局域网ARP攻击防范措施与解决方案1分解.doc

单位代码 14129 学 号 贵阳职业技术学院 毕业论文 局域网ARP攻击与防护措施及解决方案 论文作者：滕建远 指导教师：宋波 学科专业： 计算机网络技术 研究方向：局域网ARP攻击与防护措施及解决方案 提交论文日期：2015 年 4 月 30日 论文答辩日期：2015 年 5 月 9日 学历授予单位：贵阳职业技术学院 中 国 ? 贵阳 2015年 5 月 目 录 摘 要： 1 关键词： 1 引 言： 1 1 RP协议简介 1 1.1ARP协议的工作原理 2 2 ARP地址欺骗攻击者的定位 2 2.1 Sniffer嗅探法 2 2.2命令提示符法 2 2.3利用相关软件工具 3 3 ARP协议存在的漏洞及ARP欺骗 3 4 RP欺骗的防范对策 3 5.1.建立静态ARP表 3 5.2.禁止某个网络接口做ARP解析 3 5.3.推出ARP病毒查杀软件 3 5 束语 4 参考文献： 5 摘 要：关键词：引 言：随着网络、电子通信等技术的发展，互联网的接入，网络的应用越来越深入的到社会的各个行业，而随之而来的是人们对于接入网络的高效和安全问题的关注，在网络应用中的众多问题中，arp欺骗攻击也日益被提到关注的重点上。ARP协议是Address Resolution Protocol地址解析协议的缩写,在局域网中以帧的方式进行传输数据,并且根据帧中目标主机的MAC地址来进行寻址。在以太网中,一台主机要和另一台主机进行直接通信,就必须要知道目的主机的MAC地址,这个目的MAC地址就是通过ARP协议获取的,地址解析就是主机在发送帧前将目的主机的IP地址转换成目的主机MAC地址的过程,这样才能保证局域网内各主机间可靠快速的通信。假设主机A和B在同一个网段,主机A要向主机B发送信息。具体的地址解析过程如下。(1)主机A首先查看自己的ARP缓存表,确定其中是否包含有主机B对应的ARP表项。如果找到了主机B对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给主机B。(2)如果主机A在ARP缓存表中找不到对应的MAC地址,则将缓存该数据报文,然后以广播方式发送一个ARP请求报文。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机B会对该请求进行处理。(3)主机B比较自己的IP地址和ARP请求报文中的目标IP地址,如果相同则将ARP请求报文中的发送端主机A的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A。 (4)主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP缓存表中以用于后续报文的转发,同时将IP数据包进行封装后发送出去在不同网段间 当主机A和主机B不在同一网段时,主机A就会先向网关发出ARP请求报文。当主机A从收到的响应报文中获得网关的MAC地址后,将报文封装并发给网关。如果网关没有主机B的ARP表项,网关会广播ARP请求,目标IP地址为主机B的IP地址,当网关从收到的响应报文中获得主机B的MAC地址后,就可以将报文发给主机B;如果网关已经有主机B的ARP表项,网关直接把报文发给主机B。 ARP地址欺骗攻击者的定位2.1 Sniffer嗅探法 当局域网中有ARP地址欺骗时，往往伴随着大量的ARP欺骗广播数据包，这时，流量检测机制应该能够很好地检测出网络的异常举动，利用Ethereal之类的抓包工具找出大量发送ARP广播包的机器，这基本上就可以当作攻击者进行处理。2.2命令提示符法在开始→运行 中输入cmd ，在弹出的命令窗口中输入系统自带的ARP命令即可完成。当局域网中发生ARP欺骗攻击的时候，攻击者会向全网不停地发送ARP欺骗广播，这时局域网中的其他主机就会动态更新自身的ARP缓存表，将网关的MAC地址记录成攻击者本身的MAC地址，此时，我们只要在其受影响的主机中使用“ARP -A”命令查询一下当前网关的MAC地址，就可知道攻击者的MAC地址。例如，输入“ARP -A，命令后的返回信息如下：Interface: 192.168.1.2 --- 0x2 Internet Address????? Physical Address??????? Type 192.168.1.1?????????? 00-41-57-57-44-67???? static 192.168.1.9?????????? 00-0b-2f-1a-28-b5???? dynamic 因当前电脑的ARP表是错误的记录，故该MAC地址不是真正网关的MAC地址，而是攻击者的MAC地址。此时，再根据网络正常时，全网的IP-MAC地址对照表，查找攻击者的IP地址就