局域网中被攻击主机的数据包都发送给主机b，攻击者将这些数据包捕获下来并进行拆包分析，便能获得被攻击用户的大量信息，导致他人重要资料被窃取以及网络的中断，因此该类型网络攻击一种非常恶劣的网络攻击方式，对局域网的安全稳定造成极大的影响。 arp 攻击源定位成为解决该类型网络攻击的关键。arp 攻击源定位的具体定位步骤为：第一步：查看被攻击主机的a

9、rp 缓存，具体查找方法是进入系统命令行界面使用arp a 命令查看主机arp 缓存表，如图 1 所示。其中，网关所对应的mac地址22-22-22-22-22-22是伪造的。第二步：登录该局域网所在的交换机，由于交换机属于二层网络设备，通过使用命令showmac-address-table|include，查找该伪造mac 地址位于交换机上的哪个端口，查找方法如图2 所示。通过以上两步查找，即可将arp 攻击源定位到交换机所不得用于商业用途仅供个人参考在端口。（二）攻击主机欺骗网关冒充正常主机故障现象：当网络中出现该类型的 arp 攻击时，局域网中被攻击主机在访问任何网页时都会弹出一个带病毒

10、的网页，导致病毒安装在受攻击主机中，同时访问网络的速度变慢甚至出现网络中断。被攻击主机用户即使把重装操作系统也无法解决该故障。攻击原理：攻击主机b 在未实施arp 攻击时，主机a 能够与网关进行正常的通信，在主机a 的 arp 缓存表中存放了网关的 ip 地址与 mac地址的对应关系ip ： mac：，而在网关的 arp 缓存表中存在了主机 a 的 ip 地址与 mac 地址的对应关系 ip ： mac：，主机 b 不停的向网关发送包含有伪造主机mac地址的 arp 应答包，用于修改网关的arp 缓存表，此时网关的 arp 缓存中所存放的主机a 的 ip 地址与 mac 地址的对应关系变为ip

11、 ： mac：，主机 a 所对应的mac地址变为了主机 b 的 mac 地址，由于攻击主机b 在不停的更改网关arp缓存中主机a 的 ip 地址与 mac 地址的对应关系，导致所有由网关转发给主机a 的数据包无法直接到达主机a，数据包将由攻击主机b 接收，再由主机b 转发给主机a，这样控制攻击主机 b 的能够捕获主机a 的所有数据，造成严重的安全事故。不得用于商业用途仅供个人参考若攻击主机b 要对局域网中所有主机实施该类型 arp 攻击时，主机 b 以循环的方式不断的向网关发送大量 arp 欺骗包，对网关的 arp 缓存表中所有的 ip 地址与 mac 地址的对应关系进行修改， 将所对应的 m

12、ac 地址都改为攻击主机 b 的 mac 地址， arp 攻击的后果是：局域网中所有主机的数据包能够发送至网关，但是回程数据包由网关返回给攻击主机b，再由主机b 转发给局域网中被攻击主机，这样将导致局域网中大量用户数据窃取，用户上网速度急剧变慢，甚至断网。arp 攻击源定位的具体定位步骤为：第一步：登录网关查看网关的arp 缓存表，查找发送伪造 arp 广播包的 mac地址，使用命令show arp|include，查看该局域网内发送arp 攻击包的主机mac地址，在图3 中可以看到，网关的arp 缓存表中的所有ip 地址都对应了一个相同的 mac 地址，该 mac地址即为攻击主机b 的 ma

13、c。第二步：使用命令show mac-address-table|include，查找该伪造mac 地址位于交换机上的哪个端口，查找方法如图4所示。通过以上两步查找，即可将arp 攻击源定位到交换机所在端口。四、 arp 攻击源的过滤通过以上几个步骤将攻击源的mac地址定位到了交换机不得用于商业用途仅供个人参考所在的端口，在本章中将使用交换机中的 mac 地址访问控制策略，对发送 arp 攻击数据包的 mac地址实施过滤，实现了网络管理员在处理 arp 攻击事件时，能够在不到现场的条件下，对 arp 攻击源进行定位与过滤。具体操作流程是：第一步：记录下需要过滤的mac，查找到该mac 地址对应

14、于交换机所在的端口，如图5 所示，该 arp 攻击源处于该交换机的第十口；第二步：配置mac地址访问控制策略，如图6 所示，该访问控制策略的名称为abc，对 mac 地址为；第三步：将该mac 地址访问控制策略应用到交换机的第十口，如图7 所示；通过以上步骤即可在交换上将arp 攻击源上发出的所有数据包进行过滤，该方法的实现从根本上解决了arp 攻击导致的安全事故五、总结本文从 arp 协议所存在的不足以及 arp 攻击的原理等方面对 arp 攻击现有两种攻击模式进行了阐述，实现了使用交换机所具有的管理功能对 arp 攻击源的定位与过滤，极大的提高了网络管理员在处理大面积 arp 攻击的效率，

15、具有较强的实用性。参考文献：不得用于商业用途仅供个人参考1 黄天福 . 基于改进协议机制的防 arp 欺骗方法 j. 计算机工程 ,2008,34(14):168-1702 王佳 , 李志蜀 . 基于 arp 协议的攻击原理分析 j. 微电子学与计算机 ,2004,21(4):10-123 唐涛 .arp欺骗攻击分析及一种新防御算法j.中国高新技术企业 ,2008,12:129-1344 岑贤道 , 常安青 . 网络管理协议及应用开发 m. 北京 :清华大学出版社,2005不得用于商业用途仅供个人参考仅供个人用于学习、研究；不得用于商业用途。For personal use only in study and research; not for commercial