【正文】 1 廣西經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院 畢業(yè)論文 題 目 專 業(yè) 班 級 姓 名 指導(dǎo)教師 姓名 職稱 起止日期 2 廣西東方外語職業(yè)學(xué)院 畢業(yè)論文（設(shè)計）任務(wù)書 專業(yè)及班級： 學(xué)生姓名： 題目： 上交報告（論文）日期： 年 月 日 答辯日期： 年 月 日 指導(dǎo)教師： 200 年 月 日簽發(fā) 3 本人聲明 我聲明 , 本論文及其設(shè)計工作是由本人在指導(dǎo)教師的指 導(dǎo)下獨立完成的 , 在完成論文時所利用的一切資料均已在參考文獻中列出。 ARP 攻擊 與 防護措施 及解決方案 摘 要 要了解 ARP 欺騙攻擊 , 我們首先要了解 ARP 協(xié)議以及它的工作原理，以更好的來防范和排除 ARP 攻擊的帶來的危害。本文為大家?guī)磉M階的 ARP 攻擊防制方法。 基本 ARP 介紹 ARP “Address Resolution Protocol” （地址解析協(xié)議），局域網(wǎng)中，網(wǎng)絡(luò)中實際傳輸?shù)氖?“ 幀 ” ，幀里面是有目標(biāo)主機的 MAC 地址的。所謂 “ 地址解析 ” 就是主機在發(fā)送幀前將目 標(biāo) IP 地址轉(zhuǎn)換成目標(biāo) MAC 地址的過程。 ARP 協(xié)議的基本功能就是通過目標(biāo)設(shè)備的 IP 地址，查詢目標(biāo)設(shè)備的 MAC 地址，以保證通信的順利進行。 ARP 協(xié)議的工作原理：在每臺安裝有 TCP/IP 協(xié)議的電腦里都有一個 ARP 緩存表，表里的 IP 地址與 MAC 地址是一一對應(yīng)的，如表所示。 我們以主機 A（ ）向主機 B（ ）發(fā)送數(shù) 據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時，主機 A 會在自己的 ARP 緩存表中尋找是否有目標(biāo) IP 地址。如果找到了，也就知道了目標(biāo) MAC 地址，直接把目標(biāo) MAC 地址寫入幀里面 發(fā)送就可以了；如果在 ARP 緩存表中 沒有找到相對應(yīng)的 IP 地址，主機 A 就會 在網(wǎng)絡(luò)上發(fā)送一個廣播，目標(biāo) MAC 地址是 “” ，這表示向同一網(wǎng)段內(nèi)的所有主機發(fā)出這樣的詢問： “ 的 MAC 地址是什么？ ” 網(wǎng)絡(luò)上其它主機 并不響應(yīng) ARP 詢問，只有主機 B 接收到這個幀時，才向主機 A 做出這樣的回應(yīng)：“ 的 MAC 地址是 00aa0062c6 09。 ” 這樣，主機 A 就知道了主機 B 的MAC 地址，它就可以向主機 B 發(fā)送信息了。同時它還更新了自己的 ARP 緩存表。 4 基本 ARP 病毒防制法 通過對 ARP 工作原理得知，如果系統(tǒng) ARP 緩存表被修改不停的通知路由器一系列錯誤的內(nèi)網(wǎng) IP 或者干脆偽造一個假的網(wǎng)關(guān)進行欺騙的話，網(wǎng)絡(luò)就肯定會出現(xiàn)大面積的 掉線問題，這樣的情況就是典型的 ARP 攻擊，對遭受 ARP 攻擊的判斷，其方法很容易，你找到出現(xiàn)問題的電腦點開始運行進入系統(tǒng)的 DOS 操作。 ping 路由器的 LAN IP 丟包情況。輸入 ping （網(wǎng)關(guān) IP 地址） ， 如下圖： 圖 1 內(nèi)網(wǎng) ping 路由器的 LAN IP 丟幾個包，然后又連上，這很有可能是中了 ARP 攻擊。為了進一步確認，我們可以通過查找 ARP 表來判斷。輸入 ARP a 命令，顯示如下圖： 圖 2 可以看出 地址和 地址的 IP 的 MAC 地址都是000f3d837428,很顯然，這就是 ARP 欺騙造成的。 在理解了 ARP 之后， ARP 欺騙攻擊以及如何判斷此類攻擊，我們簡單介紹一下如何找到行之有效的防制辦法來防止這類攻擊對網(wǎng)絡(luò)造成的危害。 一般處理辦法分三個步驟來完成。 激活防止 ARP 病毒攻擊 5 進入路由器的防火 墻 的基本配置欄將 “ 防止 ARP病毒攻擊 ” 在這一行的 “ 激活 ” 并確定。 對每臺 pc 上綁定網(wǎng)關(guān)的 IP 和其 MAC 地址 在每臺 PC 機上進入 dos 操作，輸入 arp – s (網(wǎng)關(guān) IP) 000f3d837428(網(wǎng)關(guān) MAC),Enter 后完成每臺 PC 機的綁定。 針對網(wǎng)絡(luò)內(nèi)的其它主機用同樣的方法輸入相應(yīng)的主機 IP 以及 MAC 地址完成 IP 與MAC 綁定。但是此動作，如果重起了電腦，作用就會消失，所以可以把此命令做成一個批處理文件，放在操作系統(tǒng)的啟動里面，批處理文件可以這樣寫： @echo off arp d arp s 路由器 LAN IP 路由器 LAN MAC 在路由器端綁定用戶 IP/MAC 地址： 在 DHCP 功能中對 IP/MAC 進行綁定， Qno 路由器提供了一個顯示新加入的 IP 地址的功能，通過這個功能可以一次查找到網(wǎng)絡(luò)內(nèi)部的所有 PC 機的 IP/MAC 的對應(yīng)列表，我們可以通過 “√” 選的功能選擇綁定 IP/MAC。 進階 ARP 病毒防制 單靠這樣的操作基本可以解決問題，但是技術(shù)工程師建議通過進一步通過一些手段來進一步控制 ARP 的攻擊。 病毒源，對病毒源頭的機器進行處理，殺毒或重新裝系統(tǒng)。此操作比較重要，解決了 ARP 攻擊的源頭 PC 機的問題，可以保證內(nèi)網(wǎng)免受攻擊 。 網(wǎng)吧管理員檢查局域網(wǎng)病毒，安裝殺毒軟件（金山毒霸 /瑞星 /卡巴斯基 ，必須要更新病毒代碼），對機器進行病毒掃描。 給系統(tǒng)安裝補丁程序，通過 Windows Update 安裝好系統(tǒng)補丁程序 (關(guān)鍵更新、安全更新和 Service Pack)。 6 給系統(tǒng)管理員帳戶設(shè)置足夠復(fù)雜的強密碼，最好能是 12 位以上，字母 +數(shù)字 +符號的組合；也可以禁用 /刪除一些不使用的帳戶。 經(jīng)常更新殺毒軟件（病毒庫），設(shè)置允許的可設(shè)置為每天定時自動更新。安裝并使用 網(wǎng)絡(luò)防火墻軟件，網(wǎng)絡(luò)防火墻在防病毒過程中也可以起到至關(guān)重要 的作用，能有效地阻擋自來網(wǎng)絡(luò)的攻擊和病毒的入侵。部分盜版 Windows 用戶不能正常安裝 補丁，不妨通過使用網(wǎng)絡(luò)防火墻等其它方法來做到一定的防護。 關(guān)閉一些不需要的服務(wù)，條件允許的可關(guān)閉一些沒有必要的共享，也包括 C$、D$等管理共享。完全單機的用戶也可直接關(guān)閉 Server 服務(wù)。 不要隨便點擊打開 、 MSN 等聊天工具上發(fā)來的鏈接信息，不要隨便打開或運行陌生、可疑文件和程序，如郵件中的陌生附件，外掛程序等。 ARP 攻擊防制是一個任重而道遠的過程，必須高度重視這個問題，而且不能大意馬虎，我們 得 隨時警 惕 ARP 攻擊，以減少受到的危害，提高工作效率，降低經(jīng)濟損失。 關(guān)鍵詞： nbtscan MAC Sniffer 7 目 錄 一 選題背景 選課題的原因 選課題目的 ．．．．．．．．．． 選課題意義 ．．．．．．．．．． 二 常見的 ARP 病毒的攻擊以及防范措施 什么是 ARP ARP 病毒的攻擊以及欺騙手段 ARP 攻擊原理及解決方法 ARP 欺騙原理以及路由器的 先天免 網(wǎng)絡(luò)安全中的 ARP 協(xié)議和欺騙技術(shù)及其對策 三 ARP 防范軟件 360 安全衛(wèi)士新版發(fā)布 增加 ARP 防火墻 Sniffer 簡紹 Sniffer 使用方法 Sniffer會“抓毒”的網(wǎng)絡(luò)分析儀 利用 Sniffer Pro 徹底解決 IP 被盜用問題 聞名業(yè)界的 Sniffer 網(wǎng)絡(luò)管理解決方案 三 總結(jié) 8 一 選題背景 選課題的原因 ARP 及 IP 攻擊泛濫，嚴(yán)重影響網(wǎng)絡(luò)安全； 你的網(wǎng)絡(luò)是否發(fā)生過頻繁掉線的現(xiàn)象？ 你的網(wǎng)絡(luò)是不是發(fā)生過用戶 被盜的現(xiàn)象？ 你的網(wǎng)絡(luò)在做了雙向 IPMAC 綁定后，是不是還是會發(fā)生掉線現(xiàn)象？ 你知道是什么原因嗎？ ——ARP 攻擊， IP 攻擊！ 你覺的你的網(wǎng)絡(luò)安全嗎 ?當(dāng)你在網(wǎng)絡(luò)上傳輸敏感信息時，是否會有一雙貪婪的眼睛正在窺探著你的秘密？ ARP 是網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)，沒有 ARP 就沒有網(wǎng)絡(luò)。 ARP 攻擊不同于病毒，也不是系統(tǒng)漏洞，他不是病毒，但比病毒厲害；你打補丁 ，或裝防火墻，或安裝殺毒軟件都對他毫無意義。 ARP 攻擊只能在你內(nèi)部網(wǎng)絡(luò)中進行，只要在你網(wǎng)絡(luò)中的任意一臺電腦上運行 ARP 欺騙程序： ————可以在不知不覺中盜竊你網(wǎng)絡(luò)中傳輸?shù)娜魏涡畔ⅲ? ————也可以造成你整個網(wǎng)絡(luò)無法正常上網(wǎng)。 他可以竊取你網(wǎng)絡(luò)里其他電腦上正在傳輸?shù)你y行帳號；竊取正在進行的游戲帳號；竊取別人的 號碼更是司空見慣。利用 ARP 攻擊擾亂網(wǎng)吧網(wǎng)絡(luò)的現(xiàn)象更是已經(jīng)泛濫。 選課題目的 選擇 ARP 這個題目作為研究，那是為了更好的維護好我們的網(wǎng)絡(luò)。如果您對 ARP的知識不了解的話那么當(dāng) 你受到 ARP 攻擊的時候就會受到其大的影響。為了解決好 局域網(wǎng) 的安全以及外網(wǎng)的正常通暢！我們必須做好 ARP 的防護工作。 比如說當(dāng) 局域網(wǎng)受 ARP 變種病毒攻擊后 就會出現(xiàn) 瞬間掉線 的情況。那時候我們?nèi)绾稳ソ鉀Q呢？ ARP 對網(wǎng)吧的危害最大，在前期我們一般采用雙向梆定的方法即可解決但是 ARP變種 ， 大家也許還在為網(wǎng)關(guān)掉線還以為是電信的問題還煩惱吧，其實不然變種過程 ARP病毒 變種 或 現(xiàn)在的這個ARP 變種病毒更 是厲害，我把 一些實際遇到的問題介紹 大家聽聽，如果大家有這些情況，不好意思 “恭喜你 ”你中大獎了，呵呵 ~~先了解 ARP 變種病毒的特性吧 : 9 一 :破壞你的 ARP 雙向綁定批出理 二 :中毒機器改變成代理服務(wù)器又叫代理路由 三 :改變路由的網(wǎng)關(guān) MAC 地址和 internat 網(wǎng)關(guān)的 MAC 地址一樣病毒發(fā)作情況：現(xiàn)在的 ARP 變種 不是攻擊客戶機的 MAC 地址攻擊路由內(nèi)網(wǎng)網(wǎng)關(guān)，改變了它的原理，這點實在佩服直接攻擊您的路由的什么地址你知道嗎？哈哈 ~~猜猜吧 ~~不賣關(guān)了 ~~新的變種 ARP 直接攻擊您路由的 MAC 地址和 外網(wǎng)網(wǎng)關(guān)而且直接就把綁定 IP 與 MAC 的批處理文件禁用了。一會兒全掉線，一會兒是幾臺幾臺的掉線。而且中了 ARP 的電腦會把那臺電腦轉(zhuǎn)變成內(nèi)網(wǎng)的代理服務(wù)器進行盜號和發(fā)動攻擊。如果大家發(fā)現(xiàn)中了 ARP 沒有掉線，那說明你中了最新的變種，你只要重啟了那臺中了 ARP 病毒的電腦，那么受到 ARP 攻擊的機子就會全部掉線內(nèi)網(wǎng)的網(wǎng)關(guān)不掉包，而外網(wǎng)的 IP 和 DNS 狂掉，這點也是 ARP 變種的出現(xiàn)的情況，請大家留意。 該病毒發(fā)作時候的特征為，中毒的機器會偽造某臺電腦的 MAC 地址，如該偽造地址為網(wǎng)關(guān)服務(wù)器的地址，那么對整個網(wǎng)吧均會造成影響，用 戶表現(xiàn)為上網(wǎng)經(jīng)常瞬斷。 然而要處理好這種問題，就是我選擇這個課題的根本所在。 選課題意義 ARP 攻擊防制是一個任重而道遠的過程，必須高度重視這個問題，而且不能大意馬虎，我們 得 隨時警惕 ARP 攻擊，以減少受到的危害，提高工作效率，降低經(jīng)濟損失。 二 常見的 ARP 病毒的攻擊以及防范措施 什么是 ARP 英文原義： Address Resolution Protocol 中文釋義：（ RFC826）地址解析協(xié)議 局域網(wǎng)中，網(wǎng)絡(luò)中實際傳輸?shù)氖?“ 幀 ” ，幀里面是有目標(biāo)主機的 MAC 地址的。所謂“ 地址解析 ” 就是主機在發(fā)送幀前將目標(biāo) IP 地址轉(zhuǎn)換成目標(biāo) MAC 地址的過程。 ARP 協(xié)議的基本功能就是通過目標(biāo)設(shè)備的 IP 地址，查詢目標(biāo)設(shè)備的 MAC 地址以保證通信的順利進行。 注解：簡單地說， ARP 協(xié)議主要負責(zé)將局域網(wǎng)中