資源描述:
《arp欺騙原理及防御技術(shù)》由會員上傳分享���,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�。
1、ARP欺騙原理及防御技術(shù)李淑君1許爽2白亮3(1鄭州輕工業(yè)學(xué)院��,河南鄭州�,4500022中州大學(xué),河南鄭州�����,4500443電子科技集團(tuán)公司第二十七研究所��,河南鄭州����,450015)摘要ARP協(xié)議欺騙作為一種交換式局域網(wǎng)中獲取數(shù)據(jù)信息的方法,當(dāng)用作攻擊手段時,給網(wǎng)絡(luò)安全帶來了嚴(yán)重威脅��。本文通過分析ARP協(xié)議的原理及ARP欺騙的原理�,設(shè)計了防御ARP病毒的方法�����。關(guān)鍵詞:地址解析協(xié)議��;ARP欺騙���;MAC地址;TheSpoofingPrincipleAndDefenseTechnologyofARPLiShuJun1,XuShuang2Bai
2��、Liang3(1ZhengzhouUnivercityofLightIndustry,ZhengzhouHenan450002,China2ZhongzhouUnivercity,ZhengzhouHenan450044,China3The27thResearchInstituteofElectronicsTechnologyCorp,ZhengzhouHenan450015,China)Abstract:WhenARPspoofingisusedasanattackmean,itbringsseriousthreatstothes
3��、ecurityofLAN.ThispaperanalyzestheprincipleofARPprotocolandARPspoofing.AmethodisdesignedtodefenseARPspoofingpackets.Keywords:ARP�����;ARPspoofing���;MACaddress;1.ARP協(xié)議簡介ARP,在數(shù)據(jù)鏈路層��,在本層和硬件接口聯(lián)系,同時對上層提供服務(wù)�����。IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送�。以太網(wǎng)設(shè)備并不識別32位IP地址�����,它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包����。因此,必全稱AddressResolutionPr
4�����、otocol���,中文名為地址解析協(xié)議���,它工作須把IP目的地址轉(zhuǎn)換成以太網(wǎng)目的地址。在以太網(wǎng)中�,一個主機要和另一個主機進(jìn)行直接通信,必須要知道目標(biāo)主機的MAC地址。但這個目標(biāo)MAC地址是如何獲得的呢��?它就是通過地址解析協(xié)議獲得的�。ARP協(xié)議用于將網(wǎng)絡(luò)中的IP地址解析為的硬件地址(MAC地址),以保證通信的順利進(jìn)行����。2.ARP協(xié)議的工作原理在每臺安裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表[1],表里的IP地址與MAC地址是一一對應(yīng)的����,如附表所示。主機IP地址MAC地址A192.168.1.100-aa-00-62-c6-09B19
5���、2.168.1.200-aa-00-62-c5-03C192.168.1.300-aa-01-62-c3-06附表1. 以主機H(192.168.1.5)向主機A(192.168.1.1)發(fā)送數(shù)據(jù)為例�����。當(dāng)發(fā)送數(shù)據(jù)時��,主機H會在自己的ARP緩存表中尋找是否有目標(biāo)IP地址���。如果找到了,也就知道了目標(biāo)MAC地址�,直接把目標(biāo)MAC地址寫入幀里面發(fā)送就可以了;如果在ARP緩存表中沒有找到相對應(yīng)的IP地址,主機H就會在網(wǎng)絡(luò)上發(fā)送一個廣播���,目標(biāo)MAC地址是“FF.FF.FF.FF.FF.FF”���,這表示向同一網(wǎng)段內(nèi)的所有主機發(fā)出這樣的詢問:“19
6���、2.168.1.1的MAC地址是什么��?”網(wǎng)絡(luò)上其他主機并不響應(yīng)ARP詢問��,只有主機A接收到這個幀時���,才向主機H做出這樣的回應(yīng):“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。這樣����,主機H就知道了主機A的MAC地址,它就可以向主機A發(fā)送信息了�����。同時它還更新了自己的ARP緩存表��,下次再向主機A3發(fā)送信息時,直接從ARP緩存表里查找就可以了����。ARP緩存表采用了老化機制,在一段時間內(nèi)如果表中的某一行沒有使用���,就會被刪除�����,這樣可以大大減少ARP緩存表的長度�����,加快查詢速度���。3.ARP欺騙的原理及防范措施3.1ARP欺
7、騙的原理ARP欺騙的原理如下:假設(shè)這樣一個網(wǎng)絡(luò)�,一個Hub接了3臺機器HostAHostBHostC其中A、B��、C的IP地址和MAC地址分別為表1所示�����。正常情況下C:arp-aInterface:192.168.1.1onInterface0x1000003InternetAddressPhysicalAddressType192.168.1.300-aa-01-62-c3-06dynamic現(xiàn)在假設(shè)HostB開始了ARP欺騙:B向A發(fā)送一個自己偽造的ARP應(yīng)答,而這個應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.1.3(C的IP地
8���、址)�����,MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本來應(yīng)該是00-aa-01-62-c3-06���,這里被偽造了)����。當(dāng)A接收到B偽造的ARP應(yīng)答,就會更新本地的ARP緩存(A可不知道被偽造了)�。而且A不知道其實是從B發(fā)送
