判断ARP欺骗及如何防护

如何判断ARP欺骗及如何防护

1、如何判断ARP

因为在进行通信的时候，数据是通过MAC地址与IP地址的对应关系来进行转发的。若其中MAC地址与IP地址对应的关系出错，就会导致数据错误转发，影响正常通信。通过某种手段，来更改MAC与IP地址的对应关系，导致电脑无法正常上网，这就是ARP欺骗。看整理的具体步骤

1、登陆到路由器上，查看“运行状态”―>“LAN口状态”，上面有路由器的MAC地址信息

2、在无法上网的电脑上，点击“开始”->“运行”，输入“cmd”，弹出命令提示符窗口。输入arp -a 可以查看本计算机的ARP对应信息。若正常，该ARP映射关系应与路由器上“运行状态”中看到的IP与MAC地址的对应关系一致。如下图：

如果您在命令行提示符中输入：arp -a，看到网关对应的MAC地址不是路由器的LAN口MAC地址，则是有arp欺骗发生了。（如下图）

2、遭受arp攻击怎么办

DOS防护法

1、首先，我们必须先要了解自己的IP以及路由器的相关信息，才能知已知彼，不战不怠。

点击“开始”- “运行”，打开运行对话框，在其中输入“CMD”，进入Windows的命令提示符下，键入命令“ipconfig /all”查看一下本机电脑的IP地址信息，在这里，我们还能看到网关及DNS信息。

2、通过网络管理员来询问路由器的相关信息，其中最重要的是网关的IP地址和MAC地址，

我们也可以通过在DOS命令提示符下输入命令“arp -a”来查看，在获取了网关（即路由器）的IP地址和MAC地址后，就可以在本地主机上实现静态地址邦定。之所之要实现静态邦定，就是让本机在获取网关信息时能够唯一确定，不会因为局域网存在ARP攻击而导使本机获取无效的网关地址信息，这样就可以确保网络的正常链接。

3、实现网关（即路由器）的IP和MAC地址邦定。针对WindowXP用户，其操作方法是

在DOS命令提示符下输入命令“arp -s 192.168.1.1 08-10-76-f9-eb-aa ”即可实现邦定。

4、对于Windows7用户来说，实现方面为在DOS命令提示符下输入命令“netsh interface

ipv4 show interface” 回车，查看你电脑所有网卡的idx，然后从中确定你要进行邦定的idx,在本机网络环境中我们需要进行邦定的idx为11，然后输入命令“netsh interface ipv4 set neighbors 11 arp -s 192.168.1.1 08-10-76-f9-eb-aa”实现静态邦定。

5、对于通过手动操作实现的静态邦定方法，会在下一步开机时自动恢复为动态邦定，如果

需要进行静态邦定，就需要重新来手动操作，这样做费事又费力。那么有没有一种更为简单的方法呢？当然有，那就是利用批处理，将执行静态邦定的命令放在一个批处理文件里，然后在需要邦定的时候双击该文件即可。我们甚至可以把这个文件放在启动目录下，让系统每次启动时自动执行这个批处理文件。

利用带有ARP防护功能的杀毒软件实现防护

1、右键单击360安全卫士图标，点击“木马防火墙已开启”进入，中选择“360木马防火

墙",点击启用Arp防火墙，在弹出的提示对话框中点确定。然后重起计算机。

2、在360木马防火墙，防护状态——查看状态。

口选择确定

4、右键单击360安全卫士，单击流量防火请进入。

6、查看流量防火墙状态，ARP主动防御和对外ARP攻击拦截状态，如果是已开启，则正

常；如未开启，选择开启。

ARP欺骗 -攻击原理和防范

ARP欺骗/ MITM(Man-In-The-Middle)攻击原理和防范 一、MITM(Man-In-The-Middle) 攻击原理 按照 ARP 协议的设计，为了减少网络上过多的 ARP 数据通信，一个主机，即使收到的 ARP 应答并非自己请求得到的，它也会将其插入到自己的 ARP 缓存表中，这样，就造成了“ ARP 欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信（即使是通过交换机相连），他会分别给这两台主机发送一个 ARP 应答包，让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容，另一方面，只需要更改数据包中的一些信息，成功地做好转发工作即可。在这种嗅探方式中，黑客所在主机是不需要设置网卡的混杂模式的，因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。 这里举个例子，假定同一个局域网内，有 3 台主机通过交换机相连： A 主机： IP 地址为 192.168.0.1 ， MAC 地址为 01:01:01:01:01:01 ； B 主机： IP 地址为 192.168.0.2 ， MA C 地址为 02:02:02:02:02:02 ； C 主机： IP 地址为 192.168.0.3 ， MAC 地址为 03:03:03:03:03:03 。 B 主机对 A 和 C 进行欺骗的前奏就是发送假的 ARP 应答包，如图所示 在收到 B主机发来的ARP应答后，A主机应知道： 到 192.168.0.3 的数据包应该发到 MAC 地址为 020********* 的主机； C 主机也知道：到 192.168.0.1 的数据包应该发到 MAC 地址为 020********* 的主机。这样， A 和 C 都认为对方的 MAC 地址是 020********* ，实际上这就是 B 主机所需得到的结果。当然，因为 ARP 缓存表项是动态更新的，其中动态生成的映射有个生命期，一般是两分钟，如果再没有新的信息更新， ARP 映射项会自动去除。所以， B 还有一个“任务”，那就是一直连续不断地向 A 和 C 发送这种虚假的 ARP 响应包，让其 ARP缓存中一直保持被毒害了的映射表项。 现在，如果 A 和 C 要进行通信，实际上彼此发送的数据包都会先到达 B 主机，这时，如果 B 不做进一步处理， A 和 C 之间的通信就无法正常建立， B 也就达不到“嗅探”通信内容的目的，因此， B 要对“错误”收到的数据包进行一番修改，然后转发到正确的目的地，而修改的内容，无非是将目的 MAC 和源MAC 地址进行替换。如此一来，在 A 和 C 看来，彼此发送的数据包都是直接到达对方的，但在 B 来看，自己担当的就是“第三者”的角色。这种嗅探方法，

ARP欺骗在网络中的应用及防范

ARP欺骗在网络中的应用及防范 一、ARP协议的内容和工作原理 地址解析协议（Address Resolution Protocol,ARP）是在只知道主机IP地址时确定其物理地址的一种协议。因IPv4、IPv6和以太网的广泛应用，其主要用于将IP地址翻译为以太网的MAC地址，但其也能在ATM和FDDI IP网络中使用。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC 层，也就是相当于OSI的第二层）的MAC地址。 首先，每台主机都会在自己的ARP缓冲区中建立一个ARP映射表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址，如果有，就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP 请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里面包括源主机的IP地址、源主机的MAC地址以及目的主机的IP地址、目的MAC地址。同一网段中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就丢弃此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP映射表中，如果ARP映射表中已经存在该IP的信息，则将其覆盖，然后以单播的形式给源主机发送一个ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到目的主机的IP地址和MAC地址并添加到自己的ARP映射表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。 二、ARP协议存在的安全漏洞 ARP协议是建立在信任局域网内所有节点的基础上的，它很高效，但却不安全。其主要漏洞有以下三点： １、主机地址映射表是基于高速缓存、动态更新的，ARP将保存在高速缓存中的每一个映射地址项目都设置了生存时间，它只保存最近的地址对应关系。这样恶意的用户如果在下次交换前修改了被欺骗机器上的地址缓存，就可以进行假冒或拒绝服务攻击。 2、由于ARP是无状态的协议，即使没有发送ARP请求报文，主机也可以接收ARP应答，只要接收到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机的高速缓存。这就为ARP欺骗提供了可能，恶意节点可以发布虚假的ARP 报文从而影响网内节点的通信，甚至可以做“中间人”。 ３、任何ARP应答都是合法的，ARP应答无须认证，只要是局域网内的ARP 应答分组，不管是否是合法的应答，主机都会接受ARP应答，并用其IP-MAC信息篡改其缓存。这就是ARP的另一个隐患。 三、ARP欺骗攻击的实现过程 3.1 网段内的ARP欺骗攻击 ARP欺骗攻击的最基本手段就是向目标主机发送伪造的ARP应答，并使目标主机接收应答中伪造的IP与MAC间的映射表，并以此更新目标主机缓存。设在

ARP攻击和防范原理及示例

本科生毕业论文（设计） 题目：ARP攻击和防范原理及示例 专业：计算机网络（本科） 考生姓名：********** 准考证号：************ 指导教师：****** 二〇一五年十月

学术诚信声明 本人所呈交的毕业论文，是在导师的指导下，独立进行研究工作所 取得的成果，所有数据、图片资料均真实可靠。除文中已经注明引用的 内容外，本论文不包含任何其他人或集体已经发表或撰写过的作品或成 果。对本论文的研究作出重要贡献的个人和集体，均已在文中以明确的 方式标明。本毕业论文的知识产权归属于培养单位。本人完全意识到本 声明的法律结果由本人承担。 本人签名：日期：2015-10-12

摘要 ARP攻击是指攻击者利用ARP协议本身的缺陷，在区域内一台终端或服务器上发布欺骗ARP广播包以达到盗取用户帐号、篡改网站内容、嵌入恶意代码、发布不良信息、监听传输数据等非法活动的目的。 ARP的攻击方式是ARP欺骗，ARP欺骗在过去常被运用到简单的拒绝服务攻击中。然而，随着大量缺乏管理且流动性较大的网吧以及其他公共上网环境的普及，互联网上开始出现许多由ARP基本攻击与侦听、网页篡改等黑客技术相互结合的攻击方式。这种ARP攻击之所以能在各类公共上网设施内迅速蔓延是因为在拥有上千台机器的公众上网环境或对外服务的IDC托管机房中，同一网段中往往有来自不同单位或不同人群使用的各类终端与服务器，由于其中各类系统的安全责任点归属复杂、使用人员流动性大，造成环境内安全管理漏洞较多，从而使新一代以ARP欺骗为基础的网页挂码或重定向攻击得以滋生。 目前，很多研究者已经给出了针对ARP欺骗攻击的防治方法，在一定程度上减少了ARP问题的发生，这类方法主要是通过保护ARP高速缓存等方法来实现，它们不能从根本上解决ARP欺骗问题，因为ARP欺骗是利用ARP协议本身存在在的漏洞，本文将从技术层面入手，分析解决该类问题。 关键词：ARP攻击、ARP协议、ARP欺骗、ARP安全防护

Arp攻击原理及防范

Arp攻击原理及防范 1．ARP协议简介 在局域网中，一台主机要和另一台主机进行通信，必须要知道另一台主机的IP地址，但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的，只能识别其MAC地址。MAC地址是48位的，通常表示为12个16进制数，每2个16进制数之间用“-”或者冒号隔开，如：FF-FF-FF-FF-FF-FF就是一个MAC地址。每一块网卡都有其全球唯一的MAC地址，网卡之间发送数据，只能根据对方网卡的MAC地址进行发送，这时就需要一个将数据包中的IP地址转换成MAC地址的协议，而这个重要的任务将由ARP协议完成。 ARP全称为Address Resolution Protocol，即地址解析协议。所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。这时就涉及到一个问题，一个局域网中的电脑少则几台，多则上百台，这么多的电脑之间，如何能准确的记住对方电脑网卡的MAC地址，以便数据的发送呢？这就涉及到了另外一个概念，ARP 缓存表。在局域网的任何一台主机中，都有一个ARP缓存表，该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。当这台主机向同局域网中另外的主机发送数据的时候，会根据ARP缓存表里的对应关系进行发送。 下面，我们用一个模拟的局域网环境，来说明ARP欺骗的过程。 2．ARP欺骗过程： 如图（1）所示（在相册）局域网中有三台主机与交换机相连接，主机名分别为A、B、C，交换机为网关命名为S，IP如图所示。现在A与C进行通信，正常情况下通信过程如下：A 将自身的数据打包目地IP为C的IP，因为不知道C的MAC，所以A向全网发出ARP请求要求得到C的MAC，C收到广播报文后将自身的MAC地址发送给A，A得到C的MAC后将数据打包，封装目的为C的IP和MAC，然后将数据包发送给S；S收到该包后拆包得到C的MAC，然后再对照自身的ARP缓存表，将数据包发送给C，一次通信完成。 这样的机制看上去很完美，似乎整个局域网也天下太平，相安无事。但是，上述数据发送机制有一个致命的缺陷，即它是建立在对局域网中电脑全部信任的基础上的，也就是说它的假设前提是：无论局域网中那台电脑，其发送的ARP数据包都是正确的。那么这样就很危险了！因为局域网中并非所有的电脑都安分守己，往往有非法者的存在。此时A想得到C 的MAC向全网发送广播，C将自己的MAC发给A，而此时一直沉默的B也向全网发出广播报文，说自已的IP为192.168.0.4MAC为B的MAC即MAC_b，原本A得到的C的MAC是正确的，由于B不停的发送广播报文，但A不知道B的MAC是伪造的，导致A重新动态更新自己的ARP缓存表，此时A的ARP缓存表里记录了一条错误的记录，这就导致了A以后要发送给C的数据全部发给了B。这就是ARP欺骗中冒充主机的方式。 如果B冒充网关又会是什么情况呢？大家知道局域网中所有电脑上网都要通过网关转发数据才能登陆互联网。此时如果B向全网发送广播说我的IP为192.168.0.1 MAC为MAC_b 即B自己的MAC，由于局域网通信的前提条件是信任任何电脑发送的ARP广播包。这样局域网中的其它电脑都会更新自身的ARP缓存表，记录下192.168.0.1－MAC_b这样的记录，这样，当它们发送给网关，也就是IP地址为192.168.0.1这台电脑的数据，结果都会发送到MAC_b这台电脑中！这样，B就将会监听整个局域网发送给互联网的数据包！ ARP病毒新的表现形式 由于现在的网络游戏数据包在发送过程中，均已采用了强悍的加密算法，因此这类ARP病毒在解密数据包的时候遇到了很大的难度。现在又新出现了一种ARP病毒，与以前的一样的是，该类ARP病毒也是向全网发送伪造的ARP欺骗广播，自身伪装成网关。但区别是，

ARP欺骗原理与解决办法

ARP欺骗原理与解决办法 2009-03-26 18:18 【故障原理】 要了解故障原理，我们先来了解一下ARP协议。 在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP 协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下所示。 主机IP地址MAC地址 A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd 我们以主机A（192.168.16.1）向主机B（192.168.16.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B 发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。 从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD 这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A 发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么，

简要回答arp欺骗的工作原理及如何防范

1．arp欺骗的原理 以太网设备（比如网卡）都有自己全球唯一的MAC地址，它们是以MAC地址来传输以太网数据包的，但是以太网设备却识别不了IP数据包中的IP地址，所以要在以太网中进行IP通信，就需要一个协议来建立IP地址与MAC地址的对应关系，使IP数据包能够发送到一个确定的主机上。这种功能是由arp （AddressResolution Protocol）来完成的。 arp被设计成用来实现IP地址到MAC地址的映射。arp使用一个被称为arp高速缓存的表来存储这种映射关系，arp高速缓存用来存储临时数据（IP地址与MAC地址的映射关系），存储在arp高速缓存中的数据在几分钟没被使用，会被自动删除。 arp协议不管是否发送了arp请求，都会根据收到的任何arp应答数据包对本地的arp高速缓存进行更新，将应答数据包中的IP地址和MAC地址存储在arp高速缓存中。这正是实现arp欺骗的关键。可以通过编程的方式构建arp应答数据包，然后发送给被欺骗者，用假的IP地址与MAC地址的映射来更新被欺骗者的arp高速缓存，实现对被欺骗者的arp欺骗。 有两种arp欺骗：一种是对路由器arp高速缓存的欺骗；另一种是对内网电脑arp高速缓存的欺骗。2．arp欺骗攻击的防范 （1）在客户端使用arp命令绑定网关的IP/MAC（例如arp 00-e0-eb-81-81-85）。 （2）在交换机上做端口与MAC地址的静态绑定。 （3）在路由器上做IP/MAC地址的静态绑定。 （4）使用arp服务器定时广播网段内所有主机的正确IP/MAC映射表。 （5）及时升级客户端的操作系统和应用程序补丁。 （6）升级杀毒软件及其病毒库。

ARP攻击与防范”课程实验设计

Computer Knowledge and Technology 电脑知识与技术网络通讯及安全本栏目责任编辑：冯蕾第6卷第3期(2010年1月)“ARP 攻击与防范”课程实验设计 宋星月 （辽宁金融职业学院信息技术系，辽宁沈阳110122） 摘要：针对“ARP 攻击与防范”课程教学，分析了ARP 协议及ARP 攻击的工作原理，提出了一种更好理解“ARP 攻击与防范”的课程实验设计方案。 关键词：ARP 协议；ARP 攻击；ARP 防范；实验设计 中图分类号：TP393文献标识码：A 文章编号：1009-3044(2010)03-611-02 Experimental Design of Courses Based on the ARP Attack and Prevention SONG Xing-yue (Department of Information Technology,Liaoning Finance Vocatinal College,Shenyang 110122,China) Abstract:Based on ARP attack and prevention courses teaching,analyzed the principle of ARP protocol and ARP attacks.A advanced experiment method about the ARP attack and prevention is introduced,and it is helpful for students to study ARP attack and prevention.Key words:ARP protocol;ARP attack;ARP prevention;experiment design 互联网是一个面向大众的开放系统，设计初衷是信息共享、开放、灵活和快速，对于信息的保密措施和系统的安全性考虑得并不完备，这些特性不可避免地引发一些网络安全问题，而且，这些问题随着信息技术的发展也就日益严重，如何有效地防范各种攻击，增强网络安全性，是一项重要的课题。 网络协议安全是网络安全中的重要领域，研究ARP 协议及其在网络攻防中的应用具有积极的意义。但ARP 攻击方式在不断变换，就连一些资深的网络管理员也为此感到十分头疼。更何况学校里没有实际工作经验的学生。基于此，本文设计了一套ARP 攻击与防范实验方案，增强学生对ARP 协议、ARP 攻击原理的理解，并提高对网络实际操作和故障解决的能力。 1ARP 协议工作原理 ARP 协议，全称Address Resolution Protocol ，中文名是地址解析协议，它工作在OSI 模型的数据链路层，用于将IP 地址转化为网络接口的硬件地址(MAC 地址)。无论是任何高层协议的通信，最终都将转换为数据链路层硬件地址的通讯。 当网络中一台主机要向另一台主机或者路由器发送数据时，会首先检查自己ARP 列表中是否存在该IP 地址对应的MAC 地址，如有，就直接将数据包发送到该MAC 地址；如无，就向本地网段发起一个ARP 请求的广播包，查询此目的主机对应的MAC 地址，此ARP 请求数据包里包括源主机的IP 地址、硬件地址、以及目的主机的IP 地址。网络中所有的主机收到该ARP 请求后，会检查数据包中的目的IP 是否和自己的IP 地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC 地址和IP 地址添加到自己的ARP 列表中，如果ARP 表中已经存在该IP 的信息，则将其覆盖，然后给源主机发送一个ARP 响应数据包，告诉对方自己是它需要查找的MAC 地址；源主机收到这个ARP 响应数据包后，将得到的目的主机的IP 地址和MAC 地址添加到自己的ARP 列表中，并以超时则删除的策略加以维护。 ARP 协议是建立在信任局域网内所有结点的基础上的，它很高效，但却不安全。它不会检查自己是否发过请求包，也不管（其实也不知道）是否是合法的应答，只要收到目标MAC 是自己的ARP Reply 包或ARP 广播包都会接受并缓存，这就为欺骗提供了可能。 2ARP 攻击原理 ARP 欺骗的核心思想是向目标主机发送伪造的ARP 应答，并使目标主机接收应答中伪造的IP 地址与MAC 地址之间的映射对，以此更新目标主机ARP 缓存。2.1ARP 攻击过程 设在同一网段的三台主机：A 、B 、C 。其IP 地址和MAC 地址映射关系如表1 所示。 假设A 与B 是信任关系，A 欲向B 发送数据包。攻击方C 通过前期准备，收 集信息，发现B 的漏洞，使B 暂时无法工作。然后C 发送一个源IP 地址为192.168.0.3源MAC 地址为BB:BB:BB;BB:BB:BB 的包给A 。由于大多数的操作系统在接收到ARP 应答后会及时更新ARP 缓存，而不考虑是否发出过真实的ARP 请求，所以A 接收到应答后，就更新它的ARP 缓存，建立新的IP/MAC 地址映射对，即192.168.0.2→CC:CC:CC:CC:CC:CC 。这样，A 就将发往B 的数据包发向了C ，这就是典型的ARP 欺骗过程。 收稿日期：2009-11-19 作者简介：宋星月（1978-），女，内蒙古人，讲师，东北大学硕士研究生，研究方向为计算机网络技术。 表1同网段主机IP/MAC 对应表ISSN 1009-3044Computer Knowledge and Technology 电脑知识与技术Vol.6,No.3,January 2010,pp.611-612E-mail:info@https://www.360docs.net/doc/3a12980185.html, https://www.360docs.net/doc/3a12980185.html, Tel:+86-551-56909635690964611

ARP攻击原理简析及防御措施

ARP攻击原理简析及防御措施 网络欺骗攻击作为一种非常专业化的攻击手段，给网络安全管理者，带来严峻的考验。网络安全的战场已经从互联网蔓延到用户内部的网络，特别是局域网。目前利用ARP欺骗的木马病毒在局域网中广泛传播，导致网络随机掉线甚至整体瘫痪，通讯被窃听，信息被篡改等严重后果。 0x1 简介 网络欺骗攻击作为一种非常专业化的攻击手段，给网络安全管理者，带来严峻的考验。网络安全的战场已经从互联网蔓延到用户内部的网络，特别是局域网。目前利用ARP欺骗的木马病毒在局域网中广泛传播，导致网络随机掉线甚至整体瘫痪，通讯被窃听，信息被篡改等严重后果。 0x2 ARP协议概述 ARP协议（address resolution protocol）地址解析协议 一台主机和另一台主机通信，要知道目标的IP地址，但是在局域网中传输数据的网卡却不能直接识别IP地址，所以用ARP解析协议将IP地址解析成MAC 地址。ARP协议的基本功能就是通过目标设备的IP地址，来查询目标设备的mac地址。 在局域网的任意一台主机中，都有一个ARP缓存表，里面保存本机已知的此局域网中各主机和路由器的IP地址和MAC地址的对照关系。ARP缓存表的生命周期是有时限的（一般不超过20分钟）。 举个例子：假设局域网中有四台主机

主机A想和主机B通信 主机A会先查询自己的ARP缓存表里有没有B的联系方式，有的话，就将mac-b 地址封装到数据包外面，发送出去。没有的话，A会向全网络发送一个ARP广播包，大声询问：我的IP地址是192.168.0.2，硬件地址是mac-a，我想知道IP地址是192.168.0.3的硬件地址是多少？此时，局域网内所有主机都收到了，B收到后会单独私密回应：我是192.168.0.3，我的硬件地址是mac-b，其他主机不会理A的此时A知道了B的信息，同时也会动态的更新自身的缓存表 0x3 ARP协议的缺陷 ARP协议是建立在信任局域网内所有节点的基础上的，他的效率很高。但是不安全。它是无状态的协议。他不会检查自己是否发过请求包，也不知道自己是否发过请求包。他也不管是否合法的应答，只要收到目标mac地址是自己的ARP reply或者ARP广播包（包括ARP reply和ARP request），都会接受并缓存。 0x4 ARP攻击原理

ARP病毒的攻击与防范论文

XXXXXXXX 专科毕业设计（论文） 题目ARP病毒的攻击与防范 学生姓名 专业班级 学号 系别 指导教师(职称)

ARP病毒的攻击与防范 摘要 ARP攻击是指黑客利用ARP协议缺陷的基本原理，通过在区域内一台终端或服务器上发布欺骗ARP广播包以达到进行盗取用户帐号、篡改网站内容、嵌入恶意代码、发布不良信息、监听传输数据等非法活动的目的。 ARP欺骗原理在过去常被运用到简单的拒绝服务攻击中。然而，随着大量缺乏管理且使用者流动性较大的网吧与其他公共上网环境的普及，互联网上开始出现许多由ARP基本攻击与侦听、网页篡改等黑客技术相互结合的攻击方式。这种ARP攻击之所以能在各类公共上网设施内迅速蔓延是因为在拥有上千台机器的公众上网环境或对外服务的IDC托管机房中，同一网段中往往有着来自不同单位或不同人群使用的各类终端与服务器，由于其中各类系统的安全责任点归属复杂、使用人员流动性大，造成环境内安全管理漏洞较大、安全盲点较多，从而使新一代以ARP欺骗为基础的网页挂码或重定向攻击得以滋生。 而且，ARP攻击相对与通常攻击方式可能造成的更大的破坏在于：一般来说IP 地址的冲突可以通过多种方法和手段来避免，而ARP协议工作在更底层协议上，隐蔽性更高。系统并不会判断ARP缓存的正确与否，无法像IP地址冲突那样给出提示。很多黑客工具可以随时发送ARP欺骗数据包和ARP恢复数据包，这对于公众上网环境来说，就可以在任何权限的终端计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机甚至服务器或网络设备的网络连接、侦探通讯数据、篡改数据包以加入病毒代码或不良信息进行传播。黑客还可以最大化的利用ARP欺骗原理，将其与其他攻击方法组合后运用于多种攻击，如，侦听、拒绝服务、挂载病毒等。从而达到多种攻击目的，如：窃取信息、病毒传播、破坏网络路由，暴力广告等等。 本文通过现象分析逐步推测出ARP的攻击原理。随后通过对ARP数据帧格式的解析，证明了ARP协议漏洞是可以被用作ARP欺骗。在探讨ARP攻击的防御措施时，文章从MAC地址集中管理、ARP数据包探测以及系统安全加固三方面进行论述。对于公众上网环境中存在可被ARP攻击的漏洞进行分析，并对整体防御构架进一步探索。 关键词ARP攻击/ARP协议/安全防护