校园网中的ARP攻击与解决方法.pdf

1、第5 期 ( 总 第 1 2 9 期 ) No ．5( S UM No ． 1 2 9 ) 机 械 管 理 开 发 ME CHANI CAL MANAGEME NT AND D EVE L OP MENT 2 0 1 2 年 1 0 月 0c t ．201 2 校园网中的A R P 攻击与解决方法 张宇杰， 党涛 ( 中北大学 现代教育技 术与信 息中心 ， 山西太原0 3 0 0 5 1 ) 摘要： 通过分析局域网中的A R P攻击原理， 在发生AR P攻击时的网络症状中， 寻找 出一些快速解决A R P 攻击的 方法， 并给出了局域 网用户和网络管理人员查找攻击主机的办法

2、和应对举措。虽然AR P攻击不能百分之百的防 止 ． 但 可以通过快速 的方法找 到并处理 。 关键词 ： AR P攻击； A R P病毒 ； MA C地址 中图分类号： T P 3 9 3 ． 1 文献标识码： A 文章编号 ： 1 0 0 3 — 7 7 3 X( 2 0 1 2 ) 0 5 — 0 1 4 7 — 0 2 0引 言 A R P攻击一直是 网络 用户和 网管人员 的一个 比 较头疼 的问题 。大部分 的AR P 攻击 ( 或者 叫 A R P欺 骗 、 A R P 病 毒) 都是基于局域 网的， 虽然存在跨 网段的 A R攻击 ， 但解决方法相 同。A R

3、P 攻击最终 目的是要获 得用户的个人信息 ， 所 以不可轻视。 1 攻击原理 1 ． 1 ARP 地址解析协议的原理 A R P是 地 址 解 析协 议 ( A d d r e s s R e s o l u t i o n P r o t o — c o 1 ) 的缩写 。局域 网中实际传输 的数据包里必须要有 目标主机 的 MA C地址 。一个 主机要和另一个主机通 信 ， 源 主机必须知 道 目标 主机 的 MA C 。但 这个 目标 MA C如何获得?靠 A R P 协议获得。解析过程 ： 拿主机 A( 1 9 2 ． 1 6 8 ． 1 8 ． 1 0 ) 向主机

4、 B( 1 9 2 ． 1 6 8 ． 1 8 ． 2 0 ) 发送数据为 例 。当主机 准备给主机 发数据 时 ， 主机 先要在 自己的 A R P缓存 表 中寻找是 否有 目标 I P的 MA C地 址 。若 找到 ， 就把 目标 MA C写人数据包开始发数据 ； 如果在 A R P缓存表 中没有找到对应 I P ， 主机 会在网 络上发送一个广播 ， 就像是主机 向同一 网段 内的所 有 主机喊话 ： “ I P为 1 9 2 ． 1 6 8 ． 1 8 ． 2 0的MA C是多少? ” 网 络上非此 I P的主机无反应 ， 只有是此 I P的主机 会做 出 回答 ： “

5、 1 9 2 ． 1 6 8 ． 1 8 ． 2 0的 MA C是 B B — B B — B B —B B — B B — B B ” 。这样主机 就获得了主机 的MA C； 同时它 更新 自己的 A R P缓存 ， 下 次再 向主机 发数据 时 ， 直 接从 A R P 缓存表取。A R P缓存表采用老化机制 ， 在一 段 时间内如果表 中的某一条 I P — MAC没有使用 ， 就会 删 除 ， 这样就可 以大大减少 A R P 缓存表 的长度 ， 加快 查 询速 度 。 1 ． 2 最基 本 的 A RP 欺骗 A R P协议的基础就是信任局域网内所有主机 ， 这 样

6、就很容易受到其他主机 的A R P欺骗 。如果现在主 机 C 要欺骗主机 ， 欺骗过程是 ： A R P协议并不只在发 送 了A R P 请求后才接收A R P 应答 ， 所 以当计算机接收 到没有请求的A R P 应答时 ， 也会对本地 的A R P 缓存进 行更新 1 。当主机 C 欺骗主机 时就向主机 发送一 个伪造 的A R P应答包 ， 主机 接收到主机 C T 发 出的伪 造主机 的 A R P包后 ， 主机 就更新 自己的 A R P 缓 存。主机 全然不知这种欺骗 ， 认 为主机 的I P没变 但M A C 发生了变化。由于传输数据时根据M A C 地址 进行

7、 ， 所 以此时主机 发送到主机 的数据就都发送 到了主机 C 。如果这个欺骗数据包 中的 I P是网关 的， 那么主机 为了上网发送到网关的数据都会发送到主 机 ， 这样就造成主机 不能上 网。这就是一个简单 的AR P 欺骗 。 1 ． 3 进一步的欺骗 当然这种欺骗也可以让主机 通过主机 C 把主机 发送到 网关的数 据转发给 网关使主机 能上 网， 但 必须在转发前修改数据包的内容 ， 让 网关接 收到数据 包 时不再返回主机 C ， 而直接返 回主机 ， 即让 网关认 为数据是从主机 发来 的。这样一来就成了一个三角 形 的数据流 。这样 主机 就 可以截 获主

8、机 的所有 数据。 2 A RP攻击的发现和快速处理方法 2 ． 1 ARP攻击 的发 现 方法 方法 1 ) 先 打电话 问网络 中心得知 网关 的 MA C， 然后在不能上 网的计算机上输入命令 A R P —A查看 网关 的 I P和 MA C 。对 比这两个 MA C是 否一致 ， 如果 一 致说 明不是 A R P攻击 。如果不一致就 可以断定存 在 A R P 攻击。 方法 2 ) 用方法 1 的命令 ， 查看是否有两个 I P 对应 的MA C是一样的。如果有说明存在 A R P 攻击。 网络 中心 的网管可通过 s h o w l o g g i n g

9、命令查看 网 关交换机的 日志。对于思科和锐捷的交换机在 日志中 会有如下记录 ： ％ I P一 4一 DUPADDR：Du p l i c a t e a d d r e s s 1 92 ． 1 6 8． 1 8． 3 0 o n Vl a n 99 9 ，s o u r c e d b y C C C C ． C C C C ． C C C C 此处的 I P和 MA C就是中了A R P 病毒 的计算机 的 信息。 收稿 日期 ：2 0 1 2 — 0 5 — 0 3 作者简 介：张宇杰( 1 9 5 7 一 ) ， 男， 山西太原人 ， 高级 实验 师 ， 本科 ，

10、研 究方向 ： 网络技 术。E - ma i l ： z h y j @n u c ．e d u ． c n ． 1 47 第5 期( 总第1 2 9 期) 机 械 管 理 开 发 2 0 1 2 年1 O月 2 ． 2 A RP 攻 击 的快速 处理 方 法 对于上网用户的快速处理方法是在 自己的计算机 上使用 A R P —S绑定网关的I P 与 MA C 。命令如下 ： ARP —D ARP—S 1 9 2 ． 1 6 8 ． 1 8 ． 1 0 AA— AA— AA— AA— AA— AA ARP —S 1 92 ． 1 6 8． 1 8． 2 0 BB—BB—

11、BB—BB— BB—BB 第一条命令是删除A R P 缓存， 第二条命令是绑定 自己计算机的I P 和 MA C， 第三条命令是绑定 网关 的I P 和 MAC 。 这样就恢复 了A R P攻击前本机 的 A R P缓存 。但 是 当重启动计算机后这些命令就不存在了。为了重启 后 同样有效 ， 可 以用记事本编写一个批处理文件 ， 内容 就是上面的三条命令。然后将此文件加到 w i n d o w s 的 启动菜单里。此方法要求学校的部门网管掌握以便指 导用户 。 对于学校 网络 中心 的网管来说 ， 如果你的网络是 由D HC P 分配 I P 地址 ， 只能采用临时的

12、方法 ， 就是在交 换 机上 绑 定不 能 上 网用 户 的 I P — MA C， 并禁 用 中了 AR P 病毒的计算机。命令是 ： a r p 1 9 2 ． 1 6 8． 1 8 ． 1 0 a a a a ． a a a a ． a a a a a r pa no a r p 1 9 2． 1 6 8 ． 1 8 ． 3 0 1 1 1 1 ． 1 11 1 ． 1 1 1 1 a r pa 第一条是绑定被攻击的不能上网的计算机的 I P — M A C ， 第二条是禁用中了A R P 病毒的计算机。 3 攻击主机的查找和处理 3 ． 1 攻击计算机的查找 上面已经

13、知道了攻击主机的I P和 MA C， 现在查找 该主机 的物理位置 。方法是先从 网管交换机开始 ， 在 网管交换机上查找该主机从哪个端口上来。命令和结 果如下 ： # s h o w ma c — a d d r e s s — t a b l e a d d r e s s C C C C ． C C C C ． C C C C Vl a n MAC Ad d r e s s T y p e I n t e r f a c e 从 中可以看到攻击计算 机从 交换机 的 3 ／ 1 3 端 口 上来 的。查找 3 ／ 1 3的下联交换机在何处 ， 远程登录到 这个下联交换机查

14、找攻击计算机在哪个端 口上来的 ， 直到找到该计算机。 3 ． 2 攻击计算机的处理 找到攻击计算机后 ， 首先拔掉 网线让其断 网。彻 底的办法是格式化硬盘并重装操作 系统 。如果技术熟 练也可以用其他方法 。如可以安装 3 6 0 安全卫士和杀 毒软件 ， 全盘查 杀木马和病毒 ， 并开启 A R P攻击 防护 功能 。 4 更有效的防范方法 4 ． 1 最可靠的方法 最有效 的办法 就是全局绑定 I P — MA C和交换机 端 口。 1 ) 开启 网关交换机 的网络基础保 护策略 N F P P ( N e t w o r k F o u n d a t i

15、o n P r o t e c t i o n P o l i c y ) ， 然后 在网关交 换机上使用绑定所有上 网计算 机用户 的 I P — MA C， 对 于没有用到的 I P 地址全部绑定到 1 1 1 1 ． 1 1 1 1 ． 1 1 1 1 这个 MAC上 。 2 ) 在所有用户 的计算机上绑定 自己的和网关 的 I P—MAC。 3 ) 如果为了更安全就在所有接人交换机 的端 口 上绑定 M A C地址 ， 没有绑定 的计算机不能上网。 上述方法虽然工作量很大 ， 但非常可靠。 4 ． 2 使 用 防护软件 要求所有用户安装防木马和杀毒软件 。有条件的

16、 购买 防木马和防病毒软件 ， 强制用户安装 ， 不安装或手 工卸载了的计算机不能上网。 4 ． 3 在 网络 中安装监控软件 如安装 A R P K i l l e r 等监控软件 ， 时刻监视网卡处于 混杂模式的计算机 。 9 9 9 C C C C ． C C C C ． C C C C DYNAMI C Gi g a b i t E t h 一 [ 1 】 e r ne t 3 ／ l 3 参 考文献 张媛媛， 侯建涛． A R P 攻击和A R P 欺骗的原理及其解决方 案【 J ] ． 煤炭技术， 2 0 1 0 ， 2 9 ( 1 1 ) ： 3 1 — 3 3

17、 ． ARP At t a c ks a n d S o l ut i o ns i n Ca m p us Ne wo r k ZHANG Yu_ ．i i e ， DANG Ta o f U n i v e r s i t v o f N o r t h ， M o d e r n E d u c a t i o n T e c h n o l g y a n d I n f o r ma t i o n C e n t e r ， T a i y u a n 0 3 0 0 5 1 ， C h i n a ) Ab s t r a c t ： B a s e d o n t h

18、e a n a l y z i n g t h e ARP a t t a c k s p r i n c i p l e o f L AN， t h e n e t wo r k s y mp t o ms o f o c c u r r e d ARP a n d o t h e r f a c t o r s ， t h i s t e x t h a s f o u n d 0 u t s o me wa y s t o q u i c k l y r e s o l v e t h e ARP a t t a c k s ． At t h e me a n w h i l e ，

19、t h e t e x t g i v e s t h e L AN u s e r s a n d n e t wo r k ma n a g e r s t h e wa y s t o s e a r c h i n g f o r t h e h o s t s a t t a c k i n g a n d t h e t r e a t me n t o f h o s t s a t t a c k i n g ．A l t h o u g h ARP a t t a c k s c a n n o t b e p r e v e n t e d t o t a l l y ， we c a n fi n d o u t t h e m q u i c k l y a n d d e a l w i t h t h e m． Ke y wo r d s： ARP a t t a c k； ARP v i r u s ； MAC a d d r e s s 1 4 8