《ARP论文局域网论文》-毕业论文.docVIP

w ARP论文局域网论文 摘要：本文首先对arp协议进行了介绍，分析了产生arp攻击的原因，描述了网络遭受到arp攻击之后的表现，最后给出了主动防御和被动防御两种安全解决方案。 关键词：arp；局域网；攻击 positioning and prevention of arp attack he jiadong1,yang ming2,liu xin2 (1.8630 troops network center,tianjin300250,china;2.military medical college network information center,tianjin300162,china) abstract:this paper first introduces the arp protocol,analyzes the reasons for producing arp attacks,describing the networks performance suffered after the arp attack.finally,the active defense and passive defense two security solutions given. keywords:arp;lan;attack 一、概述 在网络世界中，mac地址的获取过程是一个动态的解析的过程。在这个过程之中通过arp地址解析协议将ip地址与网卡mac地址进行映射。arp攻击就是利用arp地址解析过程的漏洞对局域网用户进行攻击，使受害者获得错误的ip-mac映射关系，导致受害者与错误的主机进行通讯。利用arp攻击，攻击者可以实现欺骗攻击、交换环境嗅探、mac地址表溢出以及拒绝服务攻击。因此，arp攻击对局域网存在着巨大的威胁。 二、arp攻击 arp（address resolution protocol，地址解析协议）是一个位于tcp/ip协议栈中的底层协议，负责将某个ip地址解析成对应的mac地址。 arp是地址解析协议，是一种将ip地址转化成物理地址的协议。从ip地址到物理地址的映射有两种方式：表格方式和非表格方式。arp具体说来就是将网络层地址解析为数据连接层的mac地址。 arp攻击就是通过伪造ip地址和mac地址实现arp欺骗，能够在网络中产生大量的arp通信量使网络阻塞，攻击者只要持续不断的发出伪造的arp响应包就能更改目标主机arp缓存中的ip-mac条目，造成网络中断或中间人攻击。 arp攻击主要是存在于局域网网络中，局域网中若有一台计算机感染arp木马，则感染该arp木马的系统将会试图通过“arp欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。 基于arp协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的arp数据包，数据包内包含有与当前设备重复的mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下，受到arp攻击的计算机会出现两种现象：1.不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框；2.计算机不能正常上网，出现网络中断的症状。 三、arp攻击的定位 一旦网络中遭受到arp攻击，由于arp协议天生的缺陷，必需尽快找到攻击源头，将其从网络中隔离开，才能彻底阻止其对网络继续入侵。 从攻击原理上进行分析，一方面所有的arp攻击源都会有其特征——网卡会处于混杂模式，因此，我们可以通过arpkiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的，从而判断这台机器有可能正在进行arp攻击。 从另一方面来说，在局域网发生arp攻击时，可以通过查看交换机的动态arp表中的内容，确定攻击源的mac地址；也可以在局域网中部署sniffer等网络嗅探工具，定位arp攻击源的mac。 四、arp攻击的防范 （一）被动防御措施 1.客户端安装杀毒软件并保持病毒库随时更新，解决终端用户不小心感染arp病毒，从而对局域网造成危害的问题。 2.客户端安装arp防火墙软件，防止被arp攻击。一般arp防火墙通过向网络中定期广播自己的mac地址来“主动”告知其他终端不要被“欺骗”，同时在自己的客户端上绑定网关的mac地址，防止自己被“欺骗”。 3.舍弃arp协议，采用其他寻址协议，例如pppoe。采用该方式则会产生一系列的兼容性问题。 总之，采用被动的防御措施，只能“治标”，不能“治本”，而且会给网络带来额外的负担。并不是我们介绍的重点。 （二）主动防御措施 1.dhcp snooping。dhcp snooping技术是dhcp安全特性，通过建立和维护dhcp snooping绑定表过滤不可信任的dhcp信息，这些信息是指