ARP攻击与防范”课程实验设计

Computer Knowledge and Technology 电脑知识与技术网络通讯及安全本栏目责任编辑：冯蕾第6卷第3期(2010年1月)“ARP 攻击与防范”课程实验设计

宋星月

（辽宁金融职业学院信息技术系，辽宁沈阳110122）

摘要：针对“ARP 攻击与防范”课程教学，分析了ARP 协议及ARP 攻击的工作原理，提出了一种更好理解“ARP 攻击与防范”的课程实验设计方案。

关键词：ARP 协议；ARP 攻击；ARP 防范；实验设计

中图分类号：TP393文献标识码：A 文章编号：1009-3044(2010)03-611-02

Experimental Design of Courses Based on the ARP Attack and Prevention

SONG Xing-yue

(Department of Information Technology,Liaoning Finance Vocatinal College,Shenyang 110122,China)

Abstract:Based on ARP attack and prevention courses teaching,analyzed the principle of ARP protocol and ARP attacks.A advanced experiment method about the ARP attack and prevention is introduced,and it is helpful for students to study ARP attack and prevention.Key words:ARP protocol;ARP attack;ARP prevention;experiment design

互联网是一个面向大众的开放系统，设计初衷是信息共享、开放、灵活和快速，对于信息的保密措施和系统的安全性考虑得并不完备，这些特性不可避免地引发一些网络安全问题，而且，这些问题随着信息技术的发展也就日益严重，如何有效地防范各种攻击，增强网络安全性，是一项重要的课题。

网络协议安全是网络安全中的重要领域，研究ARP 协议及其在网络攻防中的应用具有积极的意义。但ARP 攻击方式在不断变换，就连一些资深的网络管理员也为此感到十分头疼。更何况学校里没有实际工作经验的学生。基于此，本文设计了一套ARP 攻击与防范实验方案，增强学生对ARP 协议、ARP 攻击原理的理解，并提高对网络实际操作和故障解决的能力。

1ARP 协议工作原理

ARP 协议，全称Address Resolution Protocol ，中文名是地址解析协议，它工作在OSI 模型的数据链路层，用于将IP 地址转化为网络接口的硬件地址(MAC 地址)。无论是任何高层协议的通信，最终都将转换为数据链路层硬件地址的通讯。

当网络中一台主机要向另一台主机或者路由器发送数据时，会首先检查自己ARP 列表中是否存在该IP 地址对应的MAC 地址，如有，就直接将数据包发送到该MAC 地址；如无，就向本地网段发起一个ARP 请求的广播包，查询此目的主机对应的MAC 地址，此ARP 请求数据包里包括源主机的IP 地址、硬件地址、以及目的主机的IP 地址。网络中所有的主机收到该ARP 请求后，会检查数据包中的目的IP 是否和自己的IP 地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC 地址和IP 地址添加到自己的ARP 列表中，如果ARP 表中已经存在该IP 的信息，则将其覆盖，然后给源主机发送一个ARP 响应数据包，告诉对方自己是它需要查找的MAC 地址；源主机收到这个ARP 响应数据包后，将得到的目的主机的IP 地址和MAC 地址添加到自己的ARP 列表中，并以超时则删除的策略加以维护。

ARP 协议是建立在信任局域网内所有结点的基础上的，它很高效，但却不安全。它不会检查自己是否发过请求包，也不管（其实也不知道）是否是合法的应答，只要收到目标MAC 是自己的ARP Reply 包或ARP 广播包都会接受并缓存，这就为欺骗提供了可能。

2ARP 攻击原理

ARP 欺骗的核心思想是向目标主机发送伪造的ARP 应答，并使目标主机接收应答中伪造的IP 地址与MAC 地址之间的映射对，以此更新目标主机ARP 缓存。2.1ARP 攻击过程

设在同一网段的三台主机：A 、B 、C 。其IP 地址和MAC 地址映射关系如表1

所示。

假设A 与B 是信任关系，A 欲向B 发送数据包。攻击方C 通过前期准备，收

集信息，发现B 的漏洞，使B 暂时无法工作。然后C 发送一个源IP 地址为192.168.0.3源MAC 地址为BB:BB:BB;BB:BB:BB 的包给A 。由于大多数的操作系统在接收到ARP 应答后会及时更新ARP 缓存，而不考虑是否发出过真实的ARP 请求，所以A 接收到应答后，就更新它的ARP 缓存，建立新的IP/MAC 地址映射对，即192.168.0.2→CC:CC:CC:CC:CC:CC 。这样，A 就将发往B 的数据包发向了C ，这就是典型的ARP 欺骗过程。

收稿日期：2009-11-19

作者简介：宋星月（1978-），女，内蒙古人，讲师，东北大学硕士研究生，研究方向为计算机网络技术。

表1同网段主机IP/MAC 对应表ISSN 1009-3044Computer Knowledge and Technology

电脑知识与技术Vol.6,No.3,January 2010,pp.611-612E-mail:info@ Tel:+86-551-56909635690964611

Computer Knowledge and Technology 电脑知识与技术

本栏目责任编辑：冯蕾网络通讯及安全第6卷第3期(2010年1月)

2.2ARP 攻击方式

根据影响网络连接的方式，ARP 欺骗技术主要有：对路由器ARP 表的欺骗、对局域网内的主机网关欺骗以及IP 地址欺骗等等。其中伪造网关是一种典型的ARP 欺骗。就是建立假网关，让被它欺骗的主机向假网关发数据，造成无法通过正常的路由器途径上网。虽与其它主机可以连接，就是上不了网了，“网络掉线了”。

3ARP 攻击与防范实验

利用WinArpAttacke 的Send 功能实现ARP 攻击，主机1对主机2

发动ARP 攻击，导致主机2无法与外界通信，即主机2与主机3ping 不

同。实验网络拓扑结构如图1所示。

1)运行WinArpAttacke 软件，在Opitions 中选择IP 地址192.168.10.0网段的网卡Adapter ，确定。点击“Scan ”能够扫描出这个网段

中存活的主机及对应的MAC 地址。也可以采用ipconfig/all 和arp-a 命令

获得被攻击前各主机的Mac 地址，各主机IP 地址及Mac 地址对应如表

2所示。攻击前各主机均能ping 通。

2)主机1发动ARP 禁止上网攻击，告诉主机2网关的MAC 地址是

一个假的MAC 地址（00-11-22-33-44-55），则主机2要发往网关的数

据都发不到真正的网关上，在主机1上设置Dst Hardware Mac:00-15-58-E8-C2-7B ，Src Hardware Mac ：00-15-58-E9-0A-C0，Dst Protocol Mac:00-00-00-00-00-00，Scr Protocol Mac:00-11-22-33-44-55，Dst IP:192.168.10.20，Src IP:192.168.10.254。选中“Con -tinuously ”发送连续欺骗，点击“Send ”发送，则主机2会认为网关192.168.10.254的MAC 地址为00-11-22-33-44-55，所以主机2Ping 不通主机3。

3)ARP 禁止上网攻击的防御：

我们可以在交换机上打开Port Security Arp Check 开防止ARP 欺骗，配置步骤如下：

Switch#con

Switch#port-security arp-check

Switch#interface fastEthernet 0/5

Switch#switchport port-security maximum 1

Switch#switchport port-security ip-address 192.168.10.10

Switch#switchport port-security

Switch#end

配置完毕之后，主机1和主机2打开Ethereal 软件进行监听，主机1再对主机2发动ARP 禁止上网攻击，通过监听可以看出，主机1发送了ARP 数据包但得不到应答，而主机2根本没有收到主机发送过来的ARP 数据包，主机2还是可以与主机3之间正常通信。原因在于交换机收到端口5的arp 的数据包的地址不是设定的192.168.10.10，则将数据包丢弃，从而防止了ARP 欺骗。4总结

ARP 欺骗是一种典型的欺骗攻击类型，它利用了ARP 协议存在的安全隐患，以及通过使用一些专门的攻击工具，使得这种攻击变得普及并有较高的成功率。笔者承担计算机网络技术专业的“网络信息安全”课程教学，在讲到“ARP 攻击与防范”课题时采用了这个实验，将抽象复杂的网络协议与实际应用结合起来，极大提高了学生实验积极性，学生反应良好，达到了较好的学习效果。参考文献：

[1]

任侠.ARP 协议欺骗原理分析与抵御方法[J].计算机工程,2003,29(9):1272128.[2]

傅军.基于ARP 协议的欺骗及其预防[J].中国科技论文在线,2007(1):55258.[3]

马宜兴.网络安全与病毒防范[M].上海:上海交通大学出版社,2007:32.[4]黄学林.ARP 协议欺骗原理分析及防范措施[J].广东科技,2007,169:172-173.

图1网络拓扑结构表2攻击前IP/MAC 对应表612