摘要论述了ARP欺骗的特征,分析了ARP欺骗产生的原理,并根据长期的实践经验,总结了一套ARP欺骗防范与追踪的策略。关键词ARP欺骗;局域网;MAC地址1引言ARP协议,又称地址解析协议,简单说就是通过IP地址来查询目标主机的MAC地址。ARP协议在以太网主机通信中发挥至关重要的作用。然而,事物都有两面性,如果ARP协议被黑客利用,通过伪造IP地址和MAC地址实施ARP欺骗,将会在网络中产生大量ARP通信流量从而使网络发生拥塞,或者通过实施“ManInTheMiddle”进行ARP重定向和嗅探攻击。我校网络核心层为思科6500系列三层交换机,分布层和接入层采用思科和瑞捷交换机,IP地址采取静态分配。本篇所讨论的ARP防治策略,即是在此种网络环境下归纳的。2ARP欺骗现象在局域网内,攻击源主机不断发送ARP欺骗报文,即以假冒的网卡物理地址向同一子网的其它主机发送ARP报文,甚至假冒该子网网关物理地址蒙骗其它主机,诱使其它主机经由该病毒主机上网。真网关向假网关的切换,会导致网内用户断网。当攻击源主机断电或离线,网内其它主机自动重新搜索真网关,这个过程又会导致用户断一次网。所以某子网内,只要存在一台或多台这样的攻击源主机,就会使其它主机上网断断续续,严重时将致使整个网络陷于瘫痪。上述现象即是一种典型ARP欺骗,除了影响网络运行效率,攻击者也会趁机窃取网内用户的帐号和密码。因为发送的是ARP报文,具有一定的隐秘性,如果侵占系统资源不是很大,又无防病毒软件监控,一般用户不易察觉。3ARP欺骗分析3.1原理简析局域网内某主机运行ARP欺骗程序时,会诱骗局域网内所有主机和路由器,使上网流量必须经由该病毒主机。原来通过路由器上网的用户现在转由病毒主机,这个切换会致使用户断线。切换到病毒主机上网后,如果用户已经登录了传奇服务器,病毒主机会不断制造断线的假象,用户就得重新登录,病毒主机就可以趁机实施盗号行为。ARP欺骗木马程序发作会发送大量数据包,从而导致局域网通讯拥塞,受自身处理能力的限制,用户会感觉网速越来越慢。ARP欺骗木马程序停止运行,用户会恢复从路由器上网,该切换则会导致用户再次断网。3.2欺骗方式3.2.1一般冒充欺骗这是一种比较常见的攻击,通过发送伪造的ARP包来实施欺骗。根据欺骗者实施欺骗时所处的立场,可分为三种情况:冒充网关欺骗主机、冒充主机欺骗网关、冒充主机欺骗其它主机。在冒充网关欺骗中,欺骗者定时且频繁的对本网发送ARP广播,告诉所有网络成员自己就是网关,或者以网关身份伪造虚假的ARP回应报文,欺骗局域网内的其它主机,这样子网内流向外网的数据就可以被攻击者截取;冒充主机欺骗网关的过程跟冒充网关的过程相反,欺骗者总是通过虚假报文告诉网关,自己就是目标主机,从而使网关向用户发送的数据被攻击者截取;冒充主机欺骗其它主机则是同一网内设备间的欺骗,攻击者以正常用户的身份伪造虚假ARP回应报文,欺骗其它主机,结果是其它用户向该用户发送的数据全部被攻击者截获。3.2.2虚构MAC地址欺骗这种攻击也是攻击者以正常用户身份伪造虚假的ARP回应报文,欺骗网关。但是,和上述一般冒充欺骗不同的是,此时攻击者提供给网关的MAC地址根本不存在,不是攻击者自己的MAC地址,这样网关发给该用户的数据全部被发往一个不存在的地方。3.2.3ARP泛洪这是一种比较危险的攻击,攻击者伪造大量虚假源MAC和源IP信息报文,向局域网内所有主机和网关进行广播,目的就是令局域网内部的主机或网关找不到正确的通信对象,甚至直接用虚假地址信息占满网关ARP缓存空间,造成用户无法正常上网。同时网络设备CPU居高不下,缓存空间被大量占用。由于影响到了网络设备,攻击者自己上网的效率也很低,这是一种典型的损人不利己行为。3.2.4基于ARP的DoS这是新出现的一种攻击方式,DoS又称拒绝服务攻击,当大量的连接请求被发送到一台主机时,由于该主机的处理能力有限,不能为正常用户提供服务,便出现拒绝服务。这个过程中如果使用ARP来隐藏自己,被攻击主机日志上就不会出现真实的IP记录。攻击的同时,也不会影响到本机。4ARP欺骗鉴定方法4.1检查网内感染“ARP欺骗”木马病毒的计算机在“命令提示符”下输入并执行“ipconfig”...