ARP��,人稱Address Resolution Protocol�����,地址解析協(xié)議��。如果您已經(jīng)對(duì)IP地址和MAC地址有所了解�����,那么應(yīng)當(dāng)知道��,兩種地址間是需要進(jìn)行解析的���。所謂ARP協(xié)議���,就是將IP地址翻譯為MAC地址的翻譯人員。什么��?你說(shuō)MAC地址翻譯為IP地址��?咳咳……DHCP協(xié)議會(huì)自動(dòng)為接入設(shè)備分配IP地址(比如蘭州大學(xué)校園網(wǎng)的默認(rèn)設(shè)置)����,而網(wǎng)關(guān)則會(huì)以ARP表的形式����,登記自己所轄網(wǎng)段內(nèi)設(shè)備的IP地址和MAC地址映射����。
關(guān)于翻譯問(wèn)題更復(fù)雜的內(nèi)容,這里就先不討論了……有興趣您可以自行上網(wǎng)查詢���。下面著重要討論的�,則是這種簡(jiǎn)單的地址翻譯所引發(fā)的問(wèn)題和隱患�。
與以太網(wǎng)一樣,ARP協(xié)議做為同一時(shí)期的產(chǎn)物����,也沒(méi)有將設(shè)計(jì)重點(diǎn)放在安全性上。每一臺(tái)計(jì)算機(jī)上的ARP都假設(shè)網(wǎng)域內(nèi)所有設(shè)備廣播的ARP信息真實(shí)可靠���,并且據(jù)此進(jìn)行自我更新����。這種簡(jiǎn)便的信息模式能夠穩(wěn)定運(yùn)行的基礎(chǔ)�,是對(duì)網(wǎng)域內(nèi)各接入設(shè)備的信任。然而……
一間會(huì)議室里出現(xiàn)了一名騙子(譬如感染ARP病毒的計(jì)算機(jī)),開(kāi)始不斷進(jìn)行虛假宣稱�。他對(duì)老K說(shuō)自己是小A,對(duì)小A說(shuō)自己是老K���。于是,小A和老K之間的談話��,統(tǒng)統(tǒng)都被騙子截取�。騙子成功地將自己變成小A和老K之間的轉(zhuǎn)發(fā)點(diǎn),從而控制數(shù)據(jù)交流和獲取信息�。
由于ARP協(xié)議沒(méi)有任何保護(hù)機(jī)制,所以實(shí)現(xiàn)ARP欺騙是毫無(wú)難度的����。可是���,畢竟真實(shí)的信息同樣也在廣播��,比如老K一直在以一定的頻率聲稱自己是老K�,要怎樣才能讓小A不被老K的真實(shí)信息影響(以便騙他)呢�?
于是,騙子開(kāi)始利用以太網(wǎng)規(guī)范的缺陷�����。騙子用遠(yuǎn)遠(yuǎn)高于正常廣播頻率,也就是真實(shí)ARP信息播發(fā)頻率的方式����,以洪水式廣播進(jìn)行ARP欺騙。這樣一來(lái)�����,即使小A收到的數(shù)據(jù)中有少量真實(shí)ARP信息�,絕大多數(shù)情況下也會(huì)被迅速替換為虛假內(nèi)容。
但是��,這樣一來(lái)����,就有可能引發(fā)兩種后果:其一,攻擊者計(jì)算機(jī)不堪重負(fù)�����,網(wǎng)段中其他計(jì)算機(jī)聯(lián)網(wǎng)時(shí)斷時(shí)續(xù)(因?yàn)橛袝r(shí)能收到真實(shí)的網(wǎng)關(guān)ARP信息)����;其二,網(wǎng)段所屬的交換機(jī)不堪重負(fù),其他計(jì)算機(jī)完全無(wú)法上網(wǎng)�����。這就是ARP攻擊常常引發(fā)大面積網(wǎng)絡(luò)故障的原因���。
做為一種利用網(wǎng)絡(luò)設(shè)計(jì)基礎(chǔ)安全缺陷的攻擊方式��,ARP攻擊目前無(wú)法徹底解決。就目前而言�,我們建議大家做好兩件事:第一,安裝安全軟件��,啟用反ARP攻擊功能����,也可以考慮使用智能網(wǎng)關(guān)綁定等軟件,避免受害����;第二,做好個(gè)人計(jì)算機(jī)安全���,學(xué)習(xí)一些相關(guān)知識(shí)�,注意自己計(jì)算機(jī)的網(wǎng)絡(luò)訪問(wèn)和網(wǎng)卡工作狀態(tài),以防在不知不覺(jué)之中成為攻擊者��。
