校园网中的ARP攻击与解决方法.pdf

资源描述

1、第5 期 ( 总第 1 2 9 期 ) No 5( S UM No 1 2 9 ) 机械管理开发 ME CHANI CAL MANAGEME NT AND D EVE L OP MENT 2 0 1 2 年 1 0 月 0c t 201 2 校园网中的A R P 攻击与解决方法张宇杰，党涛 ( 中北大学现代教育技术与信息中心，山西太原0 3 0 0 5 1 ) 摘要：通过分析局域网中的A R P攻击原理，在发生AR P攻击时的网络症状中，寻找出一些快速解决A R P 攻击的方法，并给出了局域网用户和网络管理人员查找攻击主机的办法和应对举措。虽然AR P攻

2、击不能百分之百的防止但可以通过快速的方法找到并处理。关键词： AR P攻击； A R P病毒； MA C地址中图分类号： T P 3 9 3 1 文献标识码： A 文章编号： 1 0 0 3 7 7 3 X( 2 0 1 2 ) 0 5 0 1 4 7 0 2 0引言 A R P攻击一直是网络用户和网管人员的一个比较头疼的问题。大部分的AR P 攻击 ( 或者叫 A R P欺骗、 A R P 病毒) 都是基于局域网的，虽然存在跨网段的 A R攻击，但解决方法相同。A R P 攻击最终目的是要获得用户的个人信息，所以不可轻视

3、。 1 攻击原理 1 1 ARP 地址解析协议的原理 A R P是地址解析协议 ( A d d r e s s R e s o l u t i o n P r o t o c o 1 ) 的缩写。局域网中实际传输的数据包里必须要有目标主机的 MA C地址。一个主机要和另一个主机通信，源主机必须知道目标主机的 MA C 。但这个目标 MA C如何获得?靠 A R P 协议获得。解析过程：拿主机 A( 1 9 2 1 6 8 1 8 1 0 ) 向主机 B( 1 9 2 1 6 8 1 8 2 0 ) 发送数据为例。当主机准备给主机发数据时

4、，主机先要在自己的 A R P缓存表中寻找是否有目标 I P的 MA C地址。若找到，就把目标 MA C写人数据包开始发数据；如果在 A R P缓存表中没有找到对应 I P ，主机会在网络上发送一个广播，就像是主机向同一网段内的所有主机喊话： “ I P为 1 9 2 1 6 8 1 8 2 0的MA C是多少? ” 网络上非此 I P的主机无反应，只有是此 I P的主机会做出回答： “ 1 9 2 1 6 8 1 8 2 0的 MA C是 B B B B B B B B B B B B ” 。这样主机就获得了主机的MA

5、 C；同时它更新自己的 A R P缓存，下次再向主机发数据时，直接从 A R P 缓存表取。A R P缓存表采用老化机制，在一段时间内如果表中的某一条 I P MAC没有使用，就会删除，这样就可以大大减少 A R P 缓存表的长度，加快查询速度。 1 2 最基本的 A RP 欺骗 A R P协议的基础就是信任局域网内所有主机，这样就很容易受到其他主机的A R P欺骗。如果现在主机 C 要欺骗主机，欺骗过程是： A R P协议并不只在发送了A R P 请求后才接收A R P 应答，所以当计算机接收到没

6、有请求的A R P 应答时，也会对本地的A R P 缓存进行更新 1 。当主机 C 欺骗主机时就向主机发送一个伪造的A R P应答包，主机接收到主机 C T 发出的伪造主机的 A R P包后，主机就更新自己的 A R P 缓存。主机全然不知这种欺骗，认为主机的I P没变但M A C 发生了变化。由于传输数据时根据M A C 地址进行，所以此时主机发送到主机的数据就都发送到了主机 C 。如果这个欺骗数据包中的 I P是网关的，那么主机为了上网发送到网关的数据都会发送到主机，这样就造成主机不能上网。这就是一个简单的

7、AR P 欺骗。 1 3 进一步的欺骗当然这种欺骗也可以让主机通过主机 C 把主机发送到网关的数据转发给网关使主机能上网，但必须在转发前修改数据包的内容，让网关接收到数据包时不再返回主机 C ，而直接返回主机，即让网关认为数据是从主机发来的。这样一来就成了一个三角形的数据流。这样主机就可以截获主机的所有数据。 2 A RP攻击的发现和快速处理方法 2 1 ARP攻击的发现方法方法 1 ) 先打电话问网络中心得知网关的 MA C，然后在不能上网的计算机上输入命令 A R P A查看网关的 I P和 MA

8、 C 。对比这两个 MA C是否一致，如果一致说明不是 A R P攻击。如果不一致就可以断定存在 A R P 攻击。方法 2 ) 用方法 1 的命令，查看是否有两个 I P 对应的MA C是一样的。如果有说明存在 A R P 攻击。网络中心的网管可通过 s h o w l o g g i n g 命令查看网关交换机的日志。对于思科和锐捷的交换机在日志中会有如下记录： I P一 4一 DUPADDR：Du p l i c a t e a d d r e s s 1 92 1 6 8 1 8 3 0 o n Vl a n 99 9 ，s o u r c

9、 e d b y C C C C C C C C C C C C 此处的 I P和 MA C就是中了A R P 病毒的计算机的信息。收稿日期：2 0 1 2 0 5 0 3 作者简介：张宇杰( 1 9 5 7 一 ) ，男，山西太原人，高级实验师，本科，研究方向：网络技术。E - ma i l ： z h y j n u c e d u c n 1 47 第5 期( 总第1 2 9 期) 机械管理开发 2 0 1 2 年1 O月 2 2 A RP 攻击的快速处理方法对于上网用户的快速处理方法是在自己的计算机上使用 A R P

10、S绑定网关的I P 与 MA C 。命令如下： ARP D ARPS 1 9 2 1 6 8 1 8 1 0 AA AA AA AA AA AA ARP S 1 92 1 6 8 1 8 2 0 BBBB BBBB BBBB 第一条命令是删除A R P 缓存，第二条命令是绑定自己计算机的I P 和 MA C，第三条命令是绑定网关的I P 和 MAC 。这样就恢复了A R P攻击前本机的 A R P缓存。但是当重启动计算机后这些命令就不存在了。为了重启后同样有效，可以用记事本编写一个批处理文件，内容就是上面的三条命令。然后将此文件加到 w i n d o

11、w s 的启动菜单里。此方法要求学校的部门网管掌握以便指导用户。对于学校网络中心的网管来说，如果你的网络是由D HC P 分配 I P 地址，只能采用临时的方法，就是在交换机上绑定不能上网用户的 I P MA C，并禁用中了 AR P 病毒的计算机。命令是： a r p 1 9 2 1 6 8 1 8 1 0 a a a a a a a a a a a a a r pa no a r p 1 9 2 1 6 8 1 8 3 0 1 1 1 1 1 11 1 1 1 1 1 a r pa 第一条是绑定被攻击的不能上网的计算机的 I P M A

12、 C ，第二条是禁用中了A R P 病毒的计算机。 3 攻击主机的查找和处理 3 1 攻击计算机的查找上面已经知道了攻击主机的I P和 MA C，现在查找该主机的物理位置。方法是先从网管交换机开始，在网管交换机上查找该主机从哪个端口上来。命令和结果如下： # s h o w ma c a d d r e s s t a b l e a d d r e s s C C C C C C C C C C C C Vl a n MAC Ad d r e s s T y p e I n t e r f a c e 从中可以看到攻击计算机从交换机的 3 1 3 端口上来

13、的。查找 3 1 3的下联交换机在何处，远程登录到这个下联交换机查找攻击计算机在哪个端口上来的，直到找到该计算机。 3 2 攻击计算机的处理找到攻击计算机后，首先拔掉网线让其断网。彻底的办法是格式化硬盘并重装操作系统。如果技术熟练也可以用其他方法。如可以安装 3 6 0 安全卫士和杀毒软件，全盘查杀木马和病毒，并开启 A R P攻击防护功能。 4 更有效的防范方法 4 1 最可靠的方法最有效的办法就是全局绑定 I P MA C和交换机端口。 1 ) 开启网关交换机的网络基础保护策略 N F P P ( N e t w o r

14、k F o u n d a t i o n P r o t e c t i o n P o l i c y ) ，然后在网关交换机上使用绑定所有上网计算机用户的 I P MA C，对于没有用到的 I P 地址全部绑定到 1 1 1 1 1 1 1 1 1 1 1 1 这个 MAC上。 2 ) 在所有用户的计算机上绑定自己的和网关的 I PMAC。 3 ) 如果为了更安全就在所有接人交换机的端口上绑定 M A C地址，没有绑定的计算机不能上网。上述方法虽然工作量很大，但非常可靠。 4 2 使用防护软件要求所有用户安装防木马和杀毒软件。有条件的购

15、买防木马和防病毒软件，强制用户安装，不安装或手工卸载了的计算机不能上网。 4 3 在网络中安装监控软件如安装 A R P K i l l e r 等监控软件，时刻监视网卡处于混杂模式的计算机。 9 9 9 C C C C C C C C C C C C DYNAMI C Gi g a b i t E t h 一 1 】 e r ne t 3 l 3 参考文献张媛媛，侯建涛 A R P 攻击和A R P 欺骗的原理及其解决方案【 J 煤炭技术， 2 0 1 0 ， 2 9 ( 1 1 ) ： 3 1 3 3 ARP At t a c ks a n d S o l

16、 ut i o ns i n Ca m p us Ne wo r k ZHANG Yu_ i i e ， DANG Ta o f U n i v e r s i t v o f N o r t h ， M o d e r n E d u c a t i o n T e c h n o l g y a n d I n f o r ma t i o n C e n t e r ， T a i y u a n 0 3 0 0 5 1 ， C h i n a ) Ab s t r a c t ： B a s e d o n t h e a n a l y z i n g t h e ARP a t t

17、 a c k s p r i n c i p l e o f L AN， t h e n e t wo r k s y mp t o ms o f o c c u r r e d ARP a n d o t h e r f a c t o r s ， t h i s t e x t h a s f o u n d 0 u t s o me wa y s t o q u i c k l y r e s o l v e t h e ARP a t t a c k s At t h e me a n w h i l e ， t h e t e x t g i v e s t h e L AN u s

18、 e r s a n d n e t wo r k ma n a g e r s t h e wa y s t o s e a r c h i n g f o r t h e h o s t s a t t a c k i n g a n d t h e t r e a t me n t o f h o s t s a t t a c k i n g A l t h o u g h ARP a t t a c k s c a n n o t b e p r e v e n t e d t o t a l l y ， we c a n fi n d o u t t h e m q u i c k l y a n d d e a l w i t h t h e m Ke y wo r d s： ARP a t t a c k； ARP v i r u s ； MAC a d d r e s s 1 4 8

展开阅读全文