浅析ARP病毒入侵局域网的途径与防治.doc

xxxx高等专科学校毕业论文（设计）

PAGE1

目录

摘要 2

1ARP的知识概述 2

1.1ARP协议的含义 2

1.2ARP协议的工作原理 3

2ARP病毒攻击的途径及防治措施 3

2.1几种常见的ARP攻击方式 3

2.2ARP攻击的防治措施 4

3ARP实例分析及解决方案 5

3.1实例描述 5

3.2实例分析 5

3.3实例步骤 10

4总结 11

参考文献 11

致谢 12

本人声明 12

浅析ARP病毒入侵局域网的途径与防治

作者：xxx

指导老师：xxxx

（xxxx高等专科学校物理与信息技术系xx541xxx）

摘要:本文分析了ARP协议工作的原理,介绍了几种常见的ARP攻击方式及受到ARP攻击后网络可能的表现症状,最后给出了解决ARP安全问题的解决方案,在第一章，简要的介绍了ARP的含义及工作原理，第二章才介绍了ARP攻击的几种途经和解决方案。ARP协议制定时间比较早，当时对这些协议的缺陷考虑不周，使得ARP攻击的破坏性比较大，但其也有局限性，比如ARP攻击只局限在本地网络环境中。这里只介绍了一些简单的ARP原理和基本的解决方案，在本文的第三章，列出了一个ARP攻击实例，在这个实例中，描述了ARP攻击的现象及怎么攻击的，然后给出了一个解决的方案。通过本文，想让大家更了解ARP，尽可能的避免上网的的问题。

关键词：网络安全;ARP协议;ARP欺骗

1．ARP的知识概述

1.1arp协议的含义

ARP协议是AddressResolutionProtocol地址解析协议的缩写,在局域网中以帧的方式进行传输数据,并且根据帧中目标主机的MAC地址来进行寻址。在以太网中,一台主机要和另一台主机进行直接通信,就必须要知道目的主机的MAC地址,

以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取,可以防止非法用户随意接入网络,网络用户如果擅自改动本机网卡的IP或MAC地址,该机器的网络访问将被拒绝,从而降低了ARP攻击的概率。

2.采用VLAN技术隔离端口

局域网的网络管理员可根据需要,将本单位网络规划出若干个VLAN,当发现有非法用户在恶意利用ARP欺骗攻击网络,或因合法用户受病毒ARP病毒感染而影响网络时,网络管理员可先找到该用户所在的交换机端口,然后将该端口划一个单独的VLAN,将该用户与其它用户进行隔离,以避免对其它用户的影响,当然也可以利用将交换机的该端口关掉来屏蔽该用户对网络造成影响。

3.防火墙和杀毒软件

可以安装ARP防火墙或者开启局域网ARP防护,比如360安全卫士等ARP病毒专杀工具,并且实时下载安装系统漏洞补丁,关闭不必要的服务等来减少病毒的攻击。查找病毒源,对病毒源头的机器进行处理,杀毒或重新安装系统。解决了ARP攻击的源头PC机的问题,可以保证内网免受攻击。经常更新杀毒软件(病毒库)。设置允许的可设置为每天定时自动更新,安装并使用网络防火墙软件。

3.ARP攻击实例分析及解决方案

3.1实例描述

动态ARP监测，这个特性我们最关心的是arp数据包，它是一种验证网络中的arp包的安全特性，可以阻止，记录，非法更改ip和mac地址绑定的arp数据包,使网络崩溃，不能上网。

3.2实例分析

局配置模式下：iparpinspectionvlan[id]

定义DAI检查数据包的那些部分：iparpinspectionvalidate[]

进入端口，设置成信任的或者是非信任的，同时设置速度的限制。

默认的情况下是不限速的，且是不信任的端口

注：DAI的支持只有3560以上才可以

组网及说明：

图3-1组网结构

如图3-1组网是一个非常常见的组网结构，DHCPserver在核心交换机7506E上（也可以用其他的服务器），3600-EI与7506E为TRUNK相连，网关在7506E上，PC1、PC2同属一个VLAN。测试中要模拟非法ARP攻击，因此需要ARP发包工具，本次测试使用的交换机是3600-EI，软件版本为3.10-R1602P02。

攻击测试过程：

首先需要测试在未启用动态ARP检测特性时的现象，3600-EI除启用dhcp-snooping不做任何特殊配置，PC1和PC2都通过DHCP获取地址，分别为172.17.2.1/24和172.17.2.21/24。测试前保证PC1、PC2与网关互通。

如图3-2在PC1上打开一个DOS窗口，可以看到172.17.2.254的MAC地址是：000f-e27b-f74e，常PING172.17.2.254，可以看到是通的。

图3-2pc1DOS窗