2024年5月25日发(作者:)

齐头并进 堵源治本

高校校园网ARP攻击防御解决方案

DIGTIAL CHINA DIGITAL CAMPUS

神州数码网络有限公司

2008-07

前 言

自2006年以来,基于病毒的arp攻击愈演愈烈,几乎所有的校园网都有遭遇过。地址

转换协议ARP(Address Resolution Protocol)是个链路层协议,它工作在OSI参考模型

的第二层即数据链路层,与下层物理层之间通过硬件接口进行联系,同时为上层网络层提供

服务。ARP攻击原理虽然简单,易于分析,但是网络攻击往往是越简单越易于散布,造成

的危害越大。对于网络协议,可以说只要没有验证机制,那么就可以存在欺骗攻击,可以被

非法利用。下面我们介绍几种常见ARP攻击典型的症状:

¾ 上网的时候经常会弹出一些广告,有弹出窗口形式的,也有嵌入网页形式的。下载

的软件不是原本要下载的,而是其它非法程序。

¾ 网关设备ARP表项存在大量虚假信息,上网时断时续;网页打开速度让使用者无

法接受。

¾ 终端不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。

对于ARP攻击,可以简单分为两类:

一、ARP欺骗攻击,又分为ARP仿冒网关攻击和ARP仿冒主机攻击。

二、ARP泛洪(Flood)攻击,也可以称为ARP扫描攻击。

对于这两类攻击,攻击程序都是通过构造非法的ARP报文,修改报文中的源IP地址与

(或)源MAC地址,不同之处在于前者用自己的MAC地址进行欺骗,后者则大量发送虚

假的ARP报文,拥塞网络。

192.168.1.1

192.168.1.2

192.168.1.3

MAC A

MAC A

MAC B

网关E:192.168.1.1

…………

网段内其它主机修改自己的缓存

表,并认为主机A就是网关

主机A

192.168.1.2

主机B

192.168.1.3

主机C

192.168.1.4

主机D

192.168.1.5

图一 ARP仿冒网关攻击示例