ARP病毒攻击原理及改进的防范算法.pdfVIP

ARP病毒攻击原理及改进的防范算法

摘要:本文针对目前校园网中地址解析协议(ARP)病毒的频繁发作.分析了

ARP安全漏洞及病毒攻击原理:利用数据链路层地址解析协议(ARP)可以实施“中

间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等攻击的形式,因为ARP

协议具有实现lP地址到网络接口硬件地址(MAC)的映射功能,所以利用此特性在

数据链路层发动的攻击具有很强的隐蔽性。针对ARP攻击的方式,提出了一种防

范算法,以先发送请求和验证发送端地址方法,有效防范ARP攻击,提高了网络的

安全性能。

关键词:Arp缓存;Arp病毒;arp协议原理,攻击

1引言

近一段时间以来,校园网内经常受到ARP病毒的攻击,其病毒攻击原理是通

过伪造IP地址和MAC地址实现ARP欺骗,破坏内网中的主机和交换路由设备

ARP高速缓存机制,其症状严重时会使网络流量加大.网络设备CPU利用率过高、

交换机二层生成树环路、短时间内断网(全部断网或是部分断网)和主机上网不稳

定或交换机短时瘫痪的严重状况。甚至出现盗用网内用户的帐号,密码等重要信

息,给校园网中的有用资源造成很大破坏。

2ARP地址解析协议分析

针对ARP病毒攻击,我们首先分析ARP协议以及它的工作原理。ARP即地

址解析协议是专门用来确定这些映像的协议。在网络中使用的每台装有TCP/IP

协议的主机或服务器内都配有一个ARP缓存表,该表里的IP地址与MAC地址是

一一对应的。ARP协议的结构定义如下:

当数据发送成功后就存入ARP缓存表是,下次发送就直接从表里查找即可。

ARP缓存表采用了“老化机制”,在一段时间内如果表中的某一个MAC地址没有

使用,就会被删除,这样可以减少ARP缓仔表的长度,以加快查询速度。

3ARP攻击原理

通过上述ARP工作原理得知,系统的ARP缓存表是可以随时更新的动态转

换表,表中的IP和MAC是可以被修改的,这样在以太网中很容易实现ARP欺骗。

ARP攻击可分为几种:“中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗

等攻击的形式,表现为对内网pc机和网络交换机、DHCP服务的欺骗。

3.1对内网IP/MAC的欺骗

发送大量持续伪造的ARP包时,会造成局域网中的机器ARP缓存混乱,使网

出现时断时续的情况。

下面通过一个例子说明:

B站点分别给A站点和C站点发送假信息,这样在A、C收到帧以后,A站点

和C站点都认为是以MAC地址为00-0f-ea-b7-33-71的站点发送来的信息。这时

B站点的欺骗成功。(下见图1)

3.2Switch的CAM欺骗

Switch上同样维护着一个动态的MAC缓存。整个Switch的端口表CAM是

动态的。对交换机的CAM攻击是指利用木马程序产生欺骗MAC,快速填满CAM

表,交换机CAM表被填满后,交换机以广播方式处理通过交换机的报文,把以前正

常的MAC和Port对应的关系破坏了,这时攻击者可以利用各种嗅探攻击获取网

络信息。

3.3DHCP服务的攻击

采用DHCPserver可以自动为用户设置网络IP地址、子网掩码、网关,DNS

等网络参数,简化用户网络设置,提高管理效率。但由于DHCP的运作通常没有服

务器和客户端的认证机制,病毒对其攻击的方式通常表现在DHCPserver的冒

充,DHCPserver的DoS攻击等,所谓冒充是将DHCP服务器所能分配的IP地址耗

尽,然后冒充合法的DHCP服务器。为用户分配一个经过修改的DNSserver,在用

户毫无察觉的