12121407徐龙伟_ARP协议安全防护.pptxVIP

计算机网络研讨第八周;研讨题目;地址解析协议，即ARP（Address Resolution Protocol） 是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。;一、ARP协议工作原理;第1步：根据主机A上的路由表内容，IP确定用于访问主机B的转发IP地址是192.168.1.2。然后A主机在自己的本地ARP缓存中检查主机B的匹配MAC地址。 第2步：如果主机A在ARP缓存中没有找到映射，它将询问192.168.1.2的硬件地址，从而将ARP请求帧广播到本地网络上的所有主机。源主机A的IP地址和MAC地址都包括在ARP请求中。本地网络上的每台主机都接收到ARP请求并且检查是否与自己的IP地址匹配。如果主机发现请求的IP地址与自己的IP地址不匹配，它将丢弃ARP请求。 第3步：主机B确定ARP请求中的IP地址与自己的IP地址匹配，则将主机A的IP地址和MAC地址映射添加到本地ARP缓存中。 第4步：主机B将包含其MAC地址的ARP回复消息直接发送回主机A。 第5步：当主机A收到从主机B发来的ARP回复消息时，会用主机B的IP和MAC地址映射更新ARP缓存。本机缓存是有生存期的，生存期结束后，将再次重复上面的过程。主机B的MAC地址一旦确定，主机A就能向主机B发送IP通信了。;工作要素——ARP缓存;为使广播量最小，ARP维护IP地址到MAC地址映射的缓存以便将来使用。ARP缓存可以包含动态和静态项目。动态项目随时间推移自动添加和删除。每个动态ARP缓存项的潜在生命周期是10分钟。新加到缓存中的项目带有时间戳，如果某个项目添加后2分钟内没有再使用，则此项目过期并从ARP缓存中删除；如果某个项目已在使用，则又收到2分钟的生命周期；如果某个项目始终在使用，则会另外收到2分钟的生命周期，一直到10分钟的最长生命周期。静态项目一直保留在缓存中，直到重新启动计算机为止。;ARP工作媒介——报文;硬件类型：指明了发送方想知道的硬件接口类型，以太网的值为1； 协议类型：指明了发送方提供的高层协议类型，IP为0800（16进制）； 硬件地址长度和协议长度：指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用； 操作类型：用来表示这个报文的类型，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4； 发送方硬件地址（0-3字节）：源主机硬件地址的前3个字节； 发送方硬件地址（4-5字节）：源主机硬件地址的后3个字节； 发送方IP地址（0-1字节）：源主机硬件地址的前2个字节； 发送方IP地址（2-3字节）：源主机硬件地址的后2个字节； 目标硬件地址（0-1字节）：目的主机硬件地址的前2个字节； 目标硬件地址（2-5字节）：目的主机硬件地址的后4个字节； 目标IP地址（0-3字节）：目的主机的IP地址。[3]? ;二??ARP欺骗;常见ARP欺骗形式;;三、ARP欺骗的防范;;;2、单位局域网可采用IP与MAC绑定 在PC上IP+MAC绑，网络设备上IP+MAC+端口绑。但不幸的是Win 98/me、未打arp补丁的win 2000/xp sp1（现在大多都已经打过了）等系统 使用arp -s所设置的静态ARP项还是会被ARP欺骗所改变。 如果网络设备上只做IP+MAC绑定，其实也是不安全的，假如同一二层下的某台机器发伪造的arp reply（源ip和源mac都填欲攻击的那台机子的）给网关，还是会造成网关把流量送到欺骗者所连的那个（物理）端口从而造成网络不通。 对于采用了大量傻瓜交换机的局域网，用户自己可以采取支持arp过滤的防火墙等方法。推荐Look ‘n’Stop防火墙，支持arp协议规则自定义。 最后就是使用ARPGuard啦（才拉到正题上），但它只是保护主机和网关间的通讯。;四、ARPGuard的原理;;谢谢~