ARP欺騙原理及防護(hù)技術(shù)探究

1、arp欺騙原理及防護(hù)技術(shù)探究該文通過(guò)分析arp協(xié)議的原理及arp欺騙的原理，設(shè)計(jì)了 防御arp病毒的方法。地址解析協(xié)議；arp欺騙；mac地址1. arp協(xié)議簡(jiǎn)介arp 協(xié)議是 “address resolution protocolv (地址解 析協(xié)議)的縮寫。在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn) 行直接通信，必須要知道目標(biāo)主機(jī)的mac地址。它是通過(guò)地 址解析協(xié)議(addressresolution protoco, 1 arp)獲得的。 arp協(xié)議是一個(gè)網(wǎng)絡(luò)層子協(xié)議，它用于將網(wǎng)絡(luò)中的ip地址解 析為硬件地址(mac地址)，以保證通信的順利進(jìn)行。2. arp協(xié)議的工作原理在每臺(tái)安裝有tcp/

2、ip協(xié)議的電腦里都有一個(gè)arp緩存 表，表里的ip地址與mac地址是對(duì)應(yīng)的，如表1所示。以主機(jī) h (192. 168. 1. 5)向主機(jī) a (192. 168. 1. 1)發(fā) 送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時(shí)，主機(jī)h會(huì)在自己的arp緩存表 中尋找是否有目標(biāo)ip地址。如果找到了，也就知道了目標(biāo) mac地址，直接把目標(biāo)mac地址寫入幀里面發(fā)送就可以了； 如果在arp緩存表中沒(méi)有找到相對(duì)應(yīng)的ip地址，主機(jī)h就 會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播，目標(biāo)mac地址是“ff. ff. ff.ff. ff. ff” ,這表示向同一網(wǎng)段內(nèi)的所有主機(jī) 發(fā)出這樣的詢問(wèn)：192. 168. 1. 1的mac地址是什么。網(wǎng)絡(luò)上 其他

3、主機(jī)并不響應(yīng)arp詢問(wèn),只有主機(jī)a接收到這個(gè)幀時(shí)， 才向主機(jī)h做出這樣的回應(yīng)：192. 16& 1. 1的mac地址是 00-aa-00-62-c6-09o這樣，主機(jī)h就知道了主機(jī)a的mac 地址，它就可以向主機(jī)a發(fā)送信息了。同時(shí)它還更新了自己 的arp緩存表，下次再向主機(jī)a發(fā)送信息時(shí)，直接從arp緩 存表里查找就可以了。arp協(xié)議安全缺陷。在tcp/ip協(xié)議的網(wǎng)絡(luò)環(huán)境下，arp 工作時(shí)，送出一個(gè)含有所希望的ip地址的以太網(wǎng)廣播數(shù)據(jù) 報(bào)。一個(gè)ip數(shù)據(jù)報(bào)走到哪里，要怎么走主要是靠路由表定 義。但是，當(dāng)ip數(shù)據(jù)包到達(dá)該網(wǎng)絡(luò)后，哪臺(tái)機(jī)器響應(yīng)這個(gè) ip包卻是靠該ip包中所包含的硬件mac地址來(lái)

4、識(shí)別。也就 是說(shuō)，只有機(jī)器的硬件mac地址和該ip包中的硬mac地址 相同的機(jī)器才會(huì)應(yīng)答這個(gè)ip包，所以，在每臺(tái)主機(jī)的內(nèi)存 中，都有一個(gè)arp-硬件mac地址的轉(zhuǎn)換表。通常是動(dòng)態(tài)的 轉(zhuǎn)換表（該arp表可以手工添加靜態(tài)條目）。arp欺騙原理。典型的arp欺騙過(guò)程如下：假設(shè)局域網(wǎng)分別有ip地址為192. 168. 1. 1,192. 168. 1. 2 和192. 168. 1.3的a、b. c三臺(tái)主機(jī)，假如a和c之間正在 進(jìn)行通訊，此時(shí)b向a發(fā)送一個(gè)自己偽造的arp應(yīng)答，而這 個(gè)應(yīng)答中的數(shù)據(jù)為發(fā)送方ip地址是192. 168. 1.3 （c的ip 地址），mac地址是bb-bb-bb-bb-bb

5、-bb,當(dāng)a接收到e偽造 的arp應(yīng)答，就會(huì)更新本地的arp緩存，這時(shí)b就偽裝成c to同時(shí)，b同樣向c發(fā)送一個(gè)arp應(yīng)答，應(yīng)答包中為發(fā)送 方ip地址192. 168. 1. 1 （a的ip地址），mac地址 bb-bb-bb-bb-bb-bb （ a 的 mac 地址本來(lái)應(yīng)該是 aa-aa-aa-aa-aa-aa）,當(dāng)c收到b偽造的arp應(yīng)答，也會(huì)更 新本地arp緩存，這時(shí)b又偽裝成了 a。這時(shí)主機(jī)a和c都 被主機(jī)b欺騙，a和c之間通訊的數(shù)據(jù)都經(jīng)過(guò)了 b,主機(jī)b 完全劫持目標(biāo)主機(jī)與其他主機(jī)的會(huì)話。arp欺騙一般分為兩種：主機(jī)型arp欺騙。欺騙過(guò)程：a 欺騙b, a告訴b,我（a）就是c,當(dāng)然

6、告訴的是真ip地址 和假mac地址，使b不能與c連接。若c是網(wǎng)關(guān)，b就不能 上外網(wǎng) internet 了。網(wǎng)關(guān)型arp欺騙。欺騙過(guò)程：b充當(dāng)中間人角色向兩個(gè) 方向發(fā)送arp欺騙包，使a的上網(wǎng)數(shù)據(jù)包經(jīng)過(guò)b再到c,又 使c的返回?cái)?shù)據(jù)經(jīng)過(guò)b再到a,卡在中間，以達(dá)到竊取數(shù)據(jù) 的目的。b發(fā)送arp欺騙包給a, b告訴a,我（b）就是網(wǎng) 關(guān)；同時(shí)，b又發(fā)送arp欺騙包給真正的網(wǎng)關(guān)c,告訴真正 的網(wǎng)關(guān)c,我（b）就是a,這樣b就欺騙了雙方，接著b通 過(guò)劫持a和c之間的通信會(huì)話，就可以竊聽(tīng)數(shù)據(jù)了。從影響網(wǎng)絡(luò)連接通暢的方式來(lái)看，arp欺騙分為兩種， 一種是對(duì)路由器arp表的欺騙；另一種是對(duì)內(nèi)網(wǎng)pc的網(wǎng)關(guān) 欺騙。

7、3. arp欺騙防范措施建立dhcp服務(wù)器，另外所有客戶機(jī)的ip地址及其相關(guān) 主機(jī)信息，只能由網(wǎng)關(guān)這里取得，網(wǎng)關(guān)這里開(kāi)通dhcp服務(wù), 但是要給每個(gè)網(wǎng)卡，綁定固定唯一 ip地址。一定要保持網(wǎng) 內(nèi)的機(jī)器ip/mac一對(duì)應(yīng)的關(guān)系。這樣客戶機(jī)雖然是dhcp 取地址，但每次開(kāi)機(jī)的ip地址都是一樣的或手工清除pc和 網(wǎng)關(guān)arp表項(xiàng)，從新學(xué)習(xí)正確的arp信息。arp欺騙發(fā)生后 的pc和網(wǎng)關(guān)設(shè)備的arp表被篡改了，這樣我們可以通過(guò)手 工方式來(lái)清除arp表項(xiàng)，然后讓雙方重新學(xué)習(xí)。主機(jī)：arp - d網(wǎng)關(guān)：clear arpo建立mac數(shù)據(jù)庫(kù)，把局域網(wǎng)內(nèi)所有網(wǎng)卡的mac地址記錄 下來(lái)，每個(gè)mac和ip、地理位置

8、統(tǒng)統(tǒng)裝入數(shù)據(jù)庫(kù)，以便及時(shí) 查詢備案，pc機(jī)上靜態(tài)綁定網(wǎng)關(guān)mac地址，防止對(duì)主機(jī)的欺 騙。在主機(jī)上可以使用靜態(tài)的arp綁定網(wǎng)關(guān)的ip地址和網(wǎng) 關(guān)的mac地址，比如在pc機(jī)上配置autoexec, bat批處理文 件：echo offarp - darp - s主機(jī)ip地址主機(jī)mac地址/mac地址格式為xx-xx-xxxxxxxx。網(wǎng)關(guān)機(jī)器關(guān)閉arp動(dòng)態(tài)刷新的過(guò)程，使用靜態(tài)路由，這 樣的話，即使arp欺騙攻擊網(wǎng)關(guān)的話，對(duì)網(wǎng)關(guān)也是沒(méi)有用的, 因此可以確保主機(jī)安全。網(wǎng)關(guān)建立靜態(tài)ip/mac捆綁的方法 是：建立/etc/ethers文件，其中包含正確的ip/mac對(duì)應(yīng)關(guān) 系，格式如下：192. 168

9、. 2. 3208： 00： 4e： b0： 24： 47 然后 在/etcrc. d/rc. local最后添加：arp -f生效即可。網(wǎng)關(guān)監(jiān)聽(tīng)網(wǎng)絡(luò)安全。網(wǎng)關(guān)上面使用抓包程序截取每個(gè) arp程序包，用腳本分析軟件分析這些arp協(xié)議。arp欺騙 攻擊的包一般有以下兩個(gè)特點(diǎn)，滿足之一可視為攻擊包報(bào) 警：以太網(wǎng)數(shù)據(jù)包頭的源地址、目標(biāo)地址和arp數(shù)據(jù)包的協(xié) 議地址不匹配，或者arp數(shù)據(jù)包的發(fā)送和目標(biāo)地址不在自己 網(wǎng)絡(luò)網(wǎng)卡mac數(shù)據(jù)庫(kù)內(nèi)，或者與自己網(wǎng)絡(luò)mac數(shù)據(jù)庫(kù)mac/ip 不匹配。這些統(tǒng)統(tǒng)第一時(shí)間報(bào)警，查這些數(shù)據(jù)包（以太網(wǎng)數(shù) 據(jù)包）的源地址（也有可能偽造），就大致知道哪臺(tái)機(jī)器在 發(fā)起攻擊了。使用支持端口隔離的二層交換機(jī)。通過(guò)端口隔離特性， 可以將不同用戶的端口劃分到同一個(gè)vlan,不同用戶之間不 能互通，從而增強(qiáng)了網(wǎng)絡(luò)的安全性，阻止了 arp病毒源的機(jī) 器對(duì)網(wǎng)絡(luò)的影響，提供了