《毕业论文：基于校园网ARP欺骗分析及防御技术 》.doc

基于校园网ARP欺骗分析及防御技术 摘要：近年来对校园网造成巨大安全威胁的主要因素就是arp欺骗， 其攻击通常会导致用户账号、密码丢失，严重时无法正常访问网络。本文分析了arp协议的工作原理以及arp欺骗原理，阐述arp欺骗的主要类型，并在此基础上，通过对arp协议分析及arp欺骗分析，提出了几种快速、有效防止arp欺骗的措施以及技术实现要点。改进和完善arp协议将成为arp欺骗防御的发展趋势。 关键词：arp arp欺骗 网络安全 中图分类号：tp316 文献标识码：a 文章编号：1007-9416(2012)02-0216-02 随着互联网在高校校园的普及，近几年校园网普遍爆发一种叫“arp欺骗”的病毒。arp欺骗在局域网内广泛传播，网络中中毒电脑通常伪装成路由器，盗取用户密码，后来发展成潜伏于软件之中，扰乱用户正常的网络通信。欺骗者利用它可进行dos、mim攻击和dns欺骗等多种方式的网络攻击[1-2]，arp病毒以窃取主机信息为目的，病毒发作时会导致用户账号和密码丢失及网络时断时续，甚至局域网瘫痪，严重影响用户正常上网[3]。如何采取有效的技术措施防御arp病毒攻击一直是网络安全管理的重要工作，本文主要介绍、分析了arp欺骗的基本原理，讨论了由此引发的网络安全问题，提出了切实可行的解决问题的思路。 1、arp的相关知识 1.1 arp协议的概念 arp协议(address resolution protocol)即地址解析协议是一种将计算机的网络地址（ip地址32位）转化为物理地址（mac地址48位）的协议，其基本功能就是通过目的设备的ip地址，查询到目的设备的物理地址即mac地址，从而保证通信的顺利进行。局域网中的所有ip通讯最终都要转换成基于物理地址（mac）的通信，arp协议的工作就是查找目的主机的ip地址所对应的mac地址，并实现双方通信。从ip地址到物理地址的映射有两种方式：表格方式和非表格方式。 1.2 arp协议的工作原理 arp协议工作在tcp/ip协议的ip层，所有安装有tcp/ip协议的主机都有一个arp高速缓存，里面存放计算机目前知道的局域网上各主机和路由器的ip地址到mac地址的映射表。查看当前arp缓存表的方法是在windows操作系统的命令行窗口输入“arp–a”命令，保存的就是ip地址与mac地址的对应关系。 下面以主机a(ip为192.168.0.1，mac为00-00-40-ca-65)向本局域网内的主机b(ip为192.168.0.2，mac为00-00-36-cb-78)发送数据为例来说明arp协议的工作原理（如图所示）。 当主机a欲向某主机b发送ip数据报时，主机a先在自己的arp高速缓存表中查找是否有目标主机b的映射信息即ip地址与对应mac信息。如果有就可以查出目标主机b的mac地址，再将其硬件地址写入mac帧中，通过局域网直接发送数据。若主机a的arp高速缓存表中没有找不到主机b的映射信息，它就会在网络上向所有主机发送一个arp请求的广播数据包，向同一网段内的所有主机询问ip为“192.168.0.2”主机的mac地址。正常情况下，网络上除b以外的其他主机虽然收到该数据包，但并不回应这个arp请求数据包，只有主机b接收到这个广播帧后，以arp应答包的方式向主机a做出回应，通知对方本机是“192.168.0.2”，mac地址是“00-00-36-cb-78”。主机a在收到应答包后，就可以根据ip地址与mac地址的对应表发送数据包。同时，主机a还要动态更新自己的arp缓存表，把主机b的映射信息写入缓存表，下次再向主机b发送信息时，直接从arp缓存表里查找其mac地址。 arp缓存表还采用了时间老化机制，即arp表中的内容有存活时间（这一段时间称为arp缓存的超时时限)，在设置的存活时间内如果表中的某一行没有使用就会被删除，完成自动更新，加快查询时间。 1.3 arp协议存在的设计缺陷 arp协议是一个高效的数据链路层协议，属于无状态的协议，建立在信任局域网内所有节点的基础之上。可见其设计前提是在网络绝对安全和信任的情况下进行的，不会自动检查是否发送过请求包，也不了解接收到的应答是否合法，只要收到目标mac是自己的arpreply包或arp广播包都要接收并缓存，因此arp协议不可避免的存在着设计缺陷。其缺陷表现在以下方面： (1)主机arp高速缓存依据接收到的arp协议包进行动态更新。因此正常的主机间mac地址刷新都是有时限的，假冒者正是利用更新数据前的时段成功地修改被攻击机器上的地址缓存进行假冒或拒绝服务攻击。 (2)arp协议没有连接的概念，局域网内的任意主机在没有arp请求时也可以做出应答。许多系统都会接受未请求的arp响应，并用虚假信息篡改其缓存，这是arp协议