某試驗中心局域網(wǎng)常見ARP故障分析及診斷方法研究

摘要： 隨著局域網(wǎng)在科研試驗中應(yīng)用越來越廣泛，為了解決科研試驗局域網(wǎng)中ARP病毒廣為傳播造成用戶信息被盜竊、網(wǎng)絡(luò)斷線、網(wǎng)絡(luò)不穩(wěn)、阻塞等問題，采用查找攻擊源，在MAC和IP的層次上，從源頭上消滅ARP病毒的攻擊空間，達(dá)到了從根本上杜絕ARP攻擊發(fā)生的可能性。掌握ARP的攻擊原理以及防御方法，對局域網(wǎng)運行安全具有十分重要的意義。

關(guān)鍵字： 局域網(wǎng)； ARP攻擊； ARP病毒； MAC

中圖分類號： TN911?34； TP393.3 文獻(xiàn)標(biāo)識碼： A 文章編號： 1004?373X（2013）06?0019?03

0 引 言

局域網(wǎng)（Local Area Network）[3]是在一個有限范圍內(nèi)（如一個公司、學(xué)校和單位內(nèi)），將很多計算機(jī)、外部設(shè)備和數(shù)據(jù)庫等相互聯(lián)接起來組成的一個網(wǎng)絡(luò)通道。它可以通過數(shù)據(jù)通信網(wǎng)或?qū)Ｓ脭?shù)據(jù)電路，與其他的局域網(wǎng)、數(shù)據(jù)庫或處理中心互相連接，構(gòu)成一個大范圍的信息處理系統(tǒng)網(wǎng)絡(luò)，被稱作局域網(wǎng)，英文簡稱LAN，是指在某一區(qū)域內(nèi)由多臺計算機(jī)互聯(lián)成的計算機(jī)組。地址解析協(xié)議（Address Resolution Protocol，ARP）[1]，工作在數(shù)據(jù)鏈路層， 在本層和硬件接口聯(lián)系，同時對上層（網(wǎng)絡(luò)層）提供服務(wù)。在以太網(wǎng)中，由于以太網(wǎng)設(shè)備并不識別32位的IP地址，所以數(shù)據(jù)包的傳送不是通過IP地址，而是通過48位MAC地址（網(wǎng)卡的物理地址）來完成的。也就是說，在以太網(wǎng)中， 一臺主機(jī)要和另一臺主機(jī)進(jìn)行直接通信， 必須要知道目標(biāo)主機(jī)的MAC地址。但這個目標(biāo)主機(jī)的MAC地址如何獲得呢，它就是通過地址解析協(xié)議（ARP）獲得的ARP協(xié)議用于將網(wǎng)絡(luò)中的IP地址解析為MAC地址， 以保證通信的順利進(jìn)行。而在TCP/IP協(xié)議中，網(wǎng)絡(luò)層和傳輸層只關(guān)心目標(biāo)主機(jī)的IP地址。這就導(dǎo)致在以太網(wǎng)中使用IP協(xié)議時，數(shù)據(jù)鏈路層的以太網(wǎng)協(xié)議接到上層IP協(xié)議提供的數(shù)據(jù)中，只包含目的主機(jī)的IP地址。于是需要一種方法，根據(jù)目的主機(jī)的IP地址，獲得其MAC地址。這就是ARP協(xié)議要做的事情。所謂地址解析（Address Resolution）就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。

認(rèn)識了局域網(wǎng)和ARP的相關(guān)知識，就從根本上解決ARP病毒攻擊提供了理論基礎(chǔ)。

1 ARP的攻擊

每臺安裝TCP/IP協(xié)議的電腦主機(jī)都有一個ARP高速緩存[1]，存放著其他主機(jī)的IP 地址和MAC 地址的映射關(guān)系。當(dāng)源主機(jī)需要將一個數(shù)據(jù)包發(fā)送到目的主機(jī)時，首先檢查自己ARP列表中是否存在該IP 地址對應(yīng)的MAC地址，如果存在，就直接將數(shù)據(jù)包發(fā)送到該MAC地址；如果沒有，就向本地網(wǎng)段發(fā)起一個ARP請求的廣播包，查詢此目的主機(jī)對應(yīng)的MAC地址。此ARP廣播包有源主機(jī)的IP 地址、硬件地址以及目的主機(jī)的IP地址等。網(wǎng)絡(luò)中所有的主機(jī)收到這個ARP請求后，會自動檢查該包中的目的IP是否和自己的IP 地址一致，如果不同就忽略此數(shù)據(jù)包；如果相同，該主機(jī)首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經(jīng)存在該IP的信息，則將其覆蓋，然后給源主機(jī)發(fā)送一個ARP響應(yīng)數(shù)據(jù)包，告訴對方自己是其需要查找的MAC 地址。源主機(jī)收到這個ARP響應(yīng)數(shù)據(jù)包后，將得到的目的主機(jī)的IP地址和MAC地址添加到自己的ARP 列表中，并利用此信息開始數(shù)據(jù)傳輸。如果源主機(jī)一直沒有收到ARP響應(yīng)數(shù)據(jù)包，則表示ARP 查詢失敗。

ARP 攻擊是指攻擊者利用地址解析協(xié)議本身的運行機(jī)制而發(fā)動的攻擊行為，包括對主機(jī)發(fā)動IP 沖突攻擊、數(shù)據(jù)包轟炸、切斷局域網(wǎng)上任何一臺主機(jī)的網(wǎng)絡(luò)連接等。

ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP?MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。

ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一臺計算機(jī)感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其他計算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其他計算機(jī)的通信故障。

基于ARP協(xié)議的這一工作特性，黑客向?qū)Ψ接嬎銠C(jī)不斷發(fā)送有欺詐性質(zhì)的ARP數(shù)據(jù)包，數(shù)據(jù)包內(nèi)包含有與當(dāng)前設(shè)備重復(fù)的MAC地址，使對方在回應(yīng)報文時，由于簡單的地址重復(fù)錯誤而導(dǎo)致不能進(jìn)行正常的網(wǎng)絡(luò)通信。一般情況下，受到ARP攻擊的計算機(jī)會出現(xiàn)兩種現(xiàn)象：

（1）不斷彈出“本機(jī)的0～255段硬件地址與網(wǎng)絡(luò)中的0～255段地址沖突”的對話框；

（2）計算機(jī)不能正常上網(wǎng)，出現(xiàn)網(wǎng)絡(luò)中斷的癥狀。

2 處理ARP攻擊

2.1 NBTSCAN查詢處理法

3 結(jié) 語

局域網(wǎng)病毒是網(wǎng)絡(luò)發(fā)展到一定規(guī)模的產(chǎn)物， 它的能量極大， 但它的危害性又取決于人們對它的認(rèn)識、關(guān)注和防范的程度。因此， 樹立和健全必要的前瞻性局域網(wǎng)防范意識和防范措施非常必要。由于大部分黑客對網(wǎng)絡(luò)系統(tǒng)十分熟悉， 他們對網(wǎng)絡(luò)的攻擊能力、手法與日俱增， 其陣營日益擴(kuò)大。因此加快網(wǎng)絡(luò)立法和建立良好的網(wǎng)絡(luò)運行機(jī)制， 有針對性地引進(jìn)先進(jìn)局域網(wǎng)的防范技術(shù)和研究應(yīng)對策略， 開發(fā)更新的局域網(wǎng)的防范體系， 加強(qiáng)前瞻性局域網(wǎng)的防范意識和措施， 不斷完善和提高局域網(wǎng)自身的管理水平十分必要。

參考文獻(xiàn)

[1] 佚名.局域網(wǎng)[EB/OL].[2011?04?30].http：//zh.wikipedia.org/wiki/%E5%B1%80%E5%9F%9F%E7%BD%91.

[2] 佚名.飛信[EB/OL].[2011?04?30].http：//zh.wikIPedia.org/wiki/%E9%A3%9E%E4%BF%A1.

[3] Anon.ARP [EB/OL]. [2011?04?30].http：//zh.wikipedia.org/wiki/ARP.

[4] 羅永昌，王基一.ARP攻擊原理及局域網(wǎng)防范[J].商丘職業(yè)技術(shù)學(xué)院學(xué)報，2008（2）：42?45.

[5] 吳慧敏.局域網(wǎng)ARP欺騙攻擊及防御方案[J].電腦知識與技術(shù)，2008（5）：869?871.

[6] 陳博超.關(guān)于對局域網(wǎng)IP沖突的研究[J].軟件導(dǎo)刊，2010（2）：111?112.

[7] 徐連霞.ARP攻擊識別及防范措施[J].寧波職業(yè)技術(shù)學(xué)院學(xué)報，2009（2）：99?102.

[8] 張耀輝.ARP地址欺騙及防范措施的探討[J].長沙通信職業(yè)技術(shù)學(xué)院學(xué)報，2007（3）：46?49.

[9] 何家棟，楊銘，劉欣.ARP攻擊的定位與防范[J].計算機(jī)光盤軟件與應(yīng)用，2011（6）：91.

[10] 呂燁.高手教你如何清除局域網(wǎng)中的ARP病毒[EB/OL].[2007?05?25].http：//www.ctocio.com.cn.

[11] 孫新英.論局域網(wǎng)的安全管理策略[J].電腦知識與技術(shù)，2009（5）：5363?5364.