陳文博

　　(武漢工業(yè)職業(yè)技術(shù)學(xué)院，湖北武漢430064)

　　中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1003-2738(2011)11-0255-01

　　摘要：在計(jì)算機(jī)網(wǎng)絡(luò)中，ARP協(xié)議是“AddressResolutionProtocol”(地址解析協(xié)議)的縮寫，在網(wǎng)絡(luò)層中主機(jī)基于硬件地址互相聯(lián)系。ARP不僅僅是一個(gè)IP或者以太網(wǎng)協(xié)議;它能夠?qū)⒉煌�的OSI模型中的不同層的協(xié)議最終解釋成硬件地址，盡管現(xiàn)在由于IPV4和以太網(wǎng)非常流行，但正是由于ARP完成的是將IP地址轉(zhuǎn)換成以太網(wǎng)的硬件地址，所以它是必不可少的最后一步。ARP協(xié)議同樣也應(yīng)用到其他的不是基于以太網(wǎng)的網(wǎng)絡(luò)中，比如TokenRing、FDDI或者IEEE802.11。

　　關(guān)鍵詞：ARP;硬件地址;IPV4;以太網(wǎng);OSI層

　　ARP，全稱AddressResolutionProtocol，中文名為地址解析協(xié)議，它工作在數(shù)據(jù)鏈路層，在本層和硬件接口聯(lián)系，同時(shí)對上層提供服務(wù)。ARP病毒造成網(wǎng)絡(luò)癱瘓的原因可以分為對路由器ARP表的欺騙，和對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙兩種。第一種必須先截獲網(wǎng)關(guān)數(shù)據(jù)。它使路由器就收到一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷更新學(xué)習(xí)進(jìn)行，使真實(shí)的地址信息無法通過更新保存在路由器中，造成的PC主機(jī)無法正常收到回應(yīng)信息。第二種是通過交換機(jī)的MAC地址學(xué)習(xí)機(jī)制，當(dāng)局域網(wǎng)內(nèi)某臺主機(jī)已經(jīng)感染ARP欺騙的木馬程序，就會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器，讓所有上網(wǎng)的流量都必須經(jīng)過病毒主機(jī)。

　　國家計(jì)算機(jī)病毒應(yīng)急處理中心對互聯(lián)網(wǎng)監(jiān)測發(fā)現(xiàn)，一些校園網(wǎng)、小區(qū)網(wǎng)、企業(yè)網(wǎng)以及網(wǎng)吧等局域網(wǎng)中的計(jì)算機(jī)系統(tǒng)受到一種“地址解析協(xié)議欺騙”(簡稱ARP欺騙)的惡意木馬程序的入侵，當(dāng)有ARP木馬程序入侵局域網(wǎng)中的計(jì)算機(jī)系統(tǒng)時(shí)，木馬會(huì)截獲所在本網(wǎng)段絡(luò)中所有計(jì)算機(jī)之間的通信信息，導(dǎo)致該網(wǎng)段經(jīng)常性掉線，主機(jī)IP地址沖突，IE瀏覽器出錯(cuò)以及軟件出現(xiàn)故障等問題，這是因?yàn)镸AC地址沖突引起的，當(dāng)帶毒機(jī)器的MAC映射到如路由器之類的NAT設(shè)備，導(dǎo)致全網(wǎng)斷線;如果只映射到某網(wǎng)段內(nèi)的計(jì)算機(jī)，則只有這部分機(jī)器出問題。

　　用戶要及時(shí)給計(jì)算機(jī)系統(tǒng)安裝系統(tǒng)漏洞補(bǔ)丁程序，并經(jīng)常升級計(jì)算機(jī)系統(tǒng)中防毒軟件和防火墻。還可以在局域網(wǎng)中安裝并使用網(wǎng)絡(luò)防火墻軟件，網(wǎng)絡(luò)防火墻能有效地阻擋來自網(wǎng)絡(luò)的攻擊和病毒的入侵。另外，用戶不要隨意點(diǎn)擊打開QQ、MSN等聊天工具上發(fā)來的地址鏈接或是其他數(shù)據(jù)信息，更不要隨意打開或運(yùn)行陌生、可疑的文件和程序。

　　一、ARP協(xié)議的工作原理

　　在每臺安裝有TCP/IP協(xié)議的電腦里都有一個(gè)ARP緩存表，表里的IP地址與MAC地址是一一對應(yīng)的，

　　以主機(jī)A向主機(jī)B發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時(shí)，主機(jī)A會(huì)在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。如果找到了，也就知道了目標(biāo)MAC地址，直接把目標(biāo)MAC地址加入到要發(fā)送的幀里面;如果在ARP緩存表中沒有找到相對應(yīng)的IP地址，主機(jī)A就會(huì)在本網(wǎng)絡(luò)上(本例子為172.16.1，可以依據(jù)子網(wǎng)掩碼來確定具體確定發(fā)送的網(wǎng)段)發(fā)送一個(gè)廣播，目標(biāo)MAC地址是“FF.FF.FF.FF.FF.FF”，這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問：“MAC地址是什么?”網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng)ARP詢問，只有主機(jī)B接收到這個(gè)幀時(shí)，才向主機(jī)A做出這樣的回應(yīng)：“MAC地址是00-C0-9F-3E-E2-1D”。這樣，主機(jī)A就知道了目的地址了，AB之間就能傳遞數(shù)據(jù)了。同時(shí)它還更新了自己的ARP緩存表，下次再向主機(jī)B發(fā)送信息時(shí)，直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機(jī)制，當(dāng)更新了B主機(jī)的MAC地址，老化時(shí)間就開始計(jì)時(shí)，在一段時(shí)間內(nèi)比如2—10分鐘，如果AB之間沒有通信，關(guān)于B的緩存在A中就會(huì)被刪除，這樣可以大大減少ARP緩存表的字節(jié)數(shù)，加快查詢速度。

　　在這種情況下，網(wǎng)絡(luò)中出現(xiàn)大量ARP請求廣播包，幾乎都是對網(wǎng)段內(nèi)的所有主機(jī)進(jìn)行掃描。大量的ARP請求廣播會(huì)極大的浪費(fèi)網(wǎng)絡(luò)帶寬資源，導(dǎo)致一個(gè)網(wǎng)段內(nèi)主機(jī)上網(wǎng)速度慢。ARP掃描一般為ARP攻擊的前奏。

　　二、ARP無請求應(yīng)答(ARP欺騙)

　　ARP欺騙是黑客常用的攻擊手段之一，ARP欺騙分為二種，一種是對路由器ARP表的欺騙;另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。

　　第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知有路由功能的設(shè)備一系列錯(cuò)誤的局域網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常PC無法收到信息。如果這時(shí)重啟路由器，網(wǎng)絡(luò)就能段時(shí)間恢復(fù)，但不多久又會(huì)出問題了。

　　第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是將一臺主機(jī)建立成假網(wǎng)關(guān)，那么被這個(gè)假網(wǎng)關(guān)欺騙的主機(jī)向外傳遞數(shù)據(jù)時(shí)，不是通過正常的路由器途徑上網(wǎng)，而其他計(jì)算機(jī)就上不了網(wǎng)了。

　　ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應(yīng)答。當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候，就會(huì)對本地的ARP緩存進(jìn)行更新，將應(yīng)答中的IP和MAC地址存儲在ARP緩存中。所以在網(wǎng)絡(luò)中，有人發(fā)送一個(gè)自己偽造的ARP應(yīng)答，網(wǎng)絡(luò)可能就會(huì)出現(xiàn)問題。這是ARP協(xié)議設(shè)計(jì)者當(dāng)初沒考慮到的。通過分析，局域網(wǎng)內(nèi)有計(jì)算機(jī)感染ARP病毒，中毒的機(jī)器的網(wǎng)卡不斷發(fā)送虛假的ARP數(shù)據(jù)包，告訴網(wǎng)內(nèi)其他計(jì)算機(jī)網(wǎng)關(guān)的MAC地址是中毒機(jī)器的MAC地址，是其他計(jì)算機(jī)將本來發(fā)送網(wǎng)關(guān)的數(shù)據(jù)發(fā)送到中毒機(jī)器上，導(dǎo)致整個(gè)局域網(wǎng)都無法上網(wǎng)，嚴(yán)重乃至整個(gè)網(wǎng)絡(luò)的癱瘓。我們知道局域網(wǎng)中的數(shù)據(jù)流向是:網(wǎng)關(guān)→本機(jī);如果網(wǎng)絡(luò)有ARP欺騙之后,數(shù)據(jù)的流向是:網(wǎng)關(guān)→攻擊者→本機(jī),因此攻擊者能隨意竊聽網(wǎng)絡(luò)數(shù)據(jù),截獲局域網(wǎng)中任一臺機(jī)器收發(fā)的郵件,WEB瀏覽信息等，還會(huì)竊取用戶密碼。盜竊網(wǎng)上銀行賬號來做非法交易活動(dòng)等，這是木馬的慣用伎倆，給用戶造成了很大的不便和巨大的經(jīng)濟(jì)損失。

　　三、結(jié)束語

　　在了解了ARP協(xié)議的原理和攻擊的方式后，我們以后才能對類似這樣的問題有更好的方式去解決。

　　參考文獻(xiàn)：

　　[1]樊景博,劉愛軍.ARP病毒的原理及防御辦法[J].商洛學(xué)院學(xué)報(bào),2007(2).

　　[2]曹洪武.ARP欺騙入侵的檢測與防范策略[J].塔里木大學(xué)學(xué)報(bào)2007(2).

　　[3]孟曉明.給予ARP的網(wǎng)絡(luò)欺騙的檢測與防范[J].信息技術(shù),2005(5):41-44.

　　作者簡介：陳文博(1986-)：男，漢族，湖北武漢人，武漢工業(yè)職業(yè)技術(shù)學(xué)院助教，主要研究方向：計(jì)算機(jī)應(yīng)用基礎(chǔ)，辦公自動(dòng)化。

轉(zhuǎn)載請注明來自：http://www.jinnzone.com/jisuanjiyingyonglw/7678.html