网管首页 
 部门概况 
 部门动态 
 服务指南 
 规章制度 
 党政专栏 
 廉政专栏 
 数字化校园 
 网络监控 
 信息化建设 
 
当前位置: 首页>>网管首页>>服务指南>>校园网络>>技术文档>>正文
 
技术文档
ARP欺骗原理及防范
2014-12-03 11:10  

    在TCP/IP网络环境下,每个主机都分配了一个IP地址,这个IP地址是标识主机的一种逻辑地址。为了让数据在物理网传输介质传送,还必须知道目的主机的物理地址,因此就需要把IP地址转换成物理地址,做这个工作的就是地址解析协议ARP(Address Resolution Protocol),每台安装TCP/IP协议的电脑里都会有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如附表所示。


 

    我们以主机A(192.168.0.8)向主机B(192.168.0.11)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.0.11的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出如下的回应:“192.168.0.11的MAC地址是00-19-e0-3f-1d-ac”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它也会更新自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
    ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的信息,造成网络中断或中间人攻击。
    ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
     此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
    第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址,并以较高的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。在PC看来就是能连接到路由器,但是路由器不返回需要的信息;第二种ARP欺骗的原理是伪造网关。它先建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来就是上不了网了,“网络掉线了”。
    防范ARP欺骗其实也不难,只要在宽带路由器中把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定,就可以保证路由器不被欺骗。在内网所有PC上设置网关的静态ARP信息,在PC上进行IP-MAC绑定,就可以保证PC不被欺骗。如果两个工作同时做的话,称其为IP-MAC双向绑定,双向绑定是目前最有效的方式。


关键字:[ARP)];责任编辑:[admin ]
关闭窗口