前言
一、ARP的基本知识
1 什么是ARP
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域 中, 络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太 中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。 在局域 中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的,ARP协议对 络安全具有重要的意义。
2 ARP协议的工作原理
正常情况下,每台主机都会在自己的ARP缓冲区中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC地址;如果没有,就向本地 段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。 络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。 <ml:namespace prefix = v ns = “urn:schemas-microsoft-com:vml” /> <ml:namespace prefix = w ns = “urn:schemas-microsoft-com:office:word” />
如图:
2 要发送 络包给192.168.1.1,但不知MAC地址/span> 2 在局域 发出广播包“192.168.1.1的MAC地址是什么 2 其他机器不回应,只有192.168.1.1回应“192.168.1.1的MAC地址是00-aa-00-62-c6-09” 从上面可以看出,ARP协议的基础就是信任局域 内所有的人,那么就很容易实现在以太 上的ARP欺骗。更何况ARP协议是工作在更低于IP协议的协议层,因此它的危害就更加隐蔽。
二、ARP欺骗的原理
三、出现ARP***的原因及特征
一个正常运行的局域 是不应该出现ARP***的,经过长时间的观测,发现ARP***的出现主要是由以下几个原因造成的:
1 人为破坏
主要是内 有人安装了P2P监控软件,如P2P终结者, 络执法官,聚生 管,QQ第六感等,恶意监控其他机器,限制流量,或者进行内 DDOS***。
2 ***病毒
传奇、跑跑卡丁车、劲舞团等游戏外挂,如:及时雨PK版,跑跑牛车,劲舞小生等,他内含一些***程序,也会引起ARP欺骗。 其实真正有人恶意捣乱的是很少的,一次两次捣乱,次数多了自己也就腻了,更何况事后 管肯定会找到捣乱的主机,所以说人为破坏是比较好解决的。最麻烦的就是使用带***的游戏外挂和浏览带有恶意代码的 页。 当出现ARP***后最明显的特征是 络频繁掉线,速度变慢,查看进程你会发现增加了 down.exe 1.exe cmd.exe 9sy.exe中的任意一个或多个,严重的还能自动还下载威金病毒,logo_1.exe.rundl132.exe,感染可执行文件,图标变花还。
四、ARP***的危害
目前校园 内的计算机所感染的“ARP欺骗”系列病毒已经有了几十个变种。根据这些变种的工作特点和外部特性大概可以分为四大类:
1 仿冒 关***
2 欺骗 关***
3 “中间人”***
4 ARP 文泛洪***
现象:经常有人反馈上不了 ,或 速很慢,查看ARP表项也都正确,但在 络中抓 文分析,发现大量ARP请求 文。(正常情况时, 络中ARP 文所占比例是很小的) 原因:恶意用户利用工具构造大量ARP 文发往交换机、路由器或某台PC机的某个端口,导致CPU忙于处理ARP协议,负担过重,造成设备其他功能不正常甚至瘫痪。 通俗地理解:李四为保障电话薄正确,会定时检查和刷新电话簿,王五就高频率地修改李四的电话簿,导致李四也只能忙着刷新电话簿,无法做其它工作了。 以上是ARP病毒的四种基本***类型,实际中ARP病毒还可变种为更多的***方式。例如,有的ARP病毒就专门在 吧中盗窃别人的QQ、 络游戏账 ,使用的就是改进的仿冒 关***。但万变不离其宗,只要能够防御四种基本***方式,ARP病毒就无计可施了。
五、常用的防范方法
下面介绍防范ARP***的几种常用方法: 根据ARP***的特点,给出了***和防范对应表。
| ***方式 | 防御方法 |
| 动态获取IP地址的用户进行“仿冒 关”、“欺骗 关”、“欺骗终端用户”、“ARP中间人***” | 配置DHCP Snooping、ARP***检测功能 |
| 手工配置IP地址的用户进行“仿冒 关”、“欺骗 关”、“欺骗终端用户”、“ARP中间人***” | 配置IP静态绑定表项、ARP***检测功能,自定义ACL |
| ARP 泛洪*** | 配置ARP 文限速功能 |
| 动态和手工配置IP地址的用户进行“仿冒 关”*** | 配置认证模式的ARP***防御解决方案(CAMS下发 关配置功能) |
1 DHCP Snooping功能
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!