校园网中ARP病毒的分析与防御
[摘要] 随着计算机信息技术和互联网技术的飞速发展,人们对网络的依赖性不断增强。但是由于网络的开放性、资源的共享性、联结形式的多样性、终端分布的不均匀性以及网络边界的不可知性,网络中必然存在众多潜在的安全隐患。近年来,针对网络的攻击也在不断增加,其中利用arp协议漏洞对网络进行攻击就是其中的一种重要方式。
[关键词] 校园网 arp协议 arp病毒
1.arp协议
我们知道,ip地址能够将不同的物理地址统一起来,但这种统一是逻辑的,是在各种物理网络技术之上覆盖一层软件(ip协议以及arp、rarp协议)来实现的,它们将物理地址隐藏起来。internet中自ip层开始便表现出统一的地址格式,ip层以上各层均使用ip地址。但在物理网络内部tcp ip协议的安全隐患,依然使用各自原来的物理地址。这样,在互联网中存在两种地址,二者之间必须要建立映射关系,这是地址统一所必须付出的代价。
地址之间的映射叫做地址解析(resolution),它包括两方面内容:从ip地址到物理地址的映射和从
物理地址到ip地址的映射。关于两个地址间的映射,tcp/ip专门提供了两个协议:arp(address resolution protocol,地址解析协议)和rarp(reverse address resolution protocol,逆向地址解析协议)。
非常明显,arp(address resolution protocol,地址解析协议)是一个位于tcp/ip协议族中的低层协议,负责将某个ip地址解析成对应的mac地址。它与逆向地址解析协议rarp之间几乎是可逆的过程。
2 arp工作原理及arp病毒欺骗原理
(1)arp工作原理
地址解析协议arp是用来把连在同一个物理网络上计算机的ip地址转换成物理地址的协议。
arp工作原理如下:每个主机保存一张其所在物理网上的所有主机ip地址与物理地址的映射表。主机刚启动时,这个表是空的,当要进行地址转换而没有映射信息时,arp向所有的其它节点主机广播一个特殊的arp请求包询问目标地址的ip地址。网上所有主机都将收到该arp请求,只有具有匹配地址的主机才作出应答,发出的arp包中说明自己的ip地址和物理地址。源节点收
到信息后即时更新地址映射表,即将地址放入相应的高速缓存(cache)中。下一次源站点再对同一目的的站点通信时,可直接引用高速缓存中的地址内容,大大提高了arp的效率。源主机在广播自己的arp请求包时,网络上所有主机都可以将它存入自己的缓存。在新主机入网时,令其主动广播其地址映射,以减少其他主机进行arp的开销。地址解析协议arp使主机可以出同一物理网络中任一个主机的物理地址,只需给出目的主机的ip地址即可。这样,网络的物理编址即可以对网络层服务透明。
(2)arp病毒欺骗原理
从影响网络连接通畅的方式来看,arp欺骗分为二种,一种是对路由器arp表的欺骗;另一种是对内网pc的网关欺骗。
第一种arp欺骗的原理是截获网关数据。它通知路由器一系列错误的内网mac地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的mac地址,造成正常pc机无法收到信息。第二种arp欺骗的原理是伪造网关。它的原理是建立假网关,让被它欺骗的pc机向假网关发送数据,通常就是伪造自己的mac地址为路由器的mac地址,而不是通过正常的路由器途径上网。在终端pc看来,就是上不了网
了,“网络掉线了”。
3 arp病毒防御方法
使用可防御arp攻击的三层交换机,绑定端口mac-ip。限制arp流量,及时发现并自动阻断arp攻击端口。合理划分vlan。彻底阻止盗用ip、mac地址,杜绝arp的攻击。
(1)双向绑定,即路由器中绑定所有网内计算机的ip地址与mac地址,网内计算机上编写一个批处理文件rarp.bat(文件名可以任意),内容如下:
@echo off
arp -d
arp -s网关ip 网关mac
将该文件拖到启动项。
(2)查病毒源,对病毒源头的机器进行处理,杀毒或重新安装系统。解决了arp攻击的源头pc机的问题,可以保证内网免受攻击。
(3)网内的计算机及时打好系统补丁。
(4)安装杀毒软件并及时更新病毒库,安装并使用防火墙。有很多软件如瑞星防火墙,360安全卫士都有arp防御功能。
4 结束语
由于arp协议是tcp/ip协议族的一个协议,而tcp/ip协议制定的时间比较早,当时对这些协议缺陷考虑不周,使得arp攻击的破坏性比较大,为了根本的解决这个问题,我们需要将tcp/ip协议进行改进。最根本的解决措施就是使用ipv6协议,因为在ipv6定义了邻机发现协议(ndp),把arp纳入ndp并运行于因特网控制报文协议(icmp)上,使arp更具有一般性,包括更多的内容,而且不用为每种链路层协议定义一种arp。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论