基于ARP漏洞的网络监听的研究与防范詹可强(福建信息职业技术学院，福建福州350003)摘要：从ARP协议所存在的漏洞及安全隐患出发，在对利用ARP欺骗实现对网络中数据包的嗅探与监听进行研究的基础上，提出了被动式防范与主动式防范的相应措施。关键词：网络安全；网络监听；ARP;防范中图分类号：TP393.08文章标识码：A0引言随着计算机网络技术的高速发展，网络正口益成为政治、经济、文化、生活中不可缺少的一部分。它在给人们的生活、学习、工作带來前所未有的方便和机遇的同时，山网络自身固有的不安全性，网络安全问题也越来越引起人们的关注。网络监听，乂称为网络嗅探技术，它是网络安全攻防体系中的一项重要技术。它是-种在他方未察觉的情况下将网络上传输的数据捕获并进行分析的行为⑴。网络监听在协助网络管理员监测网络传输数据、排除网络故障等方面具右十分重要的作川。然而，网络监听也给网络的安全带來了极大的隐患，许多的网络入侵往往都伴随着以太网内网络监听行为，从而造成口令失窃、敏感数据被截获等连锁性安全事故。1网络监听原理当前网络监听主要川于局域网中，根据监听环境的不同，网络监听可分为两类：共享式网络监听和交换式网络监听。在共亨式网络中，由-丁•是基于广播的方式来发送数据,所以数据包会被发送到连在一起的所有主机。因此，只要使主机的网卡工作在混杂模式下，并辅以相应的捕获机制就可以实施网收稿日期:2(X)7-12-08作者简介：詹可强(1981—)，男，硕士，福建福州人，助教，硕士，主要研究方向：网络技术及应用、网络安全。文章编号：K124(2008)01-0020-05络监听，其实现方式较为容易。而随着交换机的快速发展，交换式网络越來越普及。交换机与共享式网络环境下的集线器相比，最重要的特点是它的每个端口都单独&有一个信道，数据包的发送并不是通过广播的方式发送。每台交换机的端口都有一张ARP地址转换表，交换机是通过该地址表的内容对数据包的走向进行判断，从而实现数据包的转发。因此，在交换式网络中实施网络监听的关键，就是要使发送给:其它主机的数据帧能够到达运行的网络监听程序的主机。1.1MAC地址MAC地址又叫便件地址或物理地址，它存放于网卡的ROM中，唯一标识每一块网卡。其结构如图1所示。<-----------24位---------------><--------------24位------------>IEEE^RtfjOVI厂紗砒邀灿图1MAC地址的结构MAC地址长度为6Byte(48bits),在这48bits中前24bits由IEEE统一分配，被称为OUI(OrganizationallyUniqueIdentifier)。后24bits是一组序列号，由牛产厂家口行分配，其作用是保证MAC地址的唯一性。1.2ARP协议ARP协议是TCP/1PI办议簇中的一个协议，ARP(AddressResolutionProtocol)协议全称为地址解析协议⑵。在数据包传送时,无论源主机和目标主机是否在同一个局域网内，都需要对目标主机进行寻址，即将数据包的IP地址转化为MAC地址，而这个工作正是通过ARP协议來实现的⑶。ARP解析地址的过程就是主机在传输数据包时将n标主机的IP地址转换成口标主机的MAC地址的过程。ARP协议规定每一台主机都设有一个ARP高速缓存表，当主机A欲向本网络的主机B发送数据包时，就先在其ARP高速缓存表中查看有无主机B的IP地址。如果存在，就对查出其对应的硬件地址，再将此硬件地址写入MAC帧，然厉通过局域网将该MAC帧发往此硬件地址对应的主机；如果不存在，主机A就耍在网络上利用广播方式发送ARP请求，在此网络上的所有主机上运行的ARP进程都收到此ARP请求，主机B在ARP请求中见到自己的IP地址，就向主机A发送ARP响应，并写入自己的硬件地址，而其它的所有主机都不响应这个ARP请求分组。这样在获知了主机B的硬件地址后，主机A就可以向主机B发送数据包了。基于以上对ARP协议关于地址解析过程的分析，可以看出ARP协议的工作基础是局域网中各主机间的相互信任，这就为网络监听提供了机会。1.3利用ARP欺骗实现网络监听山于其工作的基础是各主机间的相互信任，在设计ARP协议时，为了减少网络上过多的ARP数据通信，对某一台主机来说，即使收到的ARP响应并非因自己的请求而得到，岀于对对方主机的信任，也不会对其进行“身份验证”，而是直接将其加入到自C的ARP地址...