雷和軍

(江西高速集團(tuán) 江西 贛州 341000)

?

淺談辦公局域網(wǎng)ARP攻擊與防御

雷和軍

(江西高速集團(tuán) 江西 贛州 341000)

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、通信等技術(shù)的發(fā)展其運(yùn)用領(lǐng)域越來越廣泛，作用越來越明顯，然而在我們的辦公局域網(wǎng)中經(jīng)常會(huì)出現(xiàn)ARP攻擊，為了更好地防御ARP的攻擊，解決實(shí)際工作問題，研究辦公局域網(wǎng)ARP攻擊和防御在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)中應(yīng)用具有一定的研究?jī)r(jià)值。

ARP辦公局域網(wǎng)、ARP攻擊、ARP防御、ARP病毒

一、引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、通信等技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)的接入，網(wǎng)絡(luò)技術(shù)的應(yīng)用越來越廣泛，社會(huì)各行業(yè)中無處不見其“身影”，并且在行業(yè)中發(fā)揮著顯著的作用。在運(yùn)用中由于網(wǎng)絡(luò)的開放性、資源共享性、組網(wǎng)形式多樣性、終端分布不均勻性以及網(wǎng)絡(luò)邊界的不可知性，因此網(wǎng)絡(luò)必然存在頗多的安全隱患。ARP病毒在局域網(wǎng)中廣為傳播，時(shí)常不定向網(wǎng)絡(luò)中發(fā)送偽造的ARP數(shù)據(jù)包，導(dǎo)致整個(gè)網(wǎng)絡(luò)受到極大干擾，致使用戶信息被竊取等，因此掌握ARP攻擊的原理和防御是很有必要。

二、辦公局域網(wǎng)的概述

(一)辦公局域網(wǎng)的介紹

局域網(wǎng)指有限區(qū)域(如辦公室或樓層)內(nèi)將多臺(tái)電腦、接入設(shè)備和數(shù)據(jù)庫等相互連接組成，通過共享的傳輸介質(zhì)互連，所組成的封閉網(wǎng)絡(luò)。有限區(qū)域一般是指幾千米以內(nèi)，在局域網(wǎng)中計(jì)算機(jī)可實(shí)現(xiàn)文件管理、應(yīng)用軟件共享、打印機(jī)共享、電子郵件和傳真通信服務(wù)等功能。

(二)辦公局域網(wǎng)特點(diǎn)

局域網(wǎng)區(qū)域的通信設(shè)備通過傳輸介質(zhì)而成的網(wǎng)絡(luò)環(huán)境，其特點(diǎn)歸納如下：(1)為一定區(qū)域所擁有，并且其接入設(shè)備數(shù)量有限；(2)具有較高的通信速率；(3)擁有較低的時(shí)延和誤碼率；(4)各站點(diǎn)具有共享資源的平等級(jí)關(guān)系；(5)傳輸介質(zhì)要求不唯一。與多用戶系統(tǒng)相比具有以下優(yōu)點(diǎn)：(1)便于共享其他設(shè)備、軟件和數(shù)據(jù)，即從一個(gè)站點(diǎn)便可訪問全網(wǎng)。(2)增強(qiáng)了系統(tǒng)的可靠性與可用性；(3)便于設(shè)備位置的調(diào)整與組網(wǎng)并網(wǎng)等。

(三)局域網(wǎng)的組網(wǎng)形式

對(duì)于局域網(wǎng)還是傳輸網(wǎng)其常見組網(wǎng)拓?fù)浣Y(jié)構(gòu)形式有鏈形結(jié)構(gòu)、星型、環(huán)型和樹型等。

三、ARP簡(jiǎn)介概述

(一)ARP協(xié)議(地址解析協(xié)議)

ARP,全稱為Address Resolution Protocol,中文名為地址解析協(xié)議,工作在數(shù)據(jù)鏈路層,在本層和硬件接口聯(lián)系,同時(shí)對(duì)上層(網(wǎng)絡(luò)層)提供服務(wù)。在以太網(wǎng)中,由于以太網(wǎng)設(shè)備并不識(shí)別32位的IP地址,所以數(shù)據(jù)包的傳送不是通過IP地址,而是通過48位MAC地址(網(wǎng)卡的物理地址)來完成的。即在以太網(wǎng)中,一臺(tái)主機(jī)要和另一臺(tái)主機(jī)進(jìn)行直接通信,必須要知道目標(biāo)主機(jī)的MAC地址。然而目標(biāo)主機(jī)的MAC地址是通過地址解析協(xié)議(ARP)獲得的,因此ARP協(xié)議是將網(wǎng)絡(luò)中的IP地址解析為MAC地址來進(jìn)行網(wǎng)絡(luò)通信。

(二)ARP的功能

ARP是獲取物理地址的一個(gè)TCP/IP協(xié)議，如某節(jié)點(diǎn)IP地址的ARP請(qǐng)求被廣播到網(wǎng)絡(luò)上后，這個(gè)節(jié)點(diǎn)會(huì)收到確認(rèn)其物理地址的應(yīng)答，這樣的數(shù)據(jù)包才能被傳送出去。在同一局域網(wǎng)中兩臺(tái)計(jì)算機(jī)之間進(jìn)行通信時(shí)，其中一臺(tái)計(jì)算機(jī)必然要知道另一臺(tái)計(jì)算機(jī)的MAC地址，我們都知道網(wǎng)絡(luò)層和傳輸層只關(guān)心目標(biāo)主機(jī)的IP地址。

(三)ARP工作原理

計(jì)算機(jī)主機(jī)都有TCP/IP協(xié)議和一個(gè)ARP高速緩存，存放其主機(jī)的IP地址和MAC地址。在兩臺(tái)計(jì)算機(jī)主機(jī)通過局域網(wǎng)相互通信時(shí)，首先是一臺(tái)計(jì)算機(jī)主機(jī)在發(fā)數(shù)據(jù)包前檢查本身ARP列表中是否存在目標(biāo)主機(jī)的IP地址和MAC地址，存在即可直接將數(shù)據(jù)包發(fā)送至目標(biāo)MAC地址上，反之計(jì)算機(jī)將向本地網(wǎng)段發(fā)送ARP請(qǐng)求的廣播包，搜索目標(biāo)主機(jī)的MAC地址。

網(wǎng)絡(luò)中的計(jì)算機(jī)收到ARP的請(qǐng)求信息后，就匹對(duì)目標(biāo)IP地址，匹對(duì)相同IP地址時(shí)就會(huì)將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中，若是ARP列表中存在該IP信息，此時(shí)將覆蓋其信息，隨后給發(fā)送數(shù)據(jù)包的計(jì)算機(jī)主機(jī)發(fā)送ARP響應(yīng)數(shù)據(jù)包，轉(zhuǎn)達(dá)給自己要找的MAC地址，源計(jì)算機(jī)主機(jī)收到ARP響應(yīng)數(shù)據(jù)包后，將收到的目標(biāo)主機(jī)IP地址和MAC地址加入到自己的ARP列表中，以此傳輸數(shù)據(jù)信息，反之忽略。

(四)ARP攻擊原理

ARP攻擊旨在利用地址解析協(xié)議本身的運(yùn)行機(jī)制而發(fā)動(dòng)的攻擊行為，只要是對(duì)計(jì)算機(jī)主機(jī)的IP沖突攻擊、數(shù)據(jù)包轟炸和切斷網(wǎng)絡(luò)等。ARP正式利用其在ARP列表查詢時(shí)開始“作案”，我們經(jīng)常談到的ARP攻擊的病毒軟件就是在查詢列表時(shí)，提供本身的MAC地址，從而造成計(jì)算機(jī)的ARP列表錯(cuò)誤，還有我們談到的通過建立假網(wǎng)關(guān)地址，它是ARP攻擊者建立一個(gè)假網(wǎng)關(guān)，一旦有計(jì)算機(jī)上門詢問網(wǎng)關(guān)ARP包時(shí)，就會(huì)將其自身的假M(fèi)AC地址發(fā)送給對(duì)方，造成不在正常的路由上進(jìn)行通信，進(jìn)而使網(wǎng)絡(luò)癱瘓。

(五)辦公網(wǎng)路遭受ARP攻擊的原因

在我們的辦公網(wǎng)中我們會(huì)經(jīng)常遇到網(wǎng)絡(luò)的不穩(wěn)定，在網(wǎng)絡(luò)鏈路正常情況下，網(wǎng)絡(luò)時(shí)不時(shí)出現(xiàn)掉包嚴(yán)重，甚至哪怕增加一臺(tái)PC機(jī)都會(huì)致使整個(gè)網(wǎng)絡(luò)癱瘓，遇到這種情況我們很容易想到的是此網(wǎng)絡(luò)可能存在ARP攻擊現(xiàn)象呢。

(六)防護(hù)措施

對(duì)于以上我們講的這些ARP攻擊現(xiàn)象，我們將給出一些個(gè)人在網(wǎng)絡(luò)ARP攻擊防范工作中總結(jié)出的經(jīng)驗(yàn)。在此談?wù)凙RP攻擊防御措施，接下來將以本人的經(jīng)驗(yàn)來淺談一下。(1)常見的我們可以先要養(yǎng)成一個(gè)良好使用網(wǎng)絡(luò)的習(xí)慣，我們要時(shí)常將自己的電腦進(jìn)行網(wǎng)絡(luò)殺毒和清除一些垃圾以及正確使用U盤等移動(dòng)存儲(chǔ)設(shè)備。(2)安裝360安全衛(wèi)士或者其它殺毒軟件，及時(shí)查殺木馬病毒等。(3)安裝金山ARP防火墻，安裝完成后選擇運(yùn)行金山ARP防火墻，即可預(yù)防ARP的攻擊。(4)對(duì)計(jì)算機(jī)主機(jī)不斷對(duì)Windows打補(bǔ)丁。(5)靜態(tài)綁定IP和MAC地址，我們知道ARP的欺騙是通過動(dòng)態(tài)實(shí)時(shí)的欺騙內(nèi)網(wǎng)計(jì)算機(jī)，因此靜態(tài)綁定IP和MAC地址可避免ARP攻擊。(6)使用三層交換機(jī)綁定端口、MAC和IP地址來限制ARP的流量，能及時(shí)定位ARP攻擊的位置和處理。以上這些ARP攻擊防御方法是本人在辦公局域網(wǎng)維護(hù)與管理自己經(jīng)歷過的，并且在網(wǎng)絡(luò)管理工作取得一定成效。

(七)結(jié)束語

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、通信等技術(shù)的發(fā)展，為我們帶來有極大的幫助，正處于信息時(shí)代、互聯(lián)網(wǎng)+和大數(shù)據(jù)時(shí)代，唯有掌握一定的技術(shù)才是問題解決的關(guān)鍵，再次感謝各位領(lǐng)導(dǎo)、同事在工作中的引導(dǎo)和交流，能讓我進(jìn)一步了解辦公局域網(wǎng)ARP的原理和防御措施。

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)(第6版).電子工業(yè)出版社

[2]崔北亮,陳家遷著.常網(wǎng)管網(wǎng)絡(luò)管理從入門到精通(修訂版).人民郵電出版社出版

[3]呂高鋒,胡曉峰.國防科技大學(xué)學(xué)報(bào).TCP友好的路由器設(shè)計(jì),2005年5期

[4]胡曉峰,孫志剛.國防科技大學(xué)學(xué)報(bào).高性能路由器并行轉(zhuǎn)發(fā)技術(shù),2005年05期

[5]戴藝,孫志剛,蘇金樹,管劍波.國防科技大學(xué)學(xué)報(bào).基于分布式轉(zhuǎn)發(fā)交換的并行路由器關(guān)鍵技術(shù)研究,2008年03期

雷和軍(1990-),男,漢族,湖南郴州人,本科，畢業(yè)于長(zhǎng)沙理工大學(xué)，就職于江西高速集團(tuán)贛州管理中心信息分中心。