解析针对企业网的ARP攻击防范解析针对企业网的ARP攻击防范【摘耍】随着我国计算机与网络技术的飞速发展，越来越多企业开始应用电子化、网络化办公和交易，但是随之而来的计算机网络安全问题日益严重。由于计算机网络中面临各种恶意攻击、非法入侵或木马病毒，损害了企业信息系统，其至带来无法挽回的经济损失。因此，企业计算机网络如何增强防御能力，提高安全性、可靠性，是企业网络建设中应思考的话题。本文结合当前企业网络应用实际情况,对ARP攻击的网络现象、欺骗种类进行分析，并有针对性地提出防范措施。【关键词】企业网；ARP协议；欺骗；攻击；防范【中图分类号ITP393【文献标识码】B【文章编号】1672-5158(2013)01-0393-01在计算机时代，网络对于企业来说发挥了非常重要的作用，推动了企业的信息化、现代化发展，只有保障网络安全、可靠运行，才能顺利完成网络管理目标。但是以企业网应用的实际睛况来看，各种安全问题日趋严重，如ARP木马的出现，给企业网络安全带来极大威胁。发生ARP木马病毒之后，用户不能联网、不能打开网页、局域网运行缓慢等，严重影响企业的正常办公秩序。1、ARP攻击概述1.1ARP攻击的网络现象ARP欺骗可分为路由器ARP欺骗及内网计算机网关欺骗两种形式。前者主耍获取网关的数据，造成路由器中的局域网MAC地址错误，并按照特定的频率更新，造成真实地址信息不能在路Ftl器中保留，而路由器的数据发送到错误的MAC地址，影响了计算机正常接收信息。后者利用交换机中MAC地址学习机制，模仿网关。建立一个虚假网关，以此欺骗计算机，将数据发送到虚假网关中，阻碍了正常交换机或路由器的寻找网关途径，造成该网关中的计算机不能正常访问网络。关于ARP地址欺骗的网络表现，主要包括以下儿种现象：(1)网络访问时断时继，掉线频繁，网络访问速度越来越慢，有时则长时间不能上网，双击任务栏中的本地连接图标，显示为已经连接，并且发现发送的数据包明显少于接收的数据包；(2)同一网段的所有上网机器均无法止常连接网络；(3)打开windows任务管理器，出现可疑进程，如“MIEO.dat”等进程；(4)打开路由器的系统历史记录中看到大量的MAC更换信息。如果出现以上网络现象，就表明局域网络中至少有一台计算机感染了ARP病毒。1.2ARP协议ARP地址解析协议为TCP/IP体系机构的协议Z-,利用计算机将其中的IP地址转为MAC地址。也就是说，通过目标设备中的IP地址，查看目标设备中MAC地址，以确保通信的顺畅。当计算机中安装/TCP/IP协议Z后，就会存在一个ARP缓存表，在网络通信过程中可以应用该IP地址，但是在设备Z间或者终端部分，则需要通过MAC地址完成提交。在ARP缓存表中，IP地址与MAC地址具有——对应的关系，当ARP缓存表被修改，或者主机向路由器发出来错误的内网IP,或者存在虚假网关欺骗行为，都会造成网络中的大面积掉线现象。ARP协议的应用奠定在信任所有节点的基础上，是一种无状态的协议形式。对于ARP协议自身来说，不会对是否发送过请求包进行检查,也不会排除是否属于合法应答包，只要ARP协议收到目标MAC与其相关，就会接受并进入缓存。可见，ARP协议自身存在的漏洞为发生欺骗行为提供可能，因此在企业网中频繁出现ARP攻击现象，如何防范这一攻击行为，保障网络运行的安全、畅通，成为企业网络管理中必须思考的话题。2、ARP攻击的欺骗种类2.1一般冒充欺骗这是一种比较常见的攻击。通过发送伪造的ARP包来实施欺骗。根据欺骗者实施欺骗时所处的立场，可分为三种情况：冒充网关欺骗主机、冒充主机欺骗网关、冒充主机欺骗其它主机。2.2虚拟MAC地址欺骗这种攻击也是攻击者以止常用户身份伪造虚假的ARP回应报文,欺骗网关。但是，和上述一般冒充欺骗不同的是，此时攻击者提供给网关的MAC地址根本不存在，不是攻击者自己的MAC地址，这样网关发给该用户的数据全部被发往一个不存在的地方。2.3ARP泛洪这是一种比较危险的攻击，攻击者伪造大量虚假源MAC和源IP信息报文，向局域网内所有主机和网关进行广播，目的就是令局域网内部的主机或网关找不到正确的通信对象，甚至直接用虚假地址信息占满网关ARP缓存空间，造成用户无法正常上网同吋网络设备CPU居高不下，缓存空间被大量占...