应用层协议概述 [ARP协议概述及ARP攻击原理]

时间：2020-03-26 07:32:58　来源：雅意学习网本文已影响人

　　中图分类号：TP393 文献标识码：A 文章编号：1003-2738（2011）11-0255-01 　　　　摘要：在计算机网络中，ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写，在网络层中主机基于硬件地址互相联系。ARP不仅仅是一个IP或者以太网协议；它能够将不同的OSI模型中的不同层的协议最终解释成硬件地址，尽管现在由于IPV4和以太网非常流行，但正是由于ARP完成的是将IP地址转换成以太网的硬件地址，所以它是必不可少的最后一步。ARP协议同样也应用到其他的不是基于以太网的网络中，比如Token Ring、FDDI或者IEEE 802.11。
　　关键词：ARP；硬件地址；IPV4；以太网；OSI层
　　
　　 ARP，全称Address Resolution Protocol，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。ARP病毒造成网络瘫痪的原因可以分为对路由器ARP表的欺骗，和对内网PC的网关欺骗两种。第一种必须先截获网关数据。它使路由器就收到一系列错误的内网MAC地址，并按照一定的频率不断更新学习进行，使真实的地址信息无法通过更新保存在路由器中，造成的PC主机无法正常收到回应信息。第二种是通过交换机的MAC地址学习机制，当局域网内某台主机已经感染ARP欺骗的木马程序，就会欺骗局域网内所有主机和路由器，让所有上网的流量都必须经过病毒主机。
　　国家计算机病毒应急处理中心对互联网监测发现，一些校园网、小区网、企业网以及网吧等局域网中的计算机系统受到一种“地址解析协议欺骗”(简称ARP欺骗)的恶意木马程序的入侵，当有ARP木马程序入侵局域网中的计算机系统时，木马会截获所在本网段络中所有计算机之间的通信信息，导致该网段经常性掉线，主机IP地址冲突， IE浏览器出错以及软件出现故障等问题，这是因为MAC地址冲突引起的，当带毒机器的MAC映射到如路由器之类的NAT设备，导致全网断线；如果只映射到某网段内的计算机，则只有这部分机器出问题。
　　用户要及时给计算机系统安装系统漏洞补丁程序，并经常升级计算机系统中防毒软件和防火墙。还可以在局域网中安装并使用网络防火墙软件，网络防火墙能有效地阻挡来自网络的攻击和病毒的入侵。另外，用户不要随意点击打开QQ、MSN等聊天工具上发来的地址链接或是其他数据信息，更不要随意打开或运行陌生、可疑的文件和程序。
　　一、ARP协议的工作原理
　　在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，
　　以主机A向主机B发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址加入到要发送的帧里面；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在本网络上（本例子为172.16.1，可以依据子网掩码来确定具体确定发送的网段）发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“ MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“ MAC地址是00-C0-9F-3E-E2-1D”。这样，主机A就知道了目的地址了，AB之间就能传递数据了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，当更新了B主机的MAC地址，老化时间就开始计时，在一段时间内比如2―10分钟，如果AB之间没有通信，关于B的缓存在A中就会被删除，这样可以大大减少ARP缓存表的字节数，加快查询速度。
　　在这种情况下，网络中出现大量ARP请求广播包，几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播会极大的浪费网络带宽资源，导致一个网段内主机上网速度慢。ARP扫描一般为ARP攻击的前奏。
　　二、ARP无请求应答(ARP欺骗)
　　 ARP欺骗是黑客常用的攻击手段之一，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。
　　第一种ARP欺骗的原理是――截获网关数据。它通知有路由功能的设备一系列错误的局域网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。如果这时重启路由器，网络就能段时间恢复，但不多久又会出问题了。
　　第二种ARP欺骗的原理是――伪造网关。它的原理是将一台主机建立成假网关，那么被这个假网关欺骗的主机向外传递数据时，不是通过正常的路由器途径上网，而其他计算机就上不了网了。
　　 ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中，有人发送一个自己伪造的ARP应答，网络可能就会出现问题。这是ARP协议设计者当初没考虑到的。通过分析，局域网内有计算机感染ARP 病毒，中毒的机器的网卡不断发送虚假的ARP数据包，告诉网内其他计算机网关的MAC地址是中毒机器的MAC地址，是其他计算机将本来发送网关的数据发送到中毒机器上，导致整个局域网都无法上网，严重乃至整个网络的瘫痪。我们知道局域网中的数据流向是:网关→本机; 如果网络有ARP 欺骗之后,数据的流向是:网关→攻击者→本机,因此攻击者能随意窃听网络数据,截获局域网中任一台机器收发的邮件,WEB浏览信息等，还会窃取用户密码。盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。
　　三、结束语
　　在了解了ARP协议的原理和攻击的方式后，我们以后才能对类似这样的问题有更好的方式去解决。
　　
　　参考文献：
　　 [1] 樊景博,刘爱军.ARP病毒的原理及防御办法[J].商洛学院学报,2007(2).
　　 [2] 曹洪武.ARP欺骗入侵的检测与防范策略[J].塔里木大学学报2007(2).
　　 [3] 孟晓明.给予ARP的网络欺骗的检测与防范[J].信息技术,2005(5):41-44.
　　
　　作者简介：陈文博（1986- ）：男，汉族，湖北武汉人，武汉工业职业技术学院助教，主要研究方向：计算机应用基础，办公自动化。

应用层协议概述 [ARP协议概述及ARP攻击原理]

最新文章

热门文章