论文部分内容阅读
摘要:该文所讨论的是现行以太网络环境中ARP协议的概述与工作原理,ARP协议本身的缺陷,以及常见ARP欺骗攻击的形式与防范方法。作者结合当前网络环境的实际情况,以网络的高效与安全为出发点,全面而概述地谈ARP协议与ARP欺骗攻击防范方面的问题。
关键词:ARP;工作原理;欺骗攻击;防范
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)33-1349-02
An Analysis of ARP Protocol andHow to Guard against ARP Cheating
JIANG Xiao-feng
(Henan Vocational School of Economics and Trade,Zhengzhou 450053,China)
Abstract: This paper discusses the general idea,principle,defectiveness of ARP Protocol in the first place.Then this paper discusses the familiar forms of ARP Cheating and how to guard against it. Taking the current situation of the Internet into account, the present writer discusses ARP Protocol and how to guard against ARP Cheating thoroughly and tersely to improve the efficiency and safety of the Internet.
Key words: ARP;principle;cheating; guard against
随着网络、电子通信等技术的发展,互联网的接入,网络的应用越来越深入的到社会的各个行业,而随之而来的是人们对于接入网络的高效和安全问题的关注,在网络应用中的众多问题中,ARP欺骗攻击也日益被提到关注的重点上。
因此,我们对于ARP协议工作原理以及ARP欺骗攻击必须有一个充分的认识。
1 ARP简介
ARP,全称Address Resolution Protocol,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。
在TCP/IP协议中,每一个网络结点是用IP地址标识的,IP地址是一个逻辑地址。而在现行的以太网中数据包是靠48位MAC地址(物理地址)寻址的。因此,必须建立IP地址与MAC地址之间的对应(映射)关系,在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址必须通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址(MAC地址),以保证通信的顺利进行。
在主机中,IP地址和MAC地址之间的对应(映射)关系以列表的形式存放在ARP缓冲区(ARP Cache)中。在Windows操作系统中,可以通过在命令:arp –a 查看。
如: Interface: 192.168.10.96 --- 0x10003
Internet AddressPhysical AddressType
192.168.10.100-d0-f8-a5-65-f3 dynamic
192.168.10.10 00-19-21-29-44-de dynamic
192.168.10.21 00-1e-90-66-72-a9 dynamic
192.168.10.24 00-1e-90-6f-9b-e8 dynamic
192.168.10.25 00-11-5b-28-d6-11 dynamic
192.168.10.28 00-14-2a-3e-31-3e dynamic
192.168.10.41 00-1e-90-66-7c-2a dynamic
2 ARP工作原理
在ARP协议的规定下,ARP的工作原理可以追溯为以下几个过程:
1) 每台主机都会在自己的ARP缓冲区 (ARP Cache)中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。
2) 网络中,当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC地址;如果没有,就向本地局域网(同一网段)的所有主机发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。
3) 网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址;
4) 源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
3 ARP协议的缺陷
ARP协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。它是无状态的协议,不会检查自己是否发过请求包,也不会或者无法检查接收到的应答是否是合法的,只要收到目标MAC是自己的ARP 响应数据包或ARP广播包(包括ARP请求数据包和ARP响应数据包),都会接受并缓存。这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至控制网络的通信以及截获网络数据等。
4 ARP欺骗攻击的形式与危害
由于ARP协议缺乏信任机制的检验,使得ARP欺骗攻击成了可行。
第一、根据ARP欺骗的对象分类:
1) 主机对其他主机的ARP的欺骗攻击。
2) 主机对网关(路由器端口)的ARP欺骗攻击。
3) 主机对其他主机和网关(路由器端口)的双向ARP欺骗攻击。
第二、根据ARP欺骗的网络环境分类:
1) 同一网段内的ARP欺骗攻击,即处于同一局域网内的ARP欺骗攻击。
2) 不同网段的ARP欺骗攻击,即处于不同的局域网或者通过互联网的ARP欺骗攻击。
第三、根据ARP欺骗的发起对象分类:
1) 人为攻击。
人为攻击的目的主要是:造成网络异常、窃取数据、非法控制等。
2) ARP病毒攻击。
ARP病毒不是特指的某一种病毒,而是指包含有ARP欺骗功能的病毒的总称。ARP病毒的目的主要是:窃取数据、篡改数据等。
在网络中各种形式的ARP欺骗攻击,给网络带来的危害基本上可以表现为:网络异常、数据窃取、数据篡改、非法控制等,给网络的通信和网络结点的安全带来重大的危害。
5 ARP欺骗攻击的防范
对于各种形式的ARP欺骗攻击来说,究其原理是利用ARP协议信任机制的缺陷,对目标物理地址的篡改和控制,来进行欺骗和攻击的。因此在防范ARP欺骗攻击上,也要从这一根本点上出发。
1) 网络管理中心采用Super VLAN或PVLAN技术
VLAN Aggregation(VLAN聚合)技术提供一种机制使处于同一个交换机中分属不同VLAN的主机分配在相同的Ipv4子网中,而且使用同一个默认网关。
在交换网络环境中引进Sub VLAN和Super VLAN,它通常将多个不同的VLAN划分至同一IP子网,而不是每个VLAN单独占用一个子网,然后将整个IP子网指定为一个VLAN聚合(Super VLAN),它包含整个IP子网内的所有VLAN(Sub VLAN)。
图1 ARP报头模式
实质上不同的Sub VLAN仍保留各自独立的广播域,而一个或多个Sub VLAN同属于一个Super VLAN,并且都使用Super VLAN的接口地址为默认网关IP地址。当不同Sub VLAN中的主机需要相互之间通讯时,需要在Super VLAN开启ARP代理。
PVLAN即私有VLAN(Private VLAN),一种新的VLAN机制,所有服务器在同一个子网中,但服务器只能与自己的默认网关通信。
PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的,用户只需与自己的默认网关连接,一个PVLAN不需要多个VLAN和IP子网就提供了具备第2层数据通信安全性的连接,所有的用户都接入PVLAN,从而实现了所有用户与默认网关的连接,而与PVLAN内的其他用户没有任何访问。PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信,但可以穿过Trunk端口。这样即使同一VLAN中的用户,相互之间也不会受到广播的影响。
PVLAN和SuperVLAN技术都可以实现端口隔离,但实现方式、出发点不同。端口的隔离,有效的隔离了广播域,也从而有效的遏制了ARP数据包的范围和程度。
2) 局域网内采用IP与MAC的双向绑定
所谓IP与MAC的双向绑定,是指:一方面,主机IP地址和主机MAC地址绑定,另一方面,路由器或者交换机等网络设备上IP地址和MAC地址以及端口绑定。
3) 使用软件防护
正确的安装、配置和使用计算机防护软件,也可以起到防范ARP欺骗攻击的作用。如我国著名的反病毒和计算机安全软件:瑞星、江民以及ARP卫士等。
总的来说,ARP协议在现行以太网的通信中起着至关重要的作用,从而针对ARP协议的ARP欺骗攻击对网络的安全也产生了严重的危害。所以,在我们的网络中,应对繁多的ARP欺骗、防范ARP攻击,必须具备一定的ARP协议与工作原理的认识,更要掌握必要的ARP防范技术,保证网络的高效和安全。
参考文献:
[1] [美]Cisco System 公司.CCNA教程[M].北京:人民邮电出版社,2007,12.
[2] 张保通.网络互联技术[M].北京:中国水利水电出版社,2008,1.
[3] (美)W.Riichard Stevens.TCP/IP详解[M].北京:机械工业出版社,2006,5.
关键词:ARP;工作原理;欺骗攻击;防范
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)33-1349-02
An Analysis of ARP Protocol andHow to Guard against ARP Cheating
JIANG Xiao-feng
(Henan Vocational School of Economics and Trade,Zhengzhou 450053,China)
Abstract: This paper discusses the general idea,principle,defectiveness of ARP Protocol in the first place.Then this paper discusses the familiar forms of ARP Cheating and how to guard against it. Taking the current situation of the Internet into account, the present writer discusses ARP Protocol and how to guard against ARP Cheating thoroughly and tersely to improve the efficiency and safety of the Internet.
Key words: ARP;principle;cheating; guard against
随着网络、电子通信等技术的发展,互联网的接入,网络的应用越来越深入的到社会的各个行业,而随之而来的是人们对于接入网络的高效和安全问题的关注,在网络应用中的众多问题中,ARP欺骗攻击也日益被提到关注的重点上。
因此,我们对于ARP协议工作原理以及ARP欺骗攻击必须有一个充分的认识。
1 ARP简介
ARP,全称Address Resolution Protocol,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。
在TCP/IP协议中,每一个网络结点是用IP地址标识的,IP地址是一个逻辑地址。而在现行的以太网中数据包是靠48位MAC地址(物理地址)寻址的。因此,必须建立IP地址与MAC地址之间的对应(映射)关系,在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址必须通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址(MAC地址),以保证通信的顺利进行。
在主机中,IP地址和MAC地址之间的对应(映射)关系以列表的形式存放在ARP缓冲区(ARP Cache)中。在Windows操作系统中,可以通过在命令:arp –a 查看。
如: Interface: 192.168.10.96 --- 0x10003
Internet AddressPhysical AddressType
192.168.10.100-d0-f8-a5-65-f3 dynamic
192.168.10.10 00-19-21-29-44-de dynamic
192.168.10.21 00-1e-90-66-72-a9 dynamic
192.168.10.24 00-1e-90-6f-9b-e8 dynamic
192.168.10.25 00-11-5b-28-d6-11 dynamic
192.168.10.28 00-14-2a-3e-31-3e dynamic
192.168.10.41 00-1e-90-66-7c-2a dynamic
2 ARP工作原理
在ARP协议的规定下,ARP的工作原理可以追溯为以下几个过程:
1) 每台主机都会在自己的ARP缓冲区 (ARP Cache)中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。
2) 网络中,当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC地址;如果没有,就向本地局域网(同一网段)的所有主机发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。
3) 网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址;
4) 源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
3 ARP协议的缺陷
ARP协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。它是无状态的协议,不会检查自己是否发过请求包,也不会或者无法检查接收到的应答是否是合法的,只要收到目标MAC是自己的ARP 响应数据包或ARP广播包(包括ARP请求数据包和ARP响应数据包),都会接受并缓存。这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至控制网络的通信以及截获网络数据等。
4 ARP欺骗攻击的形式与危害
由于ARP协议缺乏信任机制的检验,使得ARP欺骗攻击成了可行。
第一、根据ARP欺骗的对象分类:
1) 主机对其他主机的ARP的欺骗攻击。
2) 主机对网关(路由器端口)的ARP欺骗攻击。
3) 主机对其他主机和网关(路由器端口)的双向ARP欺骗攻击。
第二、根据ARP欺骗的网络环境分类:
1) 同一网段内的ARP欺骗攻击,即处于同一局域网内的ARP欺骗攻击。
2) 不同网段的ARP欺骗攻击,即处于不同的局域网或者通过互联网的ARP欺骗攻击。
第三、根据ARP欺骗的发起对象分类:
1) 人为攻击。
人为攻击的目的主要是:造成网络异常、窃取数据、非法控制等。
2) ARP病毒攻击。
ARP病毒不是特指的某一种病毒,而是指包含有ARP欺骗功能的病毒的总称。ARP病毒的目的主要是:窃取数据、篡改数据等。
在网络中各种形式的ARP欺骗攻击,给网络带来的危害基本上可以表现为:网络异常、数据窃取、数据篡改、非法控制等,给网络的通信和网络结点的安全带来重大的危害。
5 ARP欺骗攻击的防范
对于各种形式的ARP欺骗攻击来说,究其原理是利用ARP协议信任机制的缺陷,对目标物理地址的篡改和控制,来进行欺骗和攻击的。因此在防范ARP欺骗攻击上,也要从这一根本点上出发。
1) 网络管理中心采用Super VLAN或PVLAN技术
VLAN Aggregation(VLAN聚合)技术提供一种机制使处于同一个交换机中分属不同VLAN的主机分配在相同的Ipv4子网中,而且使用同一个默认网关。
在交换网络环境中引进Sub VLAN和Super VLAN,它通常将多个不同的VLAN划分至同一IP子网,而不是每个VLAN单独占用一个子网,然后将整个IP子网指定为一个VLAN聚合(Super VLAN),它包含整个IP子网内的所有VLAN(Sub VLAN)。
图1 ARP报头模式
实质上不同的Sub VLAN仍保留各自独立的广播域,而一个或多个Sub VLAN同属于一个Super VLAN,并且都使用Super VLAN的接口地址为默认网关IP地址。当不同Sub VLAN中的主机需要相互之间通讯时,需要在Super VLAN开启ARP代理。
PVLAN即私有VLAN(Private VLAN),一种新的VLAN机制,所有服务器在同一个子网中,但服务器只能与自己的默认网关通信。
PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的,用户只需与自己的默认网关连接,一个PVLAN不需要多个VLAN和IP子网就提供了具备第2层数据通信安全性的连接,所有的用户都接入PVLAN,从而实现了所有用户与默认网关的连接,而与PVLAN内的其他用户没有任何访问。PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信,但可以穿过Trunk端口。这样即使同一VLAN中的用户,相互之间也不会受到广播的影响。
PVLAN和SuperVLAN技术都可以实现端口隔离,但实现方式、出发点不同。端口的隔离,有效的隔离了广播域,也从而有效的遏制了ARP数据包的范围和程度。
2) 局域网内采用IP与MAC的双向绑定
所谓IP与MAC的双向绑定,是指:一方面,主机IP地址和主机MAC地址绑定,另一方面,路由器或者交换机等网络设备上IP地址和MAC地址以及端口绑定。
3) 使用软件防护
正确的安装、配置和使用计算机防护软件,也可以起到防范ARP欺骗攻击的作用。如我国著名的反病毒和计算机安全软件:瑞星、江民以及ARP卫士等。
总的来说,ARP协议在现行以太网的通信中起着至关重要的作用,从而针对ARP协议的ARP欺骗攻击对网络的安全也产生了严重的危害。所以,在我们的网络中,应对繁多的ARP欺骗、防范ARP攻击,必须具备一定的ARP协议与工作原理的认识,更要掌握必要的ARP防范技术,保证网络的高效和安全。
参考文献:
[1] [美]Cisco System 公司.CCNA教程[M].北京:人民邮电出版社,2007,12.
[2] 张保通.网络互联技术[M].北京:中国水利水电出版社,2008,1.
[3] (美)W.Riichard Stevens.TCP/IP详解[M].北京:机械工业出版社,2006,5.