论文部分内容阅读
[摘要]:当今,随着网络的快速发展,计算机网络技术已经普及到各个领域,随之网络的安全性和可靠性摆在了网络技术的首要位置,它是保证网络正常运行的前提和保障。目前,因为ARP而导致网络瘫痪的例子举不胜举,很多企业或学校面对这些攻击束手无策, ARP协议对网络安全具有重要的意义。本文通过介绍ARP欺骗攻击原理来说明ARP攻击及解决方案。
[关键词]:ARP协议 ARP攻击 解决方案
中图分类号:TD214+.2 文献标识码:TD 文章编号:1009-914X(2012)12- 0147 -01
计算机网络安全问题,直接关系到一个国家的政治、军事、经济等领域的安全和稳定。目前黑客猖獗,因此,提高对网络安全重要性的认识,增强防范意识,强化防范措施,是保证信息产业持续稳定发展的重要保证和前提条件。
近日,我们校园内的计算机经常不能通过局域网与Internet相连,后来发现在网络中有很多“ARP欺骗”木马病毒,严重影响了校园网的正常运行。感染此木马的计算机试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,那么局域网遇到ARP攻击应该怎么办?如何彻底摆脱ARP困扰?
一、ARP协议和ARP欺骗攻击
1、什么是ARP协议
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。用于将计算机的网络IP地址转化为物理MAC地址。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。目标MAC地址是就是通过地址解析协议获得的。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
2、ARP欺骗攻击原理
在以太网等局域网上,使用ARP协议,来实现IP地址到MAC地址的动态转换。在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的。
ARP欺骗攻击就是利用ARP协议漏洞,通过伪造IP地址和MAC地址实现ARP欺骗的攻击技术,并能够在网络中产生大量的ARP通信量使网络阻塞,攻擊者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中。从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。攻击方写一个ARP包,在ARP包头中的源IP地址填写网关IP地址,源MAC地址填写自己的MAC地址,目的IP地址填写要攻击的那台计算机的IP地址,然后发送出去。这样网内所有计算机都会把该MAC地址作为网关的MAC地址,所有要发往到外网的IP数据包都使用该假MAC地址,这样受害计算机根本收不到响应数据而形成断网。在计算机看来,就是上不了网了,“网络掉线了”。
二、ARP攻击解决方案
ARP欺骗木马只要感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如何检查和处理“ARP欺骗”木马的方法:
1、首先诊断是否为ARP病毒攻击
检查本机的“ARP欺骗”木马染毒进程
同时按住键盘上的“CTRL”+“ALT”+“DEL”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名为“MIR0.dat”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。
2、检查网内感染“ARP欺骗”木马染毒的计算机
当发现上网明显变慢,或者突然掉线时,我们可以用arp-命令来检查ARP表:(点击“开始”按钮-选择“运行”-输入“cmd”点击"确定"按钮,在窗口中输入“arp-a”命令)如果发现网关的MAC地址发生了改变,或者发现有很多IP指向同一个物理地址,那么肯定就是ARP欺骗所致。
3、静态ARP绑定网关避免“ARP 欺骗”木马影响的方法
步骤一:获取网关的IP—MAC地址对。
能正常上网时,可以查看网关的IP对应的正确MAC地址,并将其记录下来。如不能上网,则先运行一次命令arp -d将ARP缓存中的内容删空,可暂时恢复上网,并立即将网络断掉,再运行arp -a。
步骤二:网关的IP地址与MAC地址绑定。
如果计算机已经有网关的正确MAC地址,在不能上网时只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。要想手工绑定,可在“命令提示符”窗口下运行以下命令:arp -s 网关P地址 网关MAC地址
4、作批处理文件
如果不想在每次重启机后还要重新绑定IP与MAC地址,我们可以把绑定命令做成批处理文件。步骤如下:
步骤一:获得路由器的内网的MAC地址(例如网关地址172.16.1.254的MAC地址为0022aa0022ee)。
步骤二:编写一个批处理文件rarp.bat内容如下:
@echo off
Arp -d
arp-s172.16.1.25400-22-aa-00-22-ee
步骤三:把批处理文件加入到“启动”中。
5、使用安全工具软件
及时下载Anti ARP Sniffer软件保护本地计算机正常运行。如果已有病毒计算机的MAC地址,可使用NBTScan等软件找出网段内与该MAC地址对应的IP,然后对其进行查封。还可以利用其他安全工具进行查杀。例“网络执法官”。
6、下载一个ARP防火墙。它的作用就是迅速的与服务器交流和阻止ARP攻击。
7、建议对局域网的每一台电脑尽量用固定IP,路由器不启用DHCP,这样有利于以后故障的查询也方便管理。
8、定时检查局域网病毒,对机器进行病毒扫描,平时给系统安装好补丁程序,最好是局域网内每台电脑保证有杀毒软件(可升级)。
9、指导好网络内使用者不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序。
ARP攻击在现今的网络中频频出现,是近来网络行业普遍发生的现象,有效的防范ARP形式的网络攻击已成为确保网络畅通必要条件。上面的解决方案,不一定是最根本解决的方法,对于ARP攻击,要做好基本防范工作。希望大家有好的思路和经验能够多探讨,要做好网络安全还有很多细节需要注意,一个微小的疏忽都可能导致功亏一篑。
参考文献:
1. 张晓明 《计算机网络教程》 清华大学出版社
2. 朱根宜 《计算机网络与Internet教程》 清华大学出版社
[关键词]:ARP协议 ARP攻击 解决方案
中图分类号:TD214+.2 文献标识码:TD 文章编号:1009-914X(2012)12- 0147 -01
计算机网络安全问题,直接关系到一个国家的政治、军事、经济等领域的安全和稳定。目前黑客猖獗,因此,提高对网络安全重要性的认识,增强防范意识,强化防范措施,是保证信息产业持续稳定发展的重要保证和前提条件。
近日,我们校园内的计算机经常不能通过局域网与Internet相连,后来发现在网络中有很多“ARP欺骗”木马病毒,严重影响了校园网的正常运行。感染此木马的计算机试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,那么局域网遇到ARP攻击应该怎么办?如何彻底摆脱ARP困扰?
一、ARP协议和ARP欺骗攻击
1、什么是ARP协议
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。用于将计算机的网络IP地址转化为物理MAC地址。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。目标MAC地址是就是通过地址解析协议获得的。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
2、ARP欺骗攻击原理
在以太网等局域网上,使用ARP协议,来实现IP地址到MAC地址的动态转换。在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的。
ARP欺骗攻击就是利用ARP协议漏洞,通过伪造IP地址和MAC地址实现ARP欺骗的攻击技术,并能够在网络中产生大量的ARP通信量使网络阻塞,攻擊者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中。从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。攻击方写一个ARP包,在ARP包头中的源IP地址填写网关IP地址,源MAC地址填写自己的MAC地址,目的IP地址填写要攻击的那台计算机的IP地址,然后发送出去。这样网内所有计算机都会把该MAC地址作为网关的MAC地址,所有要发往到外网的IP数据包都使用该假MAC地址,这样受害计算机根本收不到响应数据而形成断网。在计算机看来,就是上不了网了,“网络掉线了”。
二、ARP攻击解决方案
ARP欺骗木马只要感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如何检查和处理“ARP欺骗”木马的方法:
1、首先诊断是否为ARP病毒攻击
检查本机的“ARP欺骗”木马染毒进程
同时按住键盘上的“CTRL”+“ALT”+“DEL”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名为“MIR0.dat”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。
2、检查网内感染“ARP欺骗”木马染毒的计算机
当发现上网明显变慢,或者突然掉线时,我们可以用arp-命令来检查ARP表:(点击“开始”按钮-选择“运行”-输入“cmd”点击"确定"按钮,在窗口中输入“arp-a”命令)如果发现网关的MAC地址发生了改变,或者发现有很多IP指向同一个物理地址,那么肯定就是ARP欺骗所致。
3、静态ARP绑定网关避免“ARP 欺骗”木马影响的方法
步骤一:获取网关的IP—MAC地址对。
能正常上网时,可以查看网关的IP对应的正确MAC地址,并将其记录下来。如不能上网,则先运行一次命令arp -d将ARP缓存中的内容删空,可暂时恢复上网,并立即将网络断掉,再运行arp -a。
步骤二:网关的IP地址与MAC地址绑定。
如果计算机已经有网关的正确MAC地址,在不能上网时只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。要想手工绑定,可在“命令提示符”窗口下运行以下命令:arp -s 网关P地址 网关MAC地址
4、作批处理文件
如果不想在每次重启机后还要重新绑定IP与MAC地址,我们可以把绑定命令做成批处理文件。步骤如下:
步骤一:获得路由器的内网的MAC地址(例如网关地址172.16.1.254的MAC地址为0022aa0022ee)。
步骤二:编写一个批处理文件rarp.bat内容如下:
@echo off
Arp -d
arp-s172.16.1.25400-22-aa-00-22-ee
步骤三:把批处理文件加入到“启动”中。
5、使用安全工具软件
及时下载Anti ARP Sniffer软件保护本地计算机正常运行。如果已有病毒计算机的MAC地址,可使用NBTScan等软件找出网段内与该MAC地址对应的IP,然后对其进行查封。还可以利用其他安全工具进行查杀。例“网络执法官”。
6、下载一个ARP防火墙。它的作用就是迅速的与服务器交流和阻止ARP攻击。
7、建议对局域网的每一台电脑尽量用固定IP,路由器不启用DHCP,这样有利于以后故障的查询也方便管理。
8、定时检查局域网病毒,对机器进行病毒扫描,平时给系统安装好补丁程序,最好是局域网内每台电脑保证有杀毒软件(可升级)。
9、指导好网络内使用者不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序。
ARP攻击在现今的网络中频频出现,是近来网络行业普遍发生的现象,有效的防范ARP形式的网络攻击已成为确保网络畅通必要条件。上面的解决方案,不一定是最根本解决的方法,对于ARP攻击,要做好基本防范工作。希望大家有好的思路和经验能够多探讨,要做好网络安全还有很多细节需要注意,一个微小的疏忽都可能导致功亏一篑。
参考文献:
1. 张晓明 《计算机网络教程》 清华大学出版社
2. 朱根宜 《计算机网络与Internet教程》 清华大学出版社