您的位置:网站首页 >上网须知 > 正 文

ARP攻击及其附带危害

【来源:网络中心 | 发布日期: | 阅读次数: 】     【选择字号:

ARP,人称Address Resolution Protocol,地址解析协议。如果您已经对IP地址和MAC地址有所了解,那么应当知道,两种地址间是需要进行解析的。所谓ARP协议,就是将IP地址翻译为MAC地址的翻译人员。什么?你说MAC地址翻译为IP地址?咳咳……DHCP协议会自动为接入设备分配IP地址(比如兰州大学校园网的默认设置),而网关则会以ARP表的形式,登记自己所辖网段内设备的IP地址和MAC地址映射。

关于翻译问题更复杂的内容,这里就先不讨论了……有兴趣您可以自行上网查询。下面着重要讨论的,则是这种简单的地址翻译所引发的问题和隐患。

与以太网一样,ARP协议做为同一时期的产物,也没有将设计重点放在安全性上。每一台计算机上的ARP都假设网域内所有设备广播的ARP信息真实可靠,并且据此进行自我更新。这种简便的信息模式能够稳定运行的基础,是对网域内各接入设备的信任。然而……

一间会议室里出现了一名骗子(譬如感染ARP病毒的计算机),开始不断进行虚假宣称。他对老K说自己是小A,对小A说自己是老K。于是,小A和老K之间的谈话,统统都被骗子截取。骗子成功地将自己变成小A和老K之间的转发点,从而控制数据交流和获取信息。

由于ARP协议没有任何保护机制,所以实现ARP欺骗是毫无难度的。可是,毕竟真实的信息同样也在广播,比如老K一直在以一定的频率声称自己是老K,要怎样才能让小A不被老K的真实信息影响(以便骗他)呢?

于是,骗子开始利用以太网规范的缺陷。骗子用远远高于正常广播频率,也就是真实ARP信息播发频率的方式,以洪水式广播进行ARP欺骗。这样一来,即使小A收到的数据中有少量真实ARP信息,绝大多数情况下也会被迅速替换为虚假内容。

但是,这样一来,就有可能引发两种后果:其一,攻击者计算机不堪重负,网段中其他计算机联网时断时续(因为有时能收到真实的网关ARP信息);其二,网段所属的交换机不堪重负,其他计算机完全无法上网。这就是ARP攻击常常引发大面积网络故障的原因。

做为一种利用网络设计基础安全缺陷的攻击方式,ARP攻击目前无法彻底解决。就目前而言,我们建议大家做好两件事:第一,安装安全软件,启用反ARP攻击功能,也可以考虑使用智能网关绑定等软件,避免受害;第二,做好个人计算机安全,学习一些相关知识,注意自己计算机的网络访问和网卡工作状态,以防在不知不觉之中成为攻击者。

© Copyright 2008 Information Technology Services of Lanzhou University