内网ARP攻击的危害及防范方法

本文介绍了ARP攻击的原理以及由此引发的网络安全问题,并且结合实际情况,提出在校园网中实施多层次的防范方法,以解决因ARP攻击而引发的网络安全问题,最后介绍了一些实用性较强且操作简单的检测和抵御攻击的有效方法。

您是否遇到局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常?您的网速是否时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常?您是否时常听到教职工的网上银行、游戏及QQ账号频繁丢失的消息?

这些问题的出现有很大一部分要归功于ARP攻击,我校局域网自去年5月份开始ARP攻击频频出现,目前校园网内已发现的“ARP攻击”系列病毒已经有了几十个变种。据检测数据显示,APR攻击从未停止过,为此有效的防范ARP形式的网络攻击已成为确保网络畅通必要条件。

一、ARP的基本知识

1、什么是ARP?

ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。

所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。

在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的,ARP协议对网络安全具有重要的意义。

2、ARP协议的工作原理

正常情况下,每台主机都会在自己的ARP缓冲区中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有?就直接将数据包发送到这个MAC地址;

如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。

如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的 ARP列表中,并利用此信息开始数据的传输。

1. 要发送网络包给192.168.1.1,但不知MAC地址?

2. 在局域网发出广播包“192.168.1.1的MAC地址是什么?”

3. 其他机器不回应,只有192.168.1.1回应“192.168.1.1的MAC地址是00-aa-00-62-c6-09”

从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。更何况ARP协议是工作在更低于IP协议的协议层,因此它的危害就更加隐蔽。

二、ARP欺骗的原理

ARP类型的攻击最早用于盗取密码之用,网内中毒电脑可以伪装成路由器,盗取用户的密码, 后来发展成内藏于软件,扰乱其他局域网用户正常的网络通信,下面我们简要阐述ARP欺骗的原理:假设这样一个网络,一个交换机连接了3台机器,依次是计算机A,B,C

A的地址为:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AA

B的地址为:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB

C的地址为:IP:192.168.1.3 MAC: CC-CC-CC-CC-CC-CC

第二步:正常情况下在A计算机上运行ARP -A查询ARP缓存表应该出现如下信息。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 CC-CC-CC-CC-CC-CC dynamic

第三步:在计算机B上运行ARP欺骗程序,来发送ARP欺骗包。

B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD- DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的,A这里只有192.168.10.3(C的IP地址)和无效的DD-DD- DD-DD-DD-DD MAC地址。

第四步:欺骗完毕我们在A计算机上运行ARP -A来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 DD-DD-DD-DD-DD-DD dynamic

上面例子中在计算机A上的关于计算机C的MAC地址已经错误了,所以即使以后从A计算机访问C计算机这个192.168.1.3这个地址也会被 ARP协议错误的解析成MAC地址为DD-DD-DD-DD-DD-DD的。

当局域网中一台机器,反复向其他机器,特别是向网关,发送这样无效假冒的ARP应答信息包时,严重的网络堵塞就会开始。由于网关MAC地址错误,所以从网络中计算机发来的数据无法正常发到网关,自然无法正常上网。

这就造成了无法访问外网的问题,另外由于很多时候网关还控制着我们的局域网LAN上网,所以这时我们的LAN访问也就出现问题了。下图更直观的展示了ARP欺骗攻击的情况:

(0)

相关推荐

  • win7系统局域网遭受ARP攻击如何修复?win7局域网遭受ARP攻击的四种修复方法

    局域网的功能非常强大,可以在局域网中共享文件.视频.图片等等.如果win7系统局域网遭受ARP攻击时,通常会造成电脑上网速度减慢或根本无法上网.如何修复win7局域网遭受ARP攻击问题呢?下面就随我们 ...

  • Win7系统ARP攻击什么意思?三种方法教你如何防御ARP攻击

    ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,在网络中造阻塞,一起来看看怎么防御ARP攻击的吧. 步骤如下: 一.原因 1.电脑中了ARP病毒,这种感觉病毒传播速度很快,一般局域网内有一台 ...

  • 内网中设置华为代理路由器的方法

    一、内部的局域网都使用网络上的私有地址,在常规情况下,内部的电脑在直接利用路由对外访问时,会因电脑使用的是互联网上的保留地址,而被路由器过滤掉,从而导致无法访问互联网资源,解决这一问题的办法是利用路由 ...

  • 外网访问内网视频监控-非80网站映射方法

    视频监控服务器部署在内网环境,局域网内可以访问视频监控,内网也可以上外网,但没有公网IP.如何实现外网访问内网视频监控? 内网使用nat123非80网站映射,将内网视频监控访问地址,映射到外网,实现外 ...

  • 局域网内网速度慢的原因及解决方法

    局域网内网速度慢的原因及解决方法

  • 网速变慢.经常掉线ARP攻击解决思路

    不仅是我,包括很多人都对上网速度慢、经常掉线的问题苦恼不已,路由器IP地址被修改也会导致网络故障。 一般路由器获取的本身IP地址为192.168.1.100 网关为192.168.1.1,而外网IP、 ...

  • 总结灵科路由器防范ARP攻击的四种方法

    一、采用双向绑定 所谓的ARP攻击采用只是对电脑进行欺骗的方法,使得电脑向不存在的网关发送数据,无法完成正常的数据交换,这样就造成网络卡的现象,我们可以使用的一种方式是双向绑定法,顾名思义,就是要在两 ...

  • 如何解决交换机的DDoS攻击与内网服务器DDoS攻击的问题

    有过网吧或机房管理经验朋友肯定知道,机器中的病毒是很让人头疼的事情,尤其是内网服务器DDoS攻击和交换机的DDoS攻击,直接影响网吧网络的安全问题,分享解决这个问题的方法。 1、在PC上安装过滤软件 ...

  • 华为交换机如何防范ARP攻击

    说完如何识别ARP攻击后,我们来看看如何防范这些攻击 操作方法 01 1  网络主机侧攻击防范----配置静态ARP 1.1  确认网关设备.局域网内重要服务器以及本机的IP地址.MAC地址 —  通 ...