【論文】網絡安全與入門-ARP攻擊

網絡安全與入門

班級：嵌入式1511    學号：15200141115    姓名：戚春陽

      網絡安全是指網絡系統的硬體、軟體及其系統中的資料受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、洩露，系統連續可靠正常地運作，網絡服務不中斷，同時網絡攻擊會給人們帶來巨大的損失，是以保障網絡的安全刻不容緩。

      在這門公選課上，我了解到ARP攻擊的一些原理，方法、危害以及防護措施。

一、什麼是ARP？

(1)ARP：Address Resolution Protocol即位址解析協定是一個位于TCP/IP協定棧中的網絡層，負責将某個IP位址解析成對應的MAC位址。

(2)基本功能：ARP協定的基本功能就是通過目标裝置的IP位址，查詢目标裝置的MAC位址，以保證通信的進行。

二、ARP攻擊原理

查閱資料知：

(1)ARP攻擊具體含義：ARP攻擊就是通過僞造IP位址和MAC位址實作ARP欺騙，能夠在網絡中産生大量的ARP通信量使網絡阻塞，攻擊者隻要持續不斷的發出僞造的ARP響應包就能更改目标主機ARP緩存中的IP-MAC條目，造成網絡中斷或中間人攻擊。

(2)存在及傳染方式：ARP攻擊主要是存在于區域網路網絡中，區域網路中若有一台計算機感染ARP木馬，則感染該ARP木馬的系統将會試圖通過“ARP欺騙”手段截獲所在網絡内其它計算機的通信資訊，并是以造成網内其它計算機的通信故障。

舉個例子：攻擊者向電腦A發送一個僞造的ARP響應，告訴電腦A：電腦B的IP位址192.168.0.2對應的MAC位址是00-aa-00-62-c6-03，電腦A信以為真，将這個對應關系寫入自己的ARP快取記錄中，以後發送資料時，将本應該發往電腦B的資料發送給了攻擊者。同樣的，攻擊者向電腦B也發送一個僞造的ARP響應，告訴電腦B：電腦A的IP位址192.168.0.1對應的MAC位址是00-aa-00-62-c6-03，電腦B也會将資料發送給攻擊者。

至此攻擊者就控制了電腦A和電腦B之間的流量，他可以選擇被動地監測流量，擷取密碼和其他涉密資訊，也可以僞造資料，改變電腦A和電腦B之間的通信内容。

三、ARP攻擊方法    

使用sniffer嗅探的軟體

1. 先清空自己的arp緩沖區：指令提示符中輸入arp -d

2. 使用sniffer，設定抓取ARP資料包

3. ping 你要攻擊的主機的IP位址

4. 從sniffer中提取ARP資料包，用sniffer修改資料

5. 使用修改好的資料包連續發送..

以上就是ARP攻擊的基本步驟.....

四、ARP攻擊所帶來的危害

(1)目标區域網路内的主機通信中斷：

ARP攻擊隻要一開始就造成區域網路内計算機無法和其他計算機進行通訊，而且網絡對此種病毒沒有任何耐受度，隻要區域網路中存在一台感染“ARP欺騙”病毒的計算機将會造成整個區域網路通訊中斷。

(2)經濟損失：ARP欺騙木馬發作時除了會導緻同一區域網路内的其他使用者上網出現時斷時續的現象外，還會竊取使用者密碼。如盜取QQ密碼、盜取各種網絡遊戲密碼和賬号去做金錢交易，盜竊網上銀行賬号來做非法交易活動等，這是木馬的慣用伎倆，給使用者造成了很大的不便和巨大的經濟損失。

五、如何防護？

針對個人使用者的防範措施

注意：ARP攻擊僅能在區域網路内進行，沒有路由器的家庭使用者可以不必考慮

1.安裝ARP防火牆

如今大部分安全輔助軟體均内置ARP防火牆，著名的有：360安全衛士（内置）、金山貝殼ARP專殺、金山衛士

2.安裝防毒軟體

防毒軟體可以有效的防止ARP病毒進入機器

3.已經中毒的處理方法

由于中毒後網速會減慢，殺軟失效。是以我們應該用專門的專殺殺毒後安裝防毒軟體保護系統

六、預防技巧

   目前防護區域網路中ARP木馬病毒最有效的方法是通過網關和終端雙向綁定ip和mac位址來實作，但是這種方法還是不能有效的阻止ARP對區域網路的攻擊，原因何在？其實最重要的原因是在我們發現ARP病毒并設定雙向綁定時，ARP病毒早已更改了本地電腦的MAC位址，進而導緻綁定無效。另一方面就是人為的破壞，比如說區域網路中有人使用P2P終結者等諸多情況，都可能導緻區域網路中充斥着大量的ARP包，這些都将會導緻網絡性能的下降。針對這些問題，我們應該如何面對和解決呢？

第一，做好第一道防線，實作網關和終端雙向綁定IP和MAC位址。針對區域網路中的每一台計算機利用“IPCONFIG”指令擷取本機IP和MAC位址，并将該資訊添加到路由器ARP映射表中。同時通過檢視路由器的LAN口參數擷取其IP和MAC位址，然後在區域網路中的每台計算機上實作靜态ARP綁定。具體做法是：打開“運作”對話框，輸入CMD進入MSdos界面，通過IPCONFIG指令擷取本機的IP位址和MAC位址。然後打開浏覽器，輸入路由器的位址，進入路由器配置界面，在界面中定位到ARP與IP位址綁定位置處，設定“單機的MAC位址和IP位址的比對規則”，指定區域網路中各個計算機的IP位址和其對應MAC位址實作綁定。

第二，通過“網絡參數”-“LAN口參數”來查找路由器的MAC位址和IP位址，然後在區域網路中的每台電腦中實作靜态ARP綁定。具體做法：打開“運作”對話框，輸入CMD進入MSdos界面，然後通過輸入如圖所示的指令實作網關IP位址和MAC位址的綁定。

第三，付出少需的代價換來區域網路的長久平靜。打開安全防護軟體的ARP防火牆功能。

第四，斬草除根，徹底追蹤清除ARP病毒。利用區域網路ARP欺騙檢測工具來确定ARP攻擊源，然後利用ARP專殺工具進行殺毒。查找并定位到攻擊源位址以後，在相應的計算機上安裝ARP專殺工具進行清除操作。例如，當我們的機子受到ARP攻擊時，我們查到了攻擊源的MAC位址，将該MAC位址與路由器當中的ARP映射表進行對比來确定攻擊源主機，然後對該主機進入ARP的清除工作。