ARP欺骗与防御手段.doc

ARP欺骗与防御手段 神州数码网络公司 目 录 1. ARP欺骗 4 1.1. ARP协议工作原理 4 1.2. ARP协议的缺陷 4 1.3. ARP协议报文格式 5 1.4. ARP攻击的种类 6 1.4.1. ARP网关欺骗 6 1.4.2. ARP主机欺骗 7 1.4.3. 网段扫描 9 ARP欺骗 在与用户的沟通过程中，感觉到用户的网络管理人员最头痛也是频繁出现的问题就是ARP的病毒攻击问题。在一个没有防御的网络当中暴发的ARP病毒带来的影响是非常严重的，会造成网络丢包、不能访问网关、IP地址冲突等等。多台设备短时间内发送大量ARP报文还会引起设备的CPU利用率上升，严重时可能会引起核心设备的宕机。 如何解决ARP攻击的问题呢？首先要从ARP攻击的原理开始分析。 ARP协议工作原理 在TCP/IP协议中，每一个网络结点是用IP地址标识的，IP地址是一个逻辑地址。而在以太网中数据包是靠48位MAC地址（物理地址）寻址的。因此，必须建立IP地址与MAC地址之间的对应（映射）关系，ARP协议就是为完成这个工作而设计的。 TCP/IP协议栈维护着一个ARP cache表，在构造网络数据包时，首先从ARP表中找目标IP对应的MAC地址，如果找不到，就发一个ARP request广播包，请求具有该IP地址的主机报告它的MAC地址，当收到目标IP所有者的ARP reply后，更新ARP cache。ARP cache有老化机制。 ARP协议的缺陷 ARP协议是建立在信任局域网内所有结点的基础上的，它很高效，但却不安全。它是无状态的协议，不会检查自己是否发过请求包，也不管（其实也不知道）是否是合法的应答，只要收到目标MAC是自己的ARP reply包或arp广播包（包括ARP request和ARP reply），都会接受并缓存。这就为ARP欺骗提供了可能，恶意节点可以发布虚假的ARP报文从而影响网内结点的通信，甚至可以做“中间人”。 ARP协议报文格式 6 6 2 2 2 目地MAC地址 源MAC地址 帧类型 硬件类型 协议类型 1 1 2 6 4 硬件地址长度 协议地址长度 类型 发送端MAC地址 发送端IP地址 6 4 　 接收端MAC地址 接收端IP地址 报文的前两个字段分别为目地MAC地址和源MAC地址，长度共12个字节。当报文中，目地MAC地址为全1（FF:FF:FF:FF:FF:FF）时候，代表为二层广播报文。同一个广播域的主机均会收到。 第三个字段是帧类型，长度2个字节。对于ARP报文，这个字段的值为“0806”。 接下来两个2字节的字段表示硬件地址类型和对应映射的协议类型。 硬件地址类型值为“0001”代表以太网地址。协议类型值为“0800”代表IP地址。 后跟两个1字节的字段表示硬件地址长度和协议地址长度。这两个字段具体数值分别为“6”和“4”代表硬件地址长度使用6字节表示和协议地址长度使用4字节表示。 类型字段，长度2个字节。这个字段的值表示出ARP报文属于那种操作。ARP请求（值为“01”，ARP应答（值为“02”），RARP请求（值为“03”）和RARP应答（值为“04”）。 最后四个字段为发送端MAC地址、发送端IP地址、接收端MAC地址、接收端IP地址。（其中，发送端MAC地址与字段2的源MAC地址重复。） ARP攻击的种类 针对ARP攻击的不同目地，可以把ARP攻击分为网关欺骗、主机欺骗、MAC地址扫描几类。下面分析一下每种ARP攻击使用的方法和报文格式。 ARP网关欺骗 在ARP的攻击中，网关欺骗是一种比较常见的攻击方法。通过伪装的ARP Request报文或Reply报文到修改PC机网关的MAC-IP对照表的目地。造成PC机不能访问网关，将本应发向网关的数据报文发往被修改的MAC地址。 网关欺骗的报文格式： 主要参数： Destination Address ：00:0B:CD:61:C1:26 （被欺骗主机的MAC地址） Source Address ：00:01:01:01:01:01 （网关更改的虚假MAC地址） Type ： 1 （ARP的请求报文） Source Physics ：00:01:01:01:01:01 Source IP ：211.68.199.1 Destination Physics ：00:0B:CD:61:C1:26 Destination IP ：211.68.99.101 按上面的格式制作的数据包会对MAC地址为00:0B:CD:61:C1:26的主机发起网关欺骗，将这台PC机的网关211.68.199.1对应的MAC地